Contents
- Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer o. wichtiger Funktionen (Art. 28 Abs. 2 und 10 DORA; Art. 1-11 RTS TPPol)
- Inhaltliche Anforderungen laut RTS TPPol (Art. 1–11)
- Risikoorientierte Gestaltung (Art. 1)
- Gruppenweite Konsistenz (Art. 2)
- Governance und Zuständigkeit (Art. 3)
- Lebenszyklusbetrachtung (Art. 4)
- Ex-ante-Risikobewertung (Art. 5)
- Sorgfaltspflichten (Art. 6)
- Interessenkonflikte (Art. 7)
- Vertragsinhalte und Prüfrechte (Art. 8)
- Überwachung und Qualitätssicherung (Art. 9)
- Ausstiegsstrategie (Art. 10)
- Integration in bestehende Regelwerke (Art. 11)
- Praxisbezug: Typische Schwächen in der Umsetzung
- Inhaltliche Anforderungen laut RTS TPPol (Art. 1–11)
Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer o. wichtiger Funktionen (Art. 28 Abs. 2 und 10 DORA; Art. 1-11 RTS TPPol)
Gemäß Art. 28 Abs. 2 DORA sind Finanzunternehmen verpflichtet, eine umfassende Leitlinie für die Nutzung von IKT-Dienstleistungen zu definieren – immer dann, wenn kritische oder wichtige Funktionen von externen IKT-Drittdienstleistern unterstützt werden. Diese Leitlinie ist Teil der Strategie zum IKT-Drittparteienrisiko und bildet eine der komplexesten DORA-Dokumentationspflichten.
Sie ist nicht nur auf Einzelinstitutsebene anzuwenden, sondern auch konsolidiert für Gruppenstrukturen, sofern zutreffend (Art. 2 RTS TPPol).
Inhaltliche Anforderungen laut RTS TPPol (Art. 1–11)
Risikoorientierte Gestaltung (Art. 1)
Die Leitlinie muss die Größe, Komplexität und das Gesamtrisikoprofil des Instituts sowie Art, Umfang und Standorte der IKT-Dienstleistungen berücksichtigen – inkl. Konzernbeziehungen, Drittstaatenrisiken und IKT-Konzentration.
- Art der ausgelagerten IKT-Dienstleistungen und Funktionen
- Standort des Dienstleisters und seines Mutterunternehmens (EU / Drittstaat)
- Art der verarbeiteten Daten und deren Schutzbedarf
- Gruppenzugehörigkeit und regulatorischer Status des Dienstleisters
- Möglichkeit zur Dienstleister-Substitution bei Störungen
- Auswirkungen von Ausfällen auf Betriebsfortführung und Serviceverfügbarkeit
Gruppenweite Konsistenz (Art. 2)
- Anwendung der Leitlinie auf konsolidierter oder teilkonsolidierter Gruppenebene
- Verantwortung des Mutterunternehmens für die gruppenweite Umsetzung
- Sicherstellung einheitlicher Verfahren und Risikobewertungen in allen Einheiten
- Berücksichtigung länderspezifischer Abweichungen in globalen Strukturen
Governance und Zuständigkeit (Art. 3)
- Jährliche Überprüfung und ggf. Aktualisierung der Leitlinie
- Klar zugewiesene Zuständigkeiten für Genehmigung, Steuerung und Überwachung
- Dokumentierte Verantwortlichkeit für Vertragsmanagement und Kontrolle
- Sicherstellung interner Kompetenz zum Monitoring der IKT-Dienstleistungen
- Berichtspflichten an das Leitungsorgan mit definiertem Turnus und Inhalt
Lebenszyklusbetrachtung (Art. 4)
Die Leitlinie muss alle Phasen einer Vertragsbeziehung abdecken:
- Bedarfsplanung und Risikobewertung (Art. 5)
- Auswahl und Due Diligence (Art. 6)
- Identifikation und Management von Interessenkonflikten (Art. 7)
- Vertragsgestaltung (Art. 8)
- Leistungsüberwachung (Art. 9)
- Exit-Strategie und Beendigungsplan (Art. 10)
- Dokumentation und Archivierung für das Informationsregister
Ex-ante-Risikobewertung (Art. 5)
Vor Abschluss vertraglicher Vereinbarungen mit IKT-Drittdienstleistern müssen Finanzunternehmen eine dokumentierte Risikobewertung durchführen:
- Bewertung des konkreten Geschäftsbedarfs der IKT-Dienstleistung
- Analyse operationeller, rechtlicher, IKT- und Reputationsrisiken
- Berücksichtigung datenschutzbezogener Risiken (z. B. Vertraulichkeit, Speicherort)
- Prüfung möglicher Konzentrationsrisiken auf bestimmte Dienstleister
- Anwendung auf Einzelinstituts-, teilkonsolidierter oder konsolidierter Gruppenebene
Sorgfaltspflichten (Art. 6)
Die Leitlinie muss ein strukturiertes Verfahren zur Auswahl und Bewertung von IKT-Drittdienstleistern festlegen:
- Prüfung von Reputation, Ressourcen, Fachkenntnissen und Sicherheitsstandards
- Bewertung der Fähigkeit zur technologischen Weiterentwicklung und Resilienz
- Offenlegung und Bewertung geplanter IKT-Unterauftragnehmer
- Prüfung des Drittstaatenbezugs und potenzieller geopolitischer Risiken
- Auditierbarkeit durch interne oder externe Stellen (z. B. Auditrechte, Zertifikate)
- Einhaltung ethischer, menschenrechtlicher und umweltbezogener Standards
- Verwendung mehrerer Belegquellen (z. B. Audits, Zertifikate, Prüfberichte)
Interessenkonflikte (Art. 7)
Die Leitlinie muss Maßnahmen zur Vermeidung und Steuerung von Interessenkonflikten enthalten:
- Identifikation und Bewertung potenzieller Interessenkonflikte vor Vertragsabschluss
- Einrichtung laufender Überwachungsprozesse für bestehende Konflikte
- Bei gruppeninternen Dienstleistern: objektive und nachvollziehbare Vertragsbedingungen
- Sicherstellung wirtschaftlicher Unabhängigkeit bei Preis- und Leistungsbestimmung
- Dokumentation der Entscheidungen bei Auswahl und Verhandlungen
Vertragsinhalte und Prüfrechte (Art. 8)
Verträge müssen unter anderem folgende Rechte und Pflichten regeln:
- Zugang zu Systemen, Daten, Räumen (für Finanzunternehmen, Prüfer, Aufsicht)
- Prüfrechte: Einzel- und Sammelaudits, TLPT, Zertifikate, Berichtspflichten
- Verpflichtung zur Mitwirkung gegenüber zuständigen Behörden
- Kein Ausschluss aufsichtsrechtlicher Pflichten oder Verantwortlichkeiten
- Regelung der Vertragsverlängerung und Änderung in schriftlicher Form
Überwachung und Qualitätssicherung (Art. 9)
- Definition von Leistungs- und Sicherheitskennzahlen (KPIs, KRIs)
- Regelmäßige Berichtspflichten durch IKT-Dienstleister (Betrieb, Sicherheit, Vorfälle)
- Maßnahmen bei SLA-Verletzungen oder Sicherheitsverstößen (z. B. Vertragsstrafen)
- Dokumentierte Reaktion bei IKT-bezogenen oder sicherheitsrelevanten Vorfällen
- Integration der Ergebnisse in das interne Risikomanagement und Prüfungswesen
Ausstiegsstrategie (Art. 10)
- Szenarienbasierter, realistisch getesteter Exit-Plan
- Vereinbarkeit mit Vertragslaufzeiten und Kündigungsfristen
- Dokumentation von Exit-Gründen wie z. B. Leistungsstörungen oder Vertragsbruch
- Zeitlich abgestimmter Übergangsplan für Funktionserhalt im Ausstiegsfall
- Prüfung auf Umsetzbarkeit durch Notfallübungen oder Probetests
Integration in bestehende Regelwerke (Art. 11)
- Konsistenz mit dem IKT-Risikomanagementrahmen (Art. 6 DORA)
- Berücksichtigung der Informationssicherheitsleitlinie (Art. 9 Abs. 4 DORA)
- Abstimmung mit der IKT-Geschäftsfortführungsleitlinie (Art. 11 DORA)
- Anbindung an Meldepflichten bei IKT-Vorfällen (Art. 19 DORA)
Praxisbezug: Typische Schwächen in der Umsetzung
Bei DORA-Prüfungen stellen Aufsicht und Audit typischerweise folgende Fragen:
- Gibt es eine formale, genehmigte Leitlinie mit Vollabdeckung aller RTS-Vorgaben?
- Wurde vor Vertragsabschluss eine dokumentierte Risikoanalyse inkl. Due Diligence durchgeführt?
- Sind alle Prüf- und Auskunftsrechte vertraglich geregelt und im Monitoring aktiv?
- Gibt es Nachweise über Leistungsüberwachung, Audits und Reaktionsmaßnahmen?
- Liegt ein Exit-Plan für kritische IKT-Dienstleister vor – mit Tests und klaren Zuständigkeiten?