RTS SUB: Neue DORA-Vorgaben für Untervergabe von IKT-Dienstleistungen

RTS SUB: Neue DORA-Vorgaben für Untervergabe von IKT-Dienstleistungen

Was regelt die Delegierte Verordnung (EU) 2025/532?

Die Delegierte Verordnung (EU) 2025/532 der Europäischen Kommission vom 24. März 2025 ist ein zentraler Bestandteil der Umsetzung der Digital Operational Resilience Act (DORA) – Verordnung (EU) 2022/2554. Sie konkretisiert durch technische Regulierungsstandards (RTS SUB), welche Aspekte Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen bewerten und vertraglich regeln müssen – insbesondere wenn diese Dienste kritische oder wichtige Funktionen betreffen.

Ziel ist es, die operative Resilienz zu stärken und systemische Risiken durch Sub-Outsourcing zu minimieren. Die Verordnung gilt ab dem 22. Juli 2025 und ist in allen EU-Mitgliedstaaten unmittelbar verbindlich.

Wer ist betroffen?

Die RTS SUB gilt für alle Finanzunternehmen, die unter DORA fallen, darunter:

  • Kreditinstitute
  • Zahlungs- und E-Geld-Institute
  • Wertpapierfirmen
  • Versicherungen und Rückversicherungen
  • Vermögensverwalter
  • Krypto-Dienstleister

Insbesondere Unternehmen mit komplexen IKT-Dienstleisterketten, etwa durch Cloud-, SaaS- oder Managed Service Provider, müssen ihre Lieferantenstruktur, Vertragsgestaltung und Kontrollmechanismen anpassen.

Wesentliche Anforderungen der Verordnung

  1. Risikobewertung der Untervergabe
    Finanzunternehmen müssen die Komplexität, Sensibilität und Konzentrationsrisiken jeder Untervergabe im Vorfeld bewerten.
  2. Vertragliche Regelungen zur Weitervergabe
    Es ist zwingend erforderlich, vertraglich festzulegen:
    • Welche Leistungen untervergeben werden dürfen
    • Welche Informations-, Kontroll- und Auditrechte gelten
    • Welche Standards in Bezug auf Sicherheit, Datenschutz und Betriebsfortführung einzuhalten sind
  3. Transparenz in der Subunternehmerkette
    Finanzunternehmen müssen vollständige Transparenz über alle beteiligten Unterauftragnehmer herstellen und deren Standort, aufsichtsrechtlichen Status und Leistungsumfang dokumentieren.
  4. Kündigungsrechte und Eskalation
    Die Verträge müssen klare Beendigungsrechte vorsehen, falls nicht genehmigte Untervergabe erfolgt oder Risiken nicht mehr tragbar sind.

Auswirkungen auf die Praxis

Die Delegierte Verordnung (EU) 2025/532 zwingt Finanzunternehmen dazu, ihre Outsourcing-Strategien zu überarbeiten. Ein besonderes Augenmerk liegt auf der Fähigkeit, die vollständige Leistungskette zu überblicken und zu steuern. Bereits bestehende Verträge mit Cloud-Providern oder IT-Dienstleistern müssen bis zum Inkrafttreten überprüft und ggf. angepasst werden.

Die BaFin bezeichnet die RTS SUB als verbindlichen Standard für das Sub-Outsourcing unter DORA und erwartet eine konkrete Umsetzung im Rahmen des IKT-Risikomanagements.

Jetzt handeln und RTS SUB umsetzen

Die Delegierte Verordnung (EU) 2025/532 schafft einen verbindlichen Rahmen für die risikobewusste Steuerung der Untervergabe von IKT-Dienstleistungen. Finanzunternehmen sollten ihre Verträge, Dienstleisterstrukturen und internen Kontrollsysteme rechtzeitig anpassen, um den neuen Anforderungen zu entsprechen und Sanktionen zu vermeiden.

RTS SUB

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert