Kritische IKT-Drittdienstleister unterstehen der Überwachung europäischer Aufsichtsbehörden, die klar von einer Aufsicht über Finanzunternehmen zu unterscheiden ist. Dies zeigt sich beispielsweise daran, dass kritische IKT-Drittdienstleister als Nicht-Finanzunternehmen keine Zulassung bei Finanzaufsichtsbehörden beantragen müssen und diese ihnen im Umkehrschluss auch nicht entzogen werden kann. Auch beschränkt sich der Überwachungsbereich der Aufsichtsbehörden nicht auf das gesamte Unternehmen, sondern auf den in Artikel 33 Absatz 3 DORA festgelegten Bewertungsrahmen. Er hat das Management der IKT-Risiken, die vom kritischen IKT-Drittdienstleister für Finanzunternehmen ausgehen können, zum Schwerpunkt. Ebenso sind die Befugnisse der Aufsichtsbehörden beschränkt (Artikel 35 DORA). Die Aufsichtsbehörden haben demnach zum Beispiel keine Befugnis zur Abbestellung von Geschäftsleiten oder den Einsatz von Sonderbeauftragten.

Bisher zeigte sich innerhalb der EU ein sehr heterogenes Bild in Bezug auf die Überwachung von kritischen IKT-Drittdienstleistern. Während beispielsweise in Deutschland durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) weitgehende Befugnisse für Aufsichtsbehörden gegenüber Auslagerungsunternehmen eingeführt wurden, bestehen ähnliche Rechte in anderen Ländern der EU nicht oder nicht in gleichem Maße. Angesichts der Risiken, die sich aus der Konzentration der Abhängigkeiten von kritischen IKT-Drittdienstleistern grenzüberschreitend ergeben, ist dies ein potenzielles Systemrisiko für den europäischen Finanzmarkt (vgl. Erwägungsgrund 30 zu DORA). Das Vorgehen der EU entspricht ihrer Strategie, den europäischen Binnenmarkt mit einheitlichen Regeln zu vertiefen. Es wird auch zu weniger Aufwand für die grenzüberschreitend agierenden Finanzunternehmen führen

Finanzunternehmen müssen die Nutzung von IKT-Drittdienstleistern mit Blick auf ihr eigenes Unternehmen stets überwachen. Die Überwachung von kritischen IKT-Drittdienstleistern durch die Aufsicht erfolgt hingegen mit Blick auf den gesamten Finanzmarkt. Daher entbindet die Überwachung eines als kritisch eingestuften IKT-Drittdienstleisters durch die Aufsicht die Finanzunternehmen nicht von ihren eigenen regulatorischen Verpflichtungen. Im Gegenteil: Finanzunternehmen bleiben vielmehr voll verantwortlich.
Zusätzlich zu ihrer eigenen Überwachung profitieren die Finanzunternehmen von der systemweiten Überwachung durch die Aufsicht – nämlich, indem sie beispielsweise die Übersicht über die nicht oder nicht vollständig umgesetzten Empfehlungen kritischer IKT-Drittdienstleister einsehen können.

Der Begriff kritische IKT-Drittdienstleister steht in keinem Zusammenhang mit den Erfahrungen der Aufsicht mit diesem Dienstleister oder dessen Reputation in der Öffentlichkeit. Die Einstufung als kritischer IKT-Drittdienstleister erfolgt vielmehr in Bezug auf dessen Rolle für den Finanzmarkt. Sie wird auf Basis eines detaillierten Kriterienkatalogs der delegierten Verordnung der EU-Kommission bestimmt. Eine Rolle spielen dabei zum Beispiel systematische Auswirkungen der Zusammenarbeit mit einem IKT-Drittdienstleister auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der kritische IKT-Drittdienstleister einer umfassenden Betriebsstörung ausgesetzt wäre, dem systemischen Charakter oder der Bedeutung der Finanzunternehmen, die den IKT-Drittdienstleister nutzen oder die Abhängigkeit der Finanzindustrie vom IKT-Drittdienstleister und der Grad der Substituierbarkeit des IKT-Drittdienstleisters.
Bei der Einstufung nutzt die Aufsicht primär die Informationsregister der Finanzunternehmen als Datenquelle, die diese jährlich der Aufsicht übermitteln und Aufschluss über alle vertraglichen Vereinbarungen über IKT-Dienstleistungen geben.

Die Einstufung erfolgt anhand der Kriterien die einerseits durch Art. 31 Abs. 2 DORA normiert und die andererseits durch die Delegierte Verordnung zur Festlegung der Einstufungskriterien konkretisiert werden. Von Bedeutung ist dabei nicht, die Einschätzung des Finanzunternehmens über die Kritikalität des Dienstleisters. Dies sollte jedoch nicht damit verwechselt werden, dass gemäß Art. 31 Abs. 2 lit. d DORA bei der Einstufung der IKT-Drittdienstleister die Abhängigkeit des Finanzmarktes von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf kritische oder wichtige Funktionen von Finanzunternehmen berücksichtigt werden soll.

Anbieter von Cloud-Dienstleistungen stehen klar im Fokus von DORA (vgl. Erwägungsgrund 20 zu DORA), jedoch unterfällt nicht jeder Cloud-Anbieter automatisch dem Überwachungsrahmenwerk der europäischen Aufsichtsbehörden. Vielmehr wird die jährliche Auswertung der Informationsregister der Finanzunternehmen zeigen, ob der jeweilige Cloud-Dienstleister die Einstufungskriterien erfüllt und als kritischer IKT-Drittdienstleister überwacht wird. Denn dabei handelt es sich immer um Entscheidungen im Einzelfall.

Die Europäischen Aufsichtsbehörden werden gemäß Art. 31 Abs. 9 DORA jährlich die Liste kritischer IKT-Drittdienstleister auf Unionsebene veröffentlichen. Eine Negativkommunikation erfolgt nicht. Wer nicht auf der Liste steht, ist auch kein kritischer IKT-Drittdienstleister.

Aufgrund der jährlichen Einstufung kritischer IKT-Drittdienstleister erfolgt zu diesem Zwecke auch jährlich die Auswertung der Informationsregister der Finanzunternehmen. Dies bedeutet, dass ein IKT-Drittdienstleister, der zwar bei der ersten Einstufung 2025 noch nicht als kritisch eingestuft wurde, durchaus in den Folgejahren noch als kritischer IKT-Drittdienstleister eingestuft werden kann, wenn er dann die Kritikalitätskriterien der Delegierten Verordnung zur Festlegung der Einstufungskriterien erfüllt. Umgekehrt kann sich im Laufe der Jahre auch die Situation ergeben, dass kritische IKT-Drittdienstleister nicht mehr überwacht werden, weil sich z.B. ihr Kundenstamm derart verändert hat, dass keine Abhängigkeit des Finanzmarktes von ihren Dienstleistungen mehr besteht.

Die Überwachung von IKT-Drittdienstleistern setzt voraus, dass eine umfassende Betriebsstörung bei diesem Dienstleister aufgrund seiner Verflechtungen auch dem Finanzmarkt systemische Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen hätte. Dies setzt nach dem zweistufigen Bewertungsverfahren auf der ersten Stufe gemäß des Art. 2 der Delegierten Verordnung zur Festlegung der Einstufungskriterien voraus, dass der IKT-Drittdienstleister die 10%- Hürde innerhalb seiner Kategorie von Finanzunternehmen überschreitet. Davon ist bei einem IKT-Drittdienstleister mit allein einem einzigen Kunden nicht auszugehen.

Grundlage für die Einstufung sind die Informationsregister der Finanzunternehmen, zu deren Einreichung die deutschen Finanzunternehmen bis zum 11. April 2025 verpflichtet sind. Zeitnah nach diesem Datum werden daher zunächst die Informationsregister der Finanzunternehmen ausgewertet und danach dann die Einstufung erfolgen. Eine finale Liste kritischer IKT-Drittdienstleister haben die ESAs für die zweite Jahreshälfte in 2025 angekündigt.

Jeder IKT-Drittdienstleister wird autonom beurteilt. Der Umstand, dass ein IKT-Drittdienstleister als kritisch eingestuft wird, führt nicht automatisch dazu, dass andere mit diesem in einem Vertragsverhältnis stehenden IKT-Drittdienstleister ebenfalls als kritisch eingestuft wird.

Besondere Anforderungen ergeben sich für Finanzunternehmen daraus nicht. Auch die Vertragsanforderungen sind unabhängig davon, ob das Finanzunternehmen in einem Vertragsverhältnis zu einem kritischen IKT-Drittdienstleister steht. Dies sollte jedoch nicht damit verwechselt werden, dass auf Finanzunternehmen zusätzliche Vertragsanforderungen zukommen, wenn die IKT-Dienstleistung der Unterstützung kritischer oder wichtiger Funktionen im Finanzunternehmen dient (vgl. Art. 30 Abs. 3 DORA).

Finanzunternehmen müssen nicht die Kritikalität des IKT-Drittdienstleisters bewerten, sondern ob die von diesem bereitgestellten IKT-Dienstleistungen eine kritische oder wichtige Funktion des Finanzunternehmens unterstützt. Die Kritikalität des IKT-Drittdienstleisters bewertet allein die Aufsicht.

Die Regelungen der DORA-Verordnung gelten nur für Finanzunternehmen. Anforderungen unmittelbar an IKT-Drittdienstleister bestehen nicht, beeinflussen diese jedoch mittelbar durch die Vertragsbeziehung zu Finanzunternehmen. Hier sind Finanzunternehmen daher auf die Mitwirkung der IKT-Drittdienstleisters zur Erfüllung ihrer regulatorischen Anforderungen angewiesen. Dies betrifft insbesondere die Regelungen zu den Mindestvertragsbestandteilen. Verantwortlich für die Einhaltung der regulatorischen Anforderungen bleiben die Finanzunternehmen.

Die Bewertung des kritischen IKT-Drittdienstleisters durch die europäischen Aufsichtsbehörden beschränkt sich auf den abschließenden Katalog des Art. 33 Abs. 3 DORA. Dieser umfasst unter anderem IKT-Anforderungen zur Gewährleistung der Sicherheit, Verfügbarkeit, Kontinuität, Skalierbarkeit und Qualität der Dienste, die physische Sicherheit, Risikomanagementprozesse, Governance-Regelungen, Tests von IKT-Systemen, Infrastrukturen und Kontrollen oder IKT-Audits.

Europäische Aufsichtsbehörden haben gegenüber kritischen IKT-Drittdienstleistern insbesondere das Recht,

• Informationen anzufordern,
• allgemeine Untersuchungen und Prüfungen, einschließlich Vor-Ort-Prüfungen, durchzuführen,
• Empfehlungen auszusprechen zur IKT-Sicherheit (z.B. bzgl. Patching, Updates, Verschlüsselung), zu den Geschäftsbedingungen und zur geplanten Vergabe von Unteraufträgen einschließlich des Verzichts auf weitere Unteraufträge und
• öffentlich bekanntzugeben, wenn ein kritischer IKT-Drittdienstleister diese Empfehlungen nicht einhält und wenn Sanktionen verhängt wurden.

Von Finanzunternehmen können die nationalen Aufsichtsbehörden verlangen, die Nutzung oder den Einsatz von Diensten des kritischen IKT-Drittdienstleisters auszusetzen oder die Kündigung dieser zu verlangen, wenn sich der IKT-Drittdienstleister hinsichtlich der ausgesprochenen Empfehlungen nicht kooperativ zeigt.

Die Überwachung kritischer IKT-Drittdienstleister durch die Aufsichtsbehörden hat Risiken für den gesamten Finanzmarkt im Blick, wohingegen der Fokus der Prüfungen des einzelnen Finanzunternehmens auf dem eigenen Unternehmen liegt. Daher entbindet die Prüfung des kritischen IKT-Drittdienstleisters durch die Aufsicht die Finanzunternehmen nicht davon, selbst Prüfungen durchzuführen, sofern es diese nach den regulatorischen Anforderungen notwendig sind. Dabei können sie jedoch Anhaltspunkte aus den Mitteilungen der Aufsicht über ausgesprochene oder nicht-umgesetzte Empfehlungen entnehmen. Sofern sich nach Beginn der Überwachung Synergiemöglichkeiten zeigen, ist die BaFin bestrebt, diese auch im Interesse des Finanzmarktes zu nutzen.

Ergebnisse aus der Überwachung kritischer IKT-Drittdienstleister werden Aufsichtsbehörden grundsätzlich nicht mit dem Finanzmarkt teilen, da diese ebenso vertraulich sind wie die Ergebnisse aus der Aufsicht der Finanzunternehmen. Eine Ausnahme besteht nur im Hinblick auf Empfehlungen gegenüber dem kritischen IKT-Drittdienstleister, die den Finanzunternehmen gemäß Art. 42 Abs. 3 DORA zum Zwecke des Risikomanagements mitgeteilt werden, die mit diesem Dienstleister in einem Vertragsverhältnis stehen. Sofern der kritische IKT-Drittdienstleister Empfehlungen nicht nachkommt, wird dies grundsätzlich gemäß Art. 42 Abs. 2 DORA ebenso für die Allgemeinheit veröffentlicht, wie wenn gegen ihn ein Zwangsgeld erlassen wird.

Gem. Art. 42 Abs. 3 und 4 DORA unterrichten die national zuständigen Behörden die Finanzunternehmen über Empfehlungen der federführenden Überwachungsbehörde gegenüber kritischen IKT-Drittdienstleistern, zu denen diese in einem Vertragsverhältnis stehen. Dadurch sollen die Finanzunternehmen die in den Empfehlungen festgestellten spezifischen Risiken bei seinem Management des IKT-Drittparteienrisikos berücksichtigen können.

Die DORA-Verordnung sieht in Art. 42 Abs. 2 bzw. Art. 35 Abs. 10 DORA nur vor, dass eine Veröffentlichung durch die federführenden Aufsichtsbehörden erfolgt, macht jedoch keine Angaben dazu, wo dies genau sein wird. Anders ist dies im Hinblick auf verwaltungsrechtliche Sanktionen der zuständigen Behörden gegenüber Finanzunternehmen vorgesehen, da diese gemäß Art. 54 Abs. 1 DORA auf den amtlichen Websites erfolgen wird. Sobald hier Näheres bekannt ist, wird die BaFin dies mitteilen.

Nein. Das Finanzunternehmen, das mit einem Dienstleister in einem Vertragsverhältnis über die Nutzung von IKT-Dienstleistungen steht, ist im Rahmen des Drittparteienrisikomanagements gemäß Art. 28 Abs. 1 lit. a DORA jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller regulatorischen Verpflichtungen verantwortlich. Daran ändert auch die Überwachung des IKT-Drittdienstleisters als kritischer IKT-Drittdienstleister nichts.

Die Regelung des Art. 35 Abs. 8 DORA, die die Höhe des Zwangsgeldes normiert, macht dazu keine Angaben. Da gem. Art. 31 Abs. 3 DORA bei der Einstufung von IKT-Drittdienstleistern, die Teil einer Gruppe sind, die Kritikalitätskriterien in Bezug auf die von der Gruppe als Ganzes bereitgestellten IKT-Dienstleistungen angewandt werden, geht die BaFin derzeit davon aus, dass auch bei der Berechnung des Zwangsgeldes auf die Gruppe abgestellt werden wird.

Die federführende Überwachungsbehörde übermittelt jährlich den Überwachungsplan an den kritischen IKT-Drittdienstleister gemäß Art. 33 Abs. 4 DORA. Darin werden diesem für das Jahr die für ihn vorgesehenen Überwachungsziele und wichtigsten Überwachungsmaßnahmen beschrieben. Grundlage dafür ist die Bewertung der federführenden Überwachungsbehörde, inwieweit der kritische IKT-Drittdienstleister über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management der IKT-Risiken verfügt.

Die Kosten der Überwachung müssen gemäß Art. 43 DORA i.V.m. der Delegierten Verordnung zur Bestimmung der Überwachungsgebühren von den kritischen IKT-Drittdienstleistern selbst getragen werden.

Die Kosten betragen gem. Art. 3 Abs. 3 der Delegierten Verordnung zur Bestimmung der Überwachungsgebühren mindestens 50.000,00 Euro pro kritischem IKT-Drittdienstleister.

Die Aufsichtsbehörden greifen auch mit DORA nicht in die Vertragsautonomie der Finanzunternehmen mit ihren Dienstleistern ein. Ob eine Weiterreichung der Kosten der Überwachung an die Finanzunternehmen möglich ist, hängt daher allein von den individuellen Verträgen der Finanzunternehmen ab.

Nein, nur IKT-Drittdienstleister, die als kritische IKT-Drittdienstleister eingestuft und daher überwacht werden, müssen gemäß Art. 31 Abs. 12 DORA innerhalb von zwölf Monaten nach der Einstufung ein Tochterunternehmen in der Union gründen.

Detaillierte Anforderungen an den zu gründenden Sitz des kritischen IKT-Drittdienstleisters normiert der europäische Gesetzgeber in Art. 31 Abs. 12 DORA nicht. Anhaltspunkte bietet jedoch Erwägungsgrund 81 zu DORA, wonach diese „eine angemessene geschäftliche Präsenz“ in der Union aufrechterhalten sollen. Dadurch sollen die Prozesse rund um die Einstufung, das Aussprechen von Empfehlungen oder die Durchsetzung von Zwangsgeldern nicht durch Schwierigkeiten gefährdet werden, die aus dem Sitz des kritischen IKT-Drittdienstleisters in einem Drittstaate resultieren können.

Auswirkungen bestehen nur dann, wenn es sich bei dem IKT-Dienstleister um einen kritischen IKT-Drittdienstleister i.S.d. Art. 31 DORA handelt. Wenn dieser binnen 12 Monaten nach seiner Einstufung kein Tochterunternehmen in der Union vorweisen kann, dürfen Finanzunternehmen gemäß Art. 31 Abs. 12 DORA keine IKT-Dienstleistungen dieses kritischen IKT-Drittdienstleisters in Anspruch nehmen. Verträge, die Finanzunternehmen noch vor der Einstufung als kritischer IKT-Drittdienstleister abgeschlossen haben, müssten demnach in einem solchen Fall beendet werden.