BaFin - Navigation & Service

Springe direkt zu:

Fragen und Antworten zum Management des IKT-Drittparteienrisikos

Auf dieser Seite finden Sie die Antworten zu den häufigsten Fragen zum Management des IKT-Drittparteienrisikos

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.

1. Definition

Was sind IKT-Dienstleistungen im Sinne von DORA?

Gemäß der Legaldefinition des Art. 3 Absatz 1 Nr. 21 DORA sind IKT-Dienstleistungen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen, mit Ausnahme herkömmlicher analoger Telefondienste.

Kann pauschal davon ausgegangen werden, dass jeder sonstige Fremdbezug von IT-Dienstleistungen auch eine IKT-Dienstleistung ist?

Ja, davon kann grundsätzlich ausgegangen werden.

Kann der sonstige Fremdbezug von IT-Dienstleistungen überhaupt eine IKT-Dienstleistung i.S.v. DORA sein, die der Unterstützung einer kritischen oder wichtigen Funktion des Finanzunternehmens dient?

Ja, das dürfte in der Praxis zwar eher unwahrscheinlich sein, ist aber nicht ausgeschlossen.

Stellt ein isolierter Softwarebezug eine IKT-Dienstleistung dar?

Bei reinen Softwarelizenzen handelt es sich üblicherweise um Nutzungsrechte, die keine IKT-Dienstleistung i.S.d. Art. 3 Nr. 21 DORA darstellen. Häufig gibt es aber noch begleitende IKT-Dienstleistungen, z.B. über mit dem Lizenzkauf verbundene Wartungs- und Supportverträge.

Stellt ein Bezug von „reiner“ Hardware eine IKT-Dienstleistung dar?

Bei einem reinen Kauf von Hardware liegt keine IKT-Dienstleistung i.S.v. Art. 3 Nr. 21 DORA vor.

Ist ein reiner Software-as-a-Service-Dienst (ohne Infrastructure-as-a-Service) eine IKT-Dienstleistung?

Bei Software-as-a-Service-Anwendungen handelt es sich bei einem dauerhaften Bezug um eine IKT-Dienstleistung i.S.d. Art. 3 Nr. 21 DORA.

Sind Hersteller von Hardware, die nicht nur liefern, sondern dauerhaft die Betreuung übernehmen (z.B. Fernwartung, Patches, etc.) IKT-Drittdienstleister?

Davon kann ausgegangen werden, denn der Begriff der IKT-Dienstleistung nach Art. 3 Nr. 21 DORA schließt auch Hardware und Hardware-as-a-Service ein.

Gilt DORA auch bei Auslagerungen/Ausgliederungen bzw. Weiterverlagerungen?

DORA stellt keine Anforderungen in Bezug auf Auslagerung, Ausgliederungen, Weiterverlagerungen oder Subdelegationen. Allerdings können diese Sachverhalte auch vertragliche Vereinbarungen zur Nutzung von IKT-Dienstleistungen oder Unterauftragsvergaben darstellen, die von DORA reguliert werden.

In welchem Verhältnis stehen die Anforderungen an das Drittparteienrisikomanagement nach DORA an die nationalen Anforderungen an Auslagerungen bzw. Ausgliederungen?

Die Regelungen der DORA haben im Anwendungsbereich der europäischen Verordnung grundsätzlich Vorrang. Hinsichtlich der nationalen Regelungen zu Auslagerungen bzw. Ausgliederungen äußert sich der europäische Gesetzgeber in Erwägungsgrund 29 zum Verhältnis Drittparteienrisikomanagement nach DORA und Auslagerungs- bzw. Ausgliederungsregelungen nach den nationalen Vorschriften dergestalt, dass die DORA-Prinzipien die für die Auslagerung geltenden sektorspezifischen Rechtsvorschriften ergänzen.

Fallen Angebote (z.B. Cloud-Dienste, SaaS, …), die nicht unmittelbar in Zusammenhang mit erlaubnispflichtigen Tätigkeiten stehen, auch unter den Begriff der IKT-Dienstleistung?

Ja, denn die Definition des Begriffs der IKT-Dienstleistung in Art. 3 Nr. 21 DORA enthält keine Beschränkung auf solche Dienstleistungen, die nur das erlaubnispflichtige Geschäft unterstützen. Auch eine Unterscheidung wie im Auslagerungs-/Ausgliederungsmanagement, bei denen der ausgelagerte (ausgegliederte) Prozess bzw. die ausgelagerte (ausgegliederte) Dienstleistung oder Tätigkeit ansonsten vom Unternehmen selbst erbracht würde, wird nicht getroffen.

2. Management von IKT-Drittdienstleistern

Bewirkt die DORA-Umsetzung eine wesentliche Veränderung gemäß AT 8.2 MaRisk?

Je nach Umfang der Anpassungen bei der Implementierung von DORA sollten Finanzunternehmen im Rahmen einer Wesentlichkeitsanalyse prüfen, ob die Voraussetzungen für MaRisk AT 8.2 gegeben sind.

Gibt es Standardverträge für Finanzunternehmen und IKT-Drittdienstleister, die die in DORA genannten Standardvertragsklauseln beinhalten?

In Art. 30 Abs. 4 DORA heißt es „Bei der Aushandlung vertraglicher Vereinbarungen erwägen Finanzunternehmen und IKT-Drittdienstleister die Verwendung von Standardvertragsklauseln, die von Behörden für bestimmte Dienstleistungen entwickelt wurden.“ Die zuständigen europäischen Behörden haben bislang keine entsprechenden Standardvertragsklauseln veröffentlicht. Die BaFin hat eine tabellarische Übersicht der Mindestvertragsinhalte veröffentlicht.

Soll ein Finanzunternehmen alle Unternehmen in seiner Unterauftragskette kennen?

Das Finanzunternehmen muss alle Unterauftragnehmer, die IKT-Dienstleistungen erbringen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, insbesondere entsprechend der Anforderungen des RTS Untervergabe IKT-Dienstleistungen steuern und die Unterauftragnehmerkette nach Art. 3 Abs. 6 ITS Informationsregister dokumentieren. Sollten Sie lange oder komplexe Ketten der Unterauftragsvergabe eingehen, müssen Sie gemäß Art. 29 Abs. 2 DORA bewerten, ob sich dies auf Ihre Fähigkeit, den Unterauftragnehmer angemessen überwachen zu können, auswirkt.

Gelten die strengen Vorgaben z.B. an Verträge oder den Exit auch für rein konzerninterne IKT-Dienstleister?

Die Regeln zum IKT-Drittparteienrisikomanagement gelten grundsätzlich unverändert auch für gruppeninterne IKT-Dienstleister. Der bisherige Verzicht auf Ausstiegsprozesse (z.B. gemäß AT 9 Tz. 15 lit. d MaRisk) entfällt damit. Ist das Risiko in diesen Konstellationen z.B. durch umfassendere Durchgriff- oder Kontrollmöglichkeiten für das Finanzunternehmen reduziert, ist eine Berücksichtigung der positiven Risikosituation im Rahmen der Proportionalität möglich (Art. 1 lit. e RTS Leitlinie IKT-Dienstleistungen).

Kann eine Erweiterung des Umfangs von standardisierten Zertifikaten überhaupt sinnvoll verlangt werden?

Es kann auch bei standardisierten Prüfungen z.B. sinnvoll sein, von einem IKT-Drittdienstleister die Erweiterung des Prüfungsumfangs zu verlangen, damit alle vom Finanzunternehmen genutzten Dienstleistungen oder Orte der Leistungserbringung abgedeckt werden. Denkbar ist auch die Aufnahme von zusätzlichen Prüfungshandlungen.

Gibt es bei den Prüfungspflichten weiterhin die Möglichkeiten des direkten Austauschs oder eines Reportings zwischen den Internen Revisionen von IKT-Dienstleistern und Finanzunternehmen?

Prüfungsberichte der Internen Revision des IKT-Drittdienstleisters können, soweit dies angemessen ist und gewisse Kriterien beachtet werden (siehe Art. 8 Abs. 3 RTS Leitlinie IKT-Dienstleistungen), genutzt werden.

Können externe Prüfberichte zur Beurteilung von IKT-Dienstleistern herangezogen werden?

Ja, das ist grundsätzlich möglich. Die Bedingungen dazu finden sich in Art. 8 Abs. 2 und 3 RTS Leitlinie IKT-Dienstleistungen.

Sind Tochter- / Muttergesellschaften, die IKT-Dienstleistungen zur Verfügung stellen automatische IKT-Dienstleister im Rahmen dieser Regulierung oder gelten hier konzernintern vereinfachte Regeln?

Der Erwägungsgrund 63 DORA stellt klar, dass "Unternehmen, die Teil einer Finanzgruppe sind und IKT-Dienstleistungen vorwiegend für ihr Mutterunternehmen oder für Tochterunternehmen oder Zweigniederlassungen ihres Mutterunternehmens erbringen, sowie Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen erbringen, ebenfalls als IKT-Drittdienstleister im Sinne dieser Verordnung gelten sollten."

Kann ein beaufsichtigtes Finanzunternehmen IKT-Drittdienstleister für ein anderes beaufsichtigtes Finanzunternehmen sein?

Dies hängt von der Art der erbrachten Dienstleistung des regulierten Finanzunternehmens ab. Ist diese Dienstleistung selbst eine regulierte Finanzdienstleistung oder eine untrennbar damit verbundene Nebenleistung, dann wird diese nicht als IKT-Dienstleistungen i.S.v. Art. 3 Nr. 21 DORA behandelt. Dies gilt allerdings nur hinsichtlich der Anforderungen aus dem IKT-Drittparteienrisikomanagement, sonstige Anforderungen von DORA sowie sektorale Auslagerungsanforderungen gelten aber weiterhin. Diese Differenzierung hat die Kommission im Rahmen des europäischen Q&A-Prozesses mitgeteilt.

3. kritische oder wichtige Funktion

Was ist die Definition von „kritischen Dienstleistungen“?

IKT-Dienstleistungen, die kritische oder wichtige Funktionen der Finanzunternehmen unterstützen, sind in Art. 3 Nr. 21 und 22 DORA definiert. Die Bewertung, welche Funktionen kritisch oder wichtig sind, wird vom Finanzunternehmen vorgenommen. Funktionen sind dabei Aktivitäten, Dienstleistungen, Prozesse oder Vorgänge (s. Q&A DORA019). Davon abzugrenzen sind kritische IKT-Drittdienstleister, die in Art. 3 Nr. 23 DORA definiert werden. Diese werden gemäß Art. 31 DORA nach den Regelungen des Rahmenwerks zur Überwachung kritischer IKT-Drittdienstleister durch die Aufsichtsbehörden als kritisch eingestuft.

Beziehen sich „kritische oder wichtige Funktionen“ i.S.d. Art. 3 Nr. 22 DORA nur auf das Schutzziel „Verfügbarkeit“? Kann man die anderen Schutzziele ignorieren?

Die Definition von kritischen oder wichtigen Funktionen bezieht sich auf die Auswirkungen eines Ausfalls und teilweise auf die Auswirkungen einer unterbrochenen, fehlerhaften oder unterbliebenen Leistung beim Finanzunternehmen. Dies hat Ähnlichkeiten mit dem Schutzziel der Verfügbarkeit, ist aber damit nicht identisch. Die Analyse der Funktionen sollte durch die Finanzunternehmen anhand der Kriterien aus der Definition des Art. 3 Nr. 22 DORA vorgenommen werden.

Was ist eigentlich der Unterschied zwischen „kritisch“ und „wichtig“ i.S.d. Art. 3 Nr. 22 DORA?

Der europäische Gesetzgeber weist den beiden Worten in seiner Definition in Art. 3 Nr. 22 DORA keine eigene Bedeutung zu. Sie werden vielmehr im Paar „kritisch oder wichtig“ genutzt und definiert.

Sind kritische oder wichtige Funktionen i.S.d. Art. 3 Nr. 22 DORA immer auch wesentliche Auslagerungen und umgekehrt?

Nein, die Definitionen von „kritischen oder wichtigen Funktionen“ und der „Wesentlichkeit“ weichen voneinander ab, die anzulegenden Kriterien unterscheiden sich. Daher kann nicht pauschal von einer Kategorie in die andere übergeleitet werden.

Nimmt das Finanzunternehmen oder auch der IKT-Drittdienstleister die Bewertung vor, ob die IKT-Dienstleistung eine kritische oder wichtige Funktion des Finanzunternehmens unterstützt?

Da das Finanzunternehmen die regulatorischen Pflichten der DORA erfüllen muss, liegt auch die Pflicht zur Bewertung beim Finanzunternehmen. Dazu müssen Finanzunternehmen entsprechende Kriterien und Verfahren entwickeln und dokumentieren. Eine IKT-Dienstleistung „unterstützt“ eine kritische oder wichtige Funktion, wenn diese für deren Erbringung erforderlich ist, d.h. die kritische oder wichtige Funktion kann ohne die betroffene IKT-Dienstleistung nicht ausgeführt werden (s. Q&A DORA006).

Kann man sich bei der Einschätzung, inwiefern ein Unterauftragnehmer kritisch für die Leistung eines IKT-Drittdienstleisters ist, auf dessen Einschätzung verlassen oder muss das Finanzunternehmen diese Bewertung selbst vornehmen?

Das Finanzunternehmen ist vollständig für die Einhaltung der regulatorischen Anforderungen verantwortlich. Daher sollte es die vom IKT-Drittdienstleister zur Verfügung gestellten Informationen kritisch prüfen und in Zweifelsfällen mit diesem Rücksprache halten.

Ist ein Unterauftragnehmer des IKT-Drittdienstleisters, welcher für ihn eine Software programmiert, wirklich kritisch, wenn ein anderer Dienstleister diese Software ebenso programmieren könnte?

Die Frage lässt sich pauschal nicht beantworten. Entscheidend ist an dieser Stelle, ob die Software des Unterauftragnehmers für die Erbringung der IKT-Dienstleistung des IKT-Drittdienstleisters essenziell ist. Beachten Sie in diesem Zusammenhang insbesondere Erwägungsgrund 6 des ITS zum Informationsregister. Darin wird nicht auf eine Substituierbarkeit des Sub-Dienstleisters Bezug genommen.

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular.

Wir freuen uns über Ihr Feedback