DORA hat auch die Risiken im Blick, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken – und zwar während des gesamten Lebenszyklus des Bezugs.

Eine wichtige Voraussetzung hierfür ist, dass schon vor Vertragsabschluss eine Ex-ante-Risikobewertung und Due-Diligence stattfindet. Dabei sollen die Finanzunternehmen zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: Die Verordnung legt zum Beispiel fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu leisten. Außerdem müssen die Finanzunternehmen bei kritischen oder wichtigen Funktionen eine Ausstiegsstrategie vorweisen können.

Ihre abgeschlossenen IKT-Vertragsbeziehungen müssen die Finanzunternehmen in ein Informationsregister eintragen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteienrisiken strukturiert zu managen. Zweitens dient es der Aufsicht als Grundlage, um die kritischen IKT-Drittdienstleister bestimmen zu können. Damit liefern die Informationen aus dem Register einen wesentlichen Input für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.

Die BaFin informiert mit einer Aufsichtsmitteilung zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement

Die Aufsichtsmitteilungen sind nicht verpflichtende Hilfestellungen, die Unternehmen dabei unterstützen sollen, die Anforderungen aus DORA an das IKT-Risikomanagement (Artikel 5 – 15 bzw. 16 DORA) und das IKT‑Drittparteienrisikomanagement (Artikel 28 - 30 DORA) umzusetzen. Dabei berücksichtigen sie auch die einschlägigen technischen Regulierungsstandards.

Die Aufsichtsmitteilung von Juni 2024 unterstützt die Unternehmen bei der Umsetzung der DORA-Anforderungen an das reguläre IKT-Risikomanagement (Artikel 5 - 15 DORA) und das IKT-Drittparteienrisikomanagement (Artikel 28 - 30 DORA). Sie nimmt nur Bezug auf die Bankaufsichtlichen Anforderungen an die IT (BAIT) und die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Die betrachteten Vorgaben sind jedoch häufig vergleichbar mit den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) und den Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT). Die Ergebnisse lassen sich also meist übertragen.

Die Aufsichtsmitteilung von August 2025 richtet sich dagegen insbesondere an die von der BaFin beaufsichtigten Unternehmen, die bisher unter die Anwendungsbereiche der BAIT oder VAIT gefallen sind – oder übergangsweise noch unter die BAIT fallen – und die Anforderungen an den vereinfachten IKT‑Risikomanagementrahmen gemäß Artikel 16 DORA einzuhalten haben. Diese Aufsichtsmitteilung betrifft nur die BAIT/VAIT, da keine Unternehmen, die unter die KAIT oder ZAIT fielen, von Artikel 16 DORA erfasst werden.

In einer Übersicht sind die Mindestvertragsinhalte aufgeführt, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen. Sie enthält auch eine Spalte für die Anforderungen, die für die Unternehmen relevant sind, die (künftig) unter Artikel 16 DORA fallen.

Die Aufsichtsmitteilung zum regulären IKT-Risikomanagementrahmen und die zugehörige Übersicht zu den Dokumentationsanforderungen sind auch in englischer Sprache verfügbar.

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.