Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsrahmenwerks für kritische IKT-Drittdienstleister, die auf dem Finanzmarkt tätig sind. Dabei handelt es sich um ein völlig neues Element der EU-Finanzmarktregulierung. Es verfolgt das Ziel, die Konvergenz und Effizienz von Aufsichtskonzepten in Bezug auf das IKT-Drittparteienrisiko im Finanzsektor zu fördern sowie die digitale operationale Resilienz von Finanzunternehmen zu stärken, um so die Stabilität des Finanzsystems der Union zu bewahren.
Im Fokus des Überwachungsrahmenwerks stehen jene IKT-Drittdienstleister, die auf Grundlage eines Einstufungsprozesses von den europäischen Aufsichtsbehörden als kritische und damit überwachungsbedürftige IKT-Drittdienstleister benannt wurden. Welche Kriterien dabei ausschlaggebend sind, regeln DORA in Art. 31 Nr. 2 sowie künftig eine Delegierte Verordnung der Europäischen Kommission. Ausschlaggebend ist dabei zum Beispiel die Frage, welche systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen zu erwarten wären, wenn der betreffende IKT-Drittdienstleister einer umfassenden Betriebsstörung unterliegt. Auch sollte die Abhängigkeit der Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf kritische oder wichtige Funktionen von Finanzunternehmen berücksichtigt werden.
Die zentrale Rolle im Überwachungsrahmenwerk spielt die federführende Überwachungsbehörde, wobei diese Funktion für jeden kritischen IKT-Drittdienstleister eine der drei europäischen Aufsichtsbehörden EBA, ESMA oder EIOPA übernimmt – je nachdem, für welche Branche der IKT-Drittdienstleister schwerpunktmäßig tätig ist. Die federführende Überwachungsbehörde hat gegenüber dem kritischen IKT-Drittdienstleister zwangsgeldbewährte Informations-, Kontroll- und Prüfrechte. Er überwacht beispielsweise, ob der Dienstleister die Anforderungen an das IKT-Risikomanagement einhält, wie sie auch für die Finanzunternehmen selbst gelten. Sollte die Aufsicht dabei Missstände feststellen, kann sie Empfehlungen aussprechen, die kritische IKT-Drittdienstleister umsetzen sollten. Andernfalls können die nationalen Aufsichtsbehörden die Finanzunternehmen dazu auffordern, die Nutzung des Dienstleisters zu unterbrechen oder gar ganz zu kündigen. Außerdem können bestimmte Maßnahmen auch auf den Internetseiten der Aufsichtsbehörden veröffentlicht werden.
Unterstützt wird die federführende Überwachungsbehörde durch ein „Gemeinsames Untersuchungsteam“. Diesen Teams gehören Expertinnen und Experten der zuständigen nationalen sowie der europäischen Aufsichtsbehörden an. Die Steuerungs- und Koordinierungsfunktion übernimmt im Überwachungsrahmenwerk das „Überwachungsforum“, ein Unterkomitee des gemeinsamen Ausschusses der drei Europäischen Aufsichtsbehörden, dem auch Vertreterinnen und Vertreter nationaler Aufsichtsbehörden angehören. Das Überwachungsforum unterstützt und berät die Arbeiten des gemeinsamen Ausschusses, beispielsweise bei der Identifikation der kritischen IKT-Drittdienstleister und bei der Ernennung der jeweiligen federführenden Überwachungsbehörde.
Finanziert wird das Überwachungsrahmenwerk durch Überwachungsgebühren, welche die kritischen IKT Drittdienstleister entrichten. Sollte ein kritischer IKT-Dienstleister freiwillig einen Antrag auf Überwachung stellen, muss er ebenfalls die Kosten dafür tragen.
Was müssen Sie wissen?
Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.
Stehen IKT-Drittdienstleister durch DORA künftig unter der Finanzdienstleistungsaufsicht?
Kritische IKT-Drittdienstleister unterstehen der Überwachung europäischer Aufsichtsbehörden, die klar von einer Aufsicht über Finanzunternehmen zu unterscheiden ist. Dies zeigt sich beispielsweise daran, dass kritische IKT-Drittdienstleister als Nicht-Finanzunternehmen keine Zulassung bei Finanzaufsichtsbehörden beantragen müssen und diese ihnen im Umkehrschluss auch nicht entzogen werden kann. Auch beschränkt sich der Überwachungsbereich der Aufsichtsbehörden nicht auf das gesamte Unternehmen, sondern auf den in Artikel 33 Absatz 3 DORA festgelegten Bewertungsrahmen. Er hat das Management der IKT-Risiken, die vom kritischen IKT-Drittdienstleister für Finanzunternehmen ausgehen können, zum Schwerpunkt. Ebenso sind die Befugnisse der Aufsichtsbehörden beschränkt (Artikel 35 DORA). Die Aufsichtsbehörden haben demnach zum Beispiel keine Befugnis zur Abbestellung von Geschäftsleiten oder den Einsatz von Sonderbeauftragten.
Wieso hat die Europäische Union mit DORA eine Überwachung von kritischen IKT-Drittdienstleistern etabliert?
Aktuell zeigt sich innerhalb der EU ein sehr heterogenes Bild in Bezug auf die Überwachung von kritischen IKT-Drittdienstleistern. Während beispielsweise in Deutschland durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) weitgehende Befugnisse für Aufsichtsbehörden gegenüber Auslagerungsunternehmen eingeführt wurden, bestehen ähnliche Rechte in anderen Ländern der EU nicht oder nicht in gleichem Maße. Angesichts der Risiken, die sich aus der Konzentration der Abhängigkeiten von kritischen IKT-Drittdienstleistern grenzüberschreitend ergeben, ist dies ein potenzielles Systemrisiko für den europäischen Finanzmarkt (vgl. Erwägungsgrund 30 zu DORA). Das Vorgehen der EU entspricht ihrer Strategie, den europäischen Binnenmarkt mit einheitlichen Regeln zu vertiefen. Es wird auch zu weniger Aufwand für die grenzüberschreitend agierenden Finanzunternehmen führen.
Welche Rechte erhalten europäische Aufsichtsbehörden bei der Überwachung
Europäische Aufsichtsbehörden werden ab Januar 2025 gegenüber kritischen IKT-Drittdienstleistern u.a. das Recht haben,
- Informationen anzufordern,
- allgemeine Untersuchungen und Prüfungen, einschließlich Vor-Ort-Prüfungen, durchzuführen,
- Empfehlungen auszusprechen zur IKT-Sicherheit (z.B. bzgl. Patching, Updates, Verschlüsselung), zu den Geschäftsbedingungen und zur geplanten Vergabe von Unteraufträgen einschließlich des Verzichts auf weitere Unteraufträge und
- öffentlich bekanntzugeben, wenn ein beaufsichtigtes Unternehmen diese Empfehlungen nicht einhält und wenn Sanktionen verhängt wurden.
Als ultima ratio wird es nationalen Aufsichtsbehörden möglich sein, die Nutzung oder den Einsatz von Diensten auszusetzen oder die Kündigung dieser zu verlangen.
Müssen Finanzunternehmen kritische IKT-Drittdienstleister künftig nicht mehr überwachen oder prüfen, wenn dies die Aufsicht übernimmt?
Finanzunternehmen müssen die Nutzung von IKT-Drittdienstleistern mit Blick auf ihr eigenes Unternehmen stets überwachen. Die Überwachung von kritischen IKT-Drittdienstleistern durch die Aufsicht erfolgt hingegen mit Blick auf den gesamten Finanzmarkt. Daher entbindet die Überwachung eines als kritisch eingestuften IKT-Drittdienstleisters durch die Aufsicht die Finanzunternehmen nicht von ihren eigenen regulatorischen Verpflichtungen. Im Gegenteil: Finanzunternehmen bleiben vielmehr voll verantwortlich.
Zusätzlich zu ihrer eigenen Überwachung profitieren die Finanzunternehmen ab 2025 von der systemweiten Überwachung durch die Aufsicht – nämlich, indem sie beispielsweise die Übersicht über die nicht oder nicht vollständig umgesetzten Empfehlungen kritischer IKT-Drittdienstleister einsehen können.
Werden Unternehmen als kritische IKT-Drittdienstleister in Zukunft überwacht, weil sie in der Vergangenheit negativ aufgefallen sind?
Der Begriff kritische IKT-Drittdienstleister steht in keinem Zusammenhang mit den Erfahrungen der Aufsicht mit diesem Dienstleister oder dessen Reputation in der Öffentlichkeit. Die Einstufung als kritischer IKT-Drittdienstleister erfolgt vielmehr in Bezug auf dessen Rolle für den Finanzmarkt. Sie wird auf Basis eines detaillierten Kriterienkatalogs der EU-Kommission bestimmt (dazu ESAs specify criticality criteria and oversight fees for critical ICT third-party providers under DORA (europa.eu)). Eine Rolle spielen dabei zum Beispiel
- systematische Auswirkungen der Zusammenarbeit mit einem IKT-Drittdienstleister auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der kritische IKT-Drittdienstleister einer umfassenden Betriebsstörung ausgesetzt wäre,
- dem systemischen Charakter oder der Bedeutung der Finanzunternehmen, die den IKT-Drittdienstleister nutzen
- oder die Abhängigkeit der Finanzindustrie vom IKT-Drittdienstleister und
- der Grad der Substituierbarkeit des IKT-Drittdienstleisters.
Bei der Einstufung nutzt die Aufsicht primär die Informationsregister der Finanzunternehmen als Datenquelle. Die Grundlage hierfür: Die ESAs haben auf Aufforderung der EU-Kommission Kriterien zur Bestimmung der Kritikalität erarbeitet und ihre gemeinsame Stellungnahme im September 2023 an die EU-Kommission übermittelt. Die EU-Kommission wird die finalen Kriterien in einem delegierten Rechtsakt veröffentlichen.
Kommen durch die Überwachung kritischer IKT-Drittdienstleister künftig noch mehr Kosten auf Finanzunternehmen zu?
Die Kosten der Überwachung müssen von den als kritische IKT-Drittdienstleister eingestuften Unternehmen selbst getragen werden. Dies gilt auch für Dienstleister, die sich auf Antrag – also freiwillig – dem Überwachungsrahmenwerk unterwerfen.
Werden Cloud-Dienstleister künftig als kritische IKT-Drittdienstleister überwacht?
Anbieter von Cloud-Dienstleistungen stehen klar im Fokus von DORA (vgl. Erwägungsgrund 20 zu DORA), jedoch unterfällt nicht jeder Cloud-Anbieter automatisch dem Überwachungsrahmenwerk der europäischen Aufsichtsbehörden. Vielmehr wird die Auswertung der Informationsregister der Finanzunternehmen im Jahr 2025 zeigen, ob der Einstufungsprozess zur Bestimmung kritischer IKT-Drittdienstleister auch dazu führt, dass künftig Cloud-Dienstleister überwacht werden. Denn dabei handelt es sich immer um Entscheidungen im Einzelfall. Die ESAs haben auf Aufforderung der EU-Kommission Kriterien zur Bestimmung der Kritikalität erarbeitet und ihre gemeinsame Stellungnahme im September 2023 an die EU-Kommission übermittelt (s. dazu ESAs specify criticality criteria and oversight fees for critical ICT third-party providers under DORA (europa.eu)). Die EU-Kommission wird die finalen Kriterien in einem delegierten Rechtsakt veröffentlichen.
