Kritische IKT-Drittdienstleister

Kritische IKT-Drittdienstleister

Artikel 31 DORA – Einstufung kritischer IKT-Drittdienstleister

Mit Artikel 31 der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – DORA) hat die EU erstmals ein Verfahren zur Einstufung von IKT-Drittdienstleistern als kritisch für den Finanzsektor geschaffen.

Die Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) führen diese Bewertung über den Gemeinsamen Ausschuss und das Überwachungsforum durch. Maßgebliche Kriterien sind:

  • Systemische Auswirkungen auf Stabilität, Kontinuität oder Qualität der Finanzdienstleistungen,
  • Systemische Bedeutung der Kunden (z. B. G-SRI / A-SRI),
  • Abhängigkeit von kritischen oder wichtigen Funktionen,
  • Grad der Substituierbarkeit des Dienstleisters.

Die Einstufung folgt einem zweistufigen Verfahren (quantitative Filterung → qualitative Analyse). Nach erfolgter Einstufung wird der Anbieter in die jährliche EU-Liste kritischer IKT-Drittdienstleister aufgenommen und einer federführenden Überwachungsbehörde zugeordnet.

Der europäische Überwachungsrahmen (Art. 32–44 DORA)

Zielsetzung und Struktur

Der Überwachungsrahmen nach DORA Kapitel V Abschnitt II (Art. 31 – 44) stellt ein völlig neues Element der EU-Finanzmarktregulierung dar. Ziel ist es, die operationale Resilienz des Finanzsektors zu stärken und einheitliche Aufsichtsstandards für IKT-Drittdienstleister zu schaffen, deren Ausfälle systemische Folgen haben könnten.

Federführende Überwachungsbehörde

Für jeden kritischen Dienstleister übernimmt eine ESA die Rolle des Lead Overseer – je nach Branche EBA (Banken), EIOPA (Versicherer) oder ESMA (Wertpapiermärkte).
Sie verfügt über umfassende Informations-, Prüfungs- und Empfehlungsrechte (Art. 35 DORA) und wird durch gemeinsame Untersuchungsteams (Joint Examination Teams) unterstützt.

Aufgaben und Befugnisse

  • Bewertung der Governance, Sicherheits- und Risikostrukturen,
  • Anforderung von Informationen und Dokumenten,
  • Durchführung von Inspektionen und technischen Prüfungen,
  • Erteilung von Empfehlungen und Abhilfemaßnahmen.

Folge- und Kostenregelung

Werden Empfehlungen nicht umgesetzt, können nationale Aufsichten Finanzinstitute verpflichten, die Zusammenarbeit mit dem Dienstleister auszusetzen oder zu beenden (Art. 42).
Die Kosten der Aufsicht tragen die kritischen Anbieter selbst (Art. 43 – Delegierte VO 2024/1505).

Delegierte Verordnungen – Die technischen Grundlagen

Delegierte Verordnung (EU) 2024/1502 – Einstufungskriterien (Art. 31 Abs. 6 DORA)

Diese Verordnung legt konkrete Bewertungsmaßstäbe fest:

  • Zweistufiges Verfahren (quantitativ ≥ 10 % Schwellen + qualitative Risikobewertung),
  • Kriterien: Systemische Auswirkungen, systemische Bedeutung der Kunden, kritische Funktionen, Substituierbarkeit,
  • Datenquellen: Informationsregister nach Art. 28 DORA, ggf. weitere Marktdaten,
  • Anwendung: ab Juni 2024 (teilweise Pflichten ab Jan 2025).

Damit existieren erstmals objektive europaweit einheitliche Messgrößen zur Beurteilung von IKT-Drittdienstleistern.

OJ_L_202401502_DE_TXTHerunterladen

Delegierte Verordnung (EU) 2024/1505 – Überwachungsgebühren (Art. 43 Abs. 2 DORA)

Sie regelt die Finanzierung des Überwachungsrahmens durch jährliche Gebühren der kritischen Anbieter:

  • Bemessungsgrundlage: EU-Umsatz mit Finanzunternehmen (zwei Jahre rückliegend),
  • Berechnung: (ESA-Gesamtkosten × Umsatzanteil des Anbieters),
  • Mindestgebühr: 50 000 EUR p. a.,
  • Fälligkeit: bis 30. April bzw. 31. Dezember bei unterjähriger Einstufung,
  • Opt-in-Fee: 50 000 EUR bei freiwilliger Einstufung.

Ziel ist eine kostendeckende, verursachungsgerechte Finanzierung des Aufsichtssystems.

OJ_L_202401505_DE_TXTHerunterladen

Delegierte Verordnung (EU) 2025/295 – Harmonisierung der Überwachung (Art. 41 DORA)

Diese Regulierung vereinheitlicht die Bedingungen für Überwachungstätigkeiten der ESA:

  • Inhalt von Anträgen auf freiwillige Einstufung (Unternehmens-, Markt- und Strukturangaben),
  • Informationspflichten kritischer Dienstleister (Governance, IKT-Sicherheit, Datenstandorte, Audits),
  • Abhilfemaßnahmen-Pläne nach Empfehlungen des Lead Overseer (Art. 35 DORA),
  • Standardisierte Vorlage für Sub-Outsourcing mit detaillierten Angaben zu Vertrag, Risiken, Business Continuity und Audits,
  • Kooperation ESA ↔ nationale Aufsichten (Art. 6), um Risiken konsistent zu bewerten und Rückmeldungen abzustimmen.
OJ_L_202500295_DE_TXTHerunterladen

Joint Guidelines und Leitfäden

Zur praktischen Umsetzung veröffentlichten die ESAs:

  • Joint Guidelines on Oversight Cooperation and Information Exchange (Art. 32 Abs. 7 DORA) – regeln Zusammenarbeit und Datenflüsse zwischen ESA und nationalen Behörden.
  • ESA DORA Oversight Guide (2025) – praktischer Referenzrahmen für Aufsichtsaktivitäten, Risikobewertung, Berichtswesen und Follow-Up-Prozesse.

BaFin: Überwachungsrahmen für kritische IKT-Drittdienstleister

Die BaFin betont in ihrem Fachtext, dass DORA keine Finanzaufsicht über die Dienstleister begründet, sondern eine systemische Überwachung im Interesse der Finanzstabilität.
Kritische Anbieter werden nach einheitlichen Kriterien (Delegierte VO 2024/1502) benannt und unterliegen der federführenden ESA-Aufsicht mit klar begrenzten Befugnissen (Art. 35 DORA).

Wesentliche Elemente:

  • Koordinierung durch Überwachungsforum und Gemeinsame Untersuchungsteams,
  • Empfehlungen und Folgemaßnahmen bei Mängeln,
  • Transparenz durch veröffentlichte Feststellungen,
  • Finanzierung über Überwachungsgebühren (VO 2024/1505).

Für Finanzunternehmen ändert sich die Eigenverantwortung nicht: sie bleiben zur eigenen Überwachung ihrer IKT-Drittparteien verpflichtet, profitieren aber von den europäischen Systemaufsichtserkenntnissen.

https://www.bafin.de/DE/Aufsicht/DORA/Ueberwachungsrahmen_IKT_Drittdienstleister/Ueberwachungsrahmen_IKT_Drittdienstleister_node.html

BaFin: Fragen und Antworten zum Überwachungsrahmen

Was ändert sich durch DORA für IKT-Drittdienstleister?

Sie unterliegen keiner Finanzaufsicht, sondern einem europaweiten Überwachungsmechanismus. Die Aufsicht konzentriert sich auf das Management von IKT-Risiken und nicht auf das gesamte Geschäft.

Warum wurde dieser Rahmen geschaffen?

Um die bisher heterogene nationale Praxis zu vereinheitlichen und konzentrationsbedingte Systemrisiken zu vermeiden.

Was bedeutet die Einstufung als „kritisch“?

Sie spiegelt die systemische Bedeutung für den Finanzmarkt wider, nicht die Reputation des Unternehmens. Maßgeblich ist die Delegierte VO 2024/1502.

Werden Cloud-Anbieter automatisch kritisch?

Nein – nur wenn sie die objektiven Kriterien (> 10 %-Schwelle nach VO 2024/1502) erfüllen.

Wann erfolgt die erste Einstufung?

Nach Einreichung der Informationsregister bis 11. April 2025 – Veröffentlichung der ersten ESA-Liste im 2. Halbjahr 2025.

Müssen Finanzunternehmen kritische Dienstleister anders behandeln?

Nein, die regulatorischen Vertrags- und Kontrollpflichten bleiben identisch; entscheidend ist, ob die IKT-Leistung eine kritische oder wichtige Funktion des Finanzunternehmens unterstützt.

Mit dem Überwachungsrahmen für kritische IKT-Drittdienstleister führt DORA ein neues aufsichtsrechtliches Instrument ein, das den europäischen Finanzmarkt strukturell stabilisieren soll.
Die drei Delegierten Verordnungen 2024/1502, 2024/1505 und 2025/295 bilden das technische Rückgrat für Einstufung, Gebühren und Überwachung. Finanzunternehmen bleiben verantwortlich für ihre eigene Resilienz, profitieren aber von einem harmonisierten europaweiten IKT-Aufsichtsrahmen.

https://www.bafin.de/DE/Aufsicht/DORA/Ueberwachungsrahmen_IKT_Drittdienstleister/FAQ/FAQ_artikel.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert