DORA: Technische Regulierungsstandards für die Untervergabe von IKT-Dienstleistungen: Präzisierung der Anforderungen für Finanzunternehmen
(PresseBox) - Die fortschreitende Digitalisierung des Finanzsektors bringt erhebliche Chancen, aber auch neue Risiken mit sich. Insbesondere die Auslagerung von Informations- und Kommunikationstechnologie (IKT)-Dienstleistungen an Drittanbieter und deren Unterauftragnehmer stellt Finanzunternehmen vor komplexe Herausforderungen.
Delegierte Verordnung (EU) 2025/532 der Kommission vom 24. März 2025 zur Ergänzung der Verordnung (EU) 2022/2554 durch technische Regulierungsstandards zur Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss.
Offizieller Link zur Verordnung
Die finale und rechtsverbindliche Fassung finden Sie im EUR-Lex-Portal unter folgender Adresse:
Delegierte Verordnung (EU) 2025/532 im Amtsblatt (OJ L, 2025/532, 2.7.2025)
Hinweise:
Die Verordnung ist in allen EU-Amtssprachen verfügbar.
Das Inkrafttreten erfolgt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt, also ab dem 22. Juli 2025.
Die Verordnung ist unmittelbar in allen Mitgliedstaaten anwendbar.
Zusammenfassung der wichtigsten Inhalte
Gegenstand: Präzisierung der Anforderungen an Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen.
Rechtsgrundlage: Artikel 30 Absatz 5 der Verordnung (EU) 2022/2554 (DORA).
Geltungsbereich: Alle Finanzunternehmen, die unter DORA fallen und IKT-Dienstleistungen an Dritte auslagern.
Kernpunkte: Sorgfaltspflichten, Risikobewertung, Vertragsgestaltung, Überwachung, Kündigungsrechte und Meldepflichten bei wesentlichen Änderungen.
Dieser Artikel erläutert die Hintergründe, Ziele und konkreten Anforderungen der Verordnung und bietet praxisnahe Übersichten für die Umsetzung in Finanzunternehmen.
1. Hintergrund und Zielsetzung der Verordnung
1.1. Ausgangslage
Mit der Verordnung (EU) 2022/2554 („DORA“) wurde ein einheitlicher Rahmen für die digitale operationale Resilienz im Finanzsektor geschaffen. Die neue delegierte Verordnung konkretisiert nun, wie Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen vorgehen müssen, um Risiken zu erkennen, zu bewerten und zusteuern.
1.2. Ziel der technischen Regulierungsstandards
Stärkung der Resilienz: Sicherstellung, dass kritische oder wichtige Funktionen auch bei Auslagerung an Unterauftragnehmer geschützt bleiben.
Risikominimierung: Präzise Vorgaben zur Identifikation, Bewertung und Steuerung von Risiken entlang der gesamten Auslagerungskette.
Transparenz und Kontrolle: Klare Dokumentations- und Überwachungspflichten für Finanzunternehmen.
2. Anwendungsbereich und Grundprinzipien
2.1. Geltungsbereich
Die Verordnung gilt für alle Finanzunternehmen, die unter DORA fallen und IKT-Dienstleistungen an Dritte auslagern, sofern diese Dienstleistungen kritische oder wichtige Funktionen betreffen.
2.2. Grundprinzipien
Verhältnismäßigkeit: Anforderungen sind abhängig von Größe, Risikoprofil und Komplexität des Unternehmens.
Letztverantwortung: Die Verantwortung für das Risikomanagement verbleibt stets beim auslagernden Finanzunternehmen, auch bei Untervergabe.
3. Zentrale Anforderungen der Verordnung
3.1. Bestimmung und Bewertung der Untervergabe
Finanzunternehmen müssen systematisch prüfen, ob und unter welchen Bedingungen eine Untervergabe zulässig ist. Dabei sind insbesondere folgende Aspekte zu berücksichtigen:
Aspekt Beschreibung
Kritikalität der Funktion Ist die ausgelagerte Dienstleistung für die Geschäftsfortführung wesentlich?
Komplexität der Auslagerung Wie lang und komplex ist die Kette der Unterauftragnehmer?
Standort der Dienstleister Wo befinden sich die Unterauftragnehmer und werden Daten im EU-Ausland verarbeitet?
Datenverarbeitung Welche Art von Daten wird weitergegeben und wie ist deren Schutz gewährleistet?
Abhängigkeiten Bestehen Konzentrationsrisiken durch wenige oder einzelne Unterauftragnehmer?
Übertragbarkeit Ist ein Wechsel des Dienstleisters im Notfall möglich?
Auswirkungen von Störungen Wie wirken sich Ausfälle auf die Kontinuität und Verfügbarkeit der
Dienstleistung aus?
3.2. Sorgfaltspflichten und Risikobewertung
Vor Abschluss einer Vereinbarung mit einem IKT-Drittdienstleister, der Unterauftragnehmer einsetzt, sind umfassende Prüfungen und Bewertungen durchzuführen.
Prüfaspekt Anforderungen an das Finanzunternehmen
Auswahlverfahren Sicherstellung, dass der Drittdienstleister geeignete
Unterauftragnehmer auswählt und deren Fähigkeiten prüft
Informationspflichten Drittdienstleister muss alle relevanten Informationen zu
Unterauftragnehmern bereitstellen
Vertragsgestaltung Verträge müssen Zugangs-, Prüf- und Kontrollrechte für das
Finanzunternehmen und die Aufsicht enthalten
Ressourcen und Kompetenzen Finanzunternehmen und Drittdienstleister müssen über
ausreichende Ressourcen und Fachkenntnisse verfügen
Standortbewertung Risiken durch den Standort der Unterauftragnehmer sind zu
bewerten
Konzentrationsrisiken Bewertung der Abhängigkeit von einzelnen Unterauftragnehmern
gemäß Art. 29 DORA
Prüfungsrechte Sicherstellung, dass keine Hindernisse für Prüfungs- und
Zugangsrechte bestehen
3.3. Vertragsgestaltung undÜberwachung
Die Verordnung verlangt detaillierte Regelungen in den Verträgen mit Drittdienstleistern:
Vertragsbestandteil Inhalt
Verantwortlichkeit Drittdienstleister bleibt für die Erfüllung der Leistungen durch
Unterauftragnehmer verantwortlich
Überwachungspflichten Drittdienstleister muss alle Unterauftragnehmer und deren
Leistungen überwachen
Berichtspflichten Regelmäßige Berichte über Unterauftragnehmer und deren
Leistungen an das Finanzunternehmen
Standort und Datenverarbeitung Festlegung, wo Daten verarbeitet und gespeichert werden
Kontinuität und Notfallmanagement Sicherstellung der Dienstleistungskontinuität entlang der
gesamten Unterauftragskette
Sicherheitsstandards Verpflichtung zur Einhaltung von IKT-Sicherheitsstandards und
zusätzlichen Anforderungen nach DORA
Kündigungsrechte Finanzunternehmen kann Vertrag bei wesentlichen Änderungen
oder Verstößen kündigen
3.4. Umgang mit wesentlichenÄnderungen
WesentlicheÄnderungen an Unterauftragsvereinbarungen müssen dem Finanzunternehmen rechtzeitig mitgeteilt werden. Das Unternehmen hat das Recht, Änderungen zu genehmigen oder abzulehnen.
Schritt Beschreibung
Mitteilungspflicht Drittdienstleister informiert über geplante wesentliche Änderungen
Bewertungsfrist Finanzunternehmen hat eine angemessene Frist zur Bewertung und
Entscheidung
Ablehnung und Anpassung Bei Überschreitung der Risikotoleranz kann das Unternehmen
Änderungen ablehnen und Anpassungen verlangen
Umsetzung Änderungen dürfen erst nach Zustimmung oder Nichtbeanstandung
umgesetzt werden
3.5. Kündigungsrechte
Das Finanzunternehmen hat das Recht, den Vertrag mit dem Drittdienstleister zu kündigen, wenn:
WesentlicheÄnderungen ohne Zustimmung umgesetzt werden
Unteraufträge ohne ausdrückliche Genehmigung vergeben werden
Der Drittdienstleister gegen vertragliche Pflichten verstößt
4. Praktische Umsetzung: Schritt-für-Schritt-Anleitung
4.1. Vorbereitungsphase
Bestandsaufnahme: Identifikation aller ausgelagerten IKT-Dienstleistungen und deren Kritikalität
Risikoprofil: Analyse des eigenen Gesamtrisikoprofils und der Komplexität der Auslagerungen
Vertragsprüfung: Überprüfung bestehender Verträge auf Konformität mit den neuen Anforderungen
4.2. Auswahl und Bewertung von Drittdienstleistern
Due Diligence: Sorgfältige Auswahl und Bewertung der Drittdienstleister und deren Unterauftragnehmer
Standortanalyse: Bewertung der Standorte und der damit verbundenen Risiken (z. B. Drittland, Datenschutz)
Konzentrationsrisiken: Analyse der Abhängigkeit von einzelnen Dienstleistern
4.3. Vertragsgestaltung
Vertragsklauseln: Aufnahme aller geforderten Regelungen zu Verantwortlichkeiten, Überwachung, Berichtspflichten, Sicherheitsstandards und Kündigungsrechten
Notfallmanagement: Sicherstellung von Ausstiegsstrategien und Notfallplänen
4.4. LaufendeÜberwachung und Dokumentation
Monitoring: Kontinuierliche Überwachung der Leistungen und Risiken entlang der gesamten Unterauftragskette
Berichtswesen: Regelmäßige Berichte an die Geschäftsleitung und die Aufsicht
Dokumentation: Lückenlose Dokumentation aller Entscheidungen, Bewertungen und Maßnahmen
5. TabellarischeÜbersichten: Umsetzung der RTS in der Praxis
Übersicht: Pflichten des Finanzunternehmens bei der Untervergabe
Pflichtbereich Konkrete Maßnahmen
Risikoanalyse Identifikation und Bewertung aller Risiken entlang der Unterauftragskette
Auswahlverfahren Sorgfältige Auswahl und laufende Überprüfung der Drittdienstleister und
Unterauftragnehmer
Vertragsgestaltung Aufnahme aller geforderten Klauseln zu Kontrolle, Überwachung,
Kündigung und Sicherheitsstandards
Überwachung Kontinuierliches Monitoring und regelmäßige Berichterstattung
Dokumentation Vollständige und nachvollziehbare Dokumentation aller Prozesse und
Entscheidungen
Notfallmanagement Entwicklung und Pflege von Ausstiegs- und Notfallstrategien
Übersicht: Anforderungen an Verträge mit Drittdienstleistern
Vertragsanforderung Beschreibung
Verantwortlichkeit Drittdienstleister bleibt für Unterauftragnehmer verantwortlich
Überwachungspflichten Drittdienstleister muss Leistungen der Unterauftragnehmer
überwachen
Berichtspflichten Regelmäßige Information des Finanzunternehmens über
Unterauftragnehmer
Sicherheitsstandards Einhaltung von IKT-Sicherheitsstandards und zusätzlichen
Anforderungen nach DORA
Kündigungsrechte Vertragliche Regelungen für Kündigung bei Verstößen oder unzulässigen
Änderungen
Prüfungsrechte Sicherstellung von Zugangs-, Prüf- und Kontrollrechten für das
Finanzunternehmen und die Aufsicht
Übersicht: Risikobewertung bei Untervergabe
Risikofaktor Prüffragen
Kritikalität der Funktion Ist die Dienstleistung für die Geschäftsfortführung wesentlich?
Komplexität der Kette Wie viele Unterauftragnehmer sind beteiligt? Wie komplex ist die Kette?
Standort Wo befinden sich die Unterauftragnehmer? Werden Daten im EU-Ausland
verarbeitet?
Datenverarbeitung Welche Daten werden weitergegeben? Wie ist deren Schutz
gewährleistet?
Konzentrationsrisiken Besteht eine Abhängigkeit von wenigen oder einzelnen
Unterauftragnehmern?
Übertragbarkeit Ist ein Wechsel des Dienstleisters im Notfall möglich?
Auswirkungen von Störungen Wie wirken sich Ausfälle auf die Kontinuität und Verfügbarkeit der Dienstleistung aus?
6. Herausforderungen und Best Practices
6.1. Herausforderungen
Komplexität der Auslagerungsketten: Die Identifikation und Überwachung aller Unterauftragnehmer ist aufwendig.
Daten- und Rechtssicherheit: Unterschiedliche Rechtsräume und Datenschutzanforderungen erschweren die Kontrolle.
Ressourcenbedarf: Die Umsetzung der Anforderungen erfordert erhebliche personelle und technische Ressourcen.
6.2. Best Practices
Frühzeitige Einbindung der Rechts- und Compliance-Abteilung
Etablierung eines zentralen Auslagerungsregisters
Regelmäßige Schulungen für alle beteiligten Mitarbeiter
Automatisierung von Monitoring- und Reporting-Prozessen
Enge Zusammenarbeit mit der Aufsicht und Branchenverbänden
7. Fazit und Ausblick
Die technischen Regulierungsstandards zur Präzisierung der Aspekte bei der Untervergabe von IKT-Dienstleistungen setzen einen neuen Maßstab für die digitale Resilienz im Finanzsektor. Finanzunternehmen sind gefordert, ihre Auslagerungsstrategien und -prozesse umfassend zu überarbeiten und an die neuen Anforderungen anzupassen. DieVerordnung bietet einen klaren Rahmen, um Risiken zu minimieren und die Stabilität des Finanzsystems zu stärken.
Empfehlung: Unternehmen sollten die Umsetzung der RTS als strategische Chance begreifen, ihre digitale Widerstandsfähigkeit zu erhöhen und sich frühzeitig auf die neuen regulatorischen Anforderungen vorzubereiten.
Datum: 05.08.2025 - 09:00 Uhr
Sprache: Deutsch
News-ID 2189183
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Anna Tatar
Stadt:
Unterföhring bei München
Telefon: +49 (89) 45242970-113
Kategorie:
Finanzen
Dieser Fachartikel wurde bisher 15 mal aufgerufen.
Der Fachartikel mit dem Titel:
"DORA: Technische Regulierungsstandards für die Untervergabe von IKT-Dienstleistungen: Präzisierung der Anforderungen für Finanzunternehmen"
steht unter der journalistisch-redaktionellen Verantwortung von
S&P Unternehmerforum GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).