Gemäß der Legaldefinition des Art. 3 Absatz 1 Nr. 21 DORA sind IKT-Dienstleistungen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen, mit Ausnahme herkömmlicher analoger Telefondienste.

Ja, davon kann grundsätzlich ausgegangen werden.

Ja, das dürfte in der Praxis zwar eher unwahrscheinlich sein, ist aber nicht ausgeschlossen.

Bei reinen Softwarelizenzen handelt es sich üblicherweise um Nutzungsrechte, die keine IKT-Dienstleistung i.S.d. Art. 3 Nr. 21 DORA darstellen. Häufig gibt es aber noch begleitende IKT-Dienstleistungen, z.B. über mit dem Lizenzkauf verbundene Wartungs- und Supportverträge.

Bei einem reinen Kauf von Hardware liegt keine IKT-Dienstleistung i.S.v. Art. 3 Nr. 21 DORA vor.

Bei Software-as-a-Service-Anwendungen handelt es sich um eine IKT-Dienstleistung, die bei dauerhaftem Bezug unter Art. 3 Nr. 21 DORA fällt.

Da es sich dabei um IKT-Dienstleistungen handelt, kann davon ausgegangen werden.

DORA stellt keine Anforderungen in Bezug auf Auslagerung, Ausgliederungen, Weiterverlagerungen oder Subdelegationen. Allerdings können diese Sachverhalte auch vertragliche Vereinbarungen zur Nutzung von IKT-Dienstleistungen oder Unterauftragsvergaben darstellen, die von DORA reguliert werden.

Die Regelungen der DORA haben im Anwendungsbereich der europäischen Verordnung grundsätzlich Vorrang. Hinsichtlich der nationalen Regelungen zu Auslagerungen bzw. Ausgliederungen äußert sich der europäische Gesetzgeber in Erwägungsgrund 29 zum Verhältnis Drittparteienrisikomanagement nach DORA und Auslagerungs- bzw. Ausgliederungsregelungen nach den nationalen Vorschriften dergestalt, dass die DORA-Prinzipien die für die Auslagerung geltenden sektorspezifischen Rechtsvorschriften ergänzen.

Je nach Umfang der Anpassungen bei der Implementierung von DORA sollten Finanzunternehmen im Rahmen einer Wesentlichkeitsanalyse prüfen, ob die Voraussetzungen für MaRisk AT 8.2 gegeben sind.

In Art. 30 Abs. 4 DORA heißt es „Bei der Aushandlung vertraglicher Vereinbarungen erwägen Finanzunternehmen und IKT-Drittdienstleister die Verwendung von Standardvertragsklauseln, die von Behörden für bestimmte Dienstleistungen entwickelt wurden.“ Die Aufsicht hat keine entsprechenden Standardvertragsklauseln entwickelt und uns sind bisher auch keine Standardvertragsklauseln von Behörden nach Art. 30 Abs. 4 DORA bekannt. Wesentliche Vertragsbestimmungen über die Nutzung von IKT-Dienstleistungen werden wir zusammengefasst veröffentlichen.

Das Finanzunternehmen muss alle Unterauftragnehmer, die IKT-Dienstleistungen erbringen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, vollständig überwachen und die Unterauftragnehmerkette dokumentieren (vgl. Art. 5 Final report RTS on subcontracting). Sollten Sie lange oder komplexe Ketten der Unterauftragsvergabe eingehen, müssen Sie gemäß Art. 29 Abs. 2 DORA bewerten, ob sich dies auf Ihre Fähigkeit, den Unterauftragnehmer angemessen überwachen zu können, auswirkt.

Die Regeln zum IKT-Drittparteienrisikomanagement gelten grundsätzlich unverändert auch für gruppeninterne IKT-Dienstleister. Der bisherige Verzicht auf Ausstiegsprozesse (z.B. gemäß AT 9 Tz. 15 d MaRisk) entfällt damit. Ist das Risiko in diesen Konstellationen z.B. durch umfassendere Durchgriff- oder Kontrollmöglichkeiten für das Finanzunternehmen reduziert, ist eine Berücksichtigung der positiven Risikosituation im Rahmen der Proportionalität möglich (Art. 1 lit. e RTS zur Vertragsgestaltung).

Es kann auch bei standardisierten Prüfungen z.B. sinnvoll sein, von einem IKT-Drittdienstleister die Erweiterung des Prüfungsumfangs zu verlangen, damit alle vom Finanzunternehmen genutzten Dienstleistungen oder Orte der Leistungserbringung abgedeckt werden. Denkbar ist auch die Aufnahme von zusätzlichen Prüfungshandlungen.

Prüfungsberichte der Internen Revision des IKT-Drittdienstleisters können, soweit dies angemessen ist und gewisse Kriterien beachtet werden (siehe Art. 8 Abs. 3 RTS zur Vertragsgestaltung), genutzt werden.

Ja, das ist grundsätzlich möglich. Die Bedingungen dazu finden sich in Art. 8 Absatz 2 und 3 RTS zur Vertragsgestaltung.

Der Erwägungsgrund 63 DORA stellt klar, dass "Unternehmen, die Teil einer Finanzgruppe sind und IKT-Dienstleistungen vorwiegend für ihr Mutterunternehmen oder für Tochterunternehmen oder Zweigniederlassungen ihres Mutterunternehmens erbringen, sowie Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen erbringen, ebenfalls als IKT-Drittdienstleister im Sinne dieser Verordnung gelten sollten."

IKT-Dienstleistungen, die kritische oder wichtige Funktionen der Finanzunternehmen unterstützen, sind in Art. 3 Nr. 21 und 22 DORA definiert. Die Bewertung, welche Funktionen kritisch oder wichtig sind, wird vom Finanzunternehmen vorgenommen. Davon abzugrenzen sind kritische IKT-Drittdienstleister, die in Art. 3 Nr. 23 DORA definiert werden. Diese werden gemäß Art. 31 DORA nach den Regelungen des Rahmenwerks zur Überwachung kritischer IKT-Drittdienstleister durch die Aufsichtsbehörden als kritisch eingestuft.

Die Definition von kritischen oder wichtigen Funktionen bezieht sich auf die Auswirkungen eines Ausfalls und teilweise auf die Auswirkungen einer unterbrochenen, fehlerhaften oder unterbliebenen Leistung beim Finanzunternehmen. Dies hat Ähnlichkeiten mit dem Schutzziel der Verfügbarkeit, ist aber damit nicht identisch. Die Analyse der Funktionen sollte durch die Finanzunternehmen anhand der Kriterien aus der Definition des Art. 3 Nr. 22 DORA vorgenommen werden.

Der europäische Gesetzgeber weist den beiden Worten in seiner Definition in Art. 3 Nr. 22 DORA keine eigene Bedeutung zu. Sie werden vielmehr im Paar „kritisch oder wichtig“ genutzt und definiert.

Nein, die Definitionen von „kritischen oder wichtigen Funktionen“ und der „Wesentlichkeit“ weichen voneinander ab, die anzulegenden Kriterien unterscheiden sich. Daher kann nicht pauschal von einer Kategorie in die andere übergeleitet werden.

Da das Finanzunternehmen die regulatorischen Pflichten der DORA erfüllen muss, liegt auch die Pflicht zur Bewertung beim Finanzunternehmen. Dazu müssen Finanzunternehmen entsprechende Kriterien und Verfahren entwickeln und dokumentieren.

Das Finanzunternehmen ist vollständig für die Einhaltung der regulatorischen Anforderungen verantwortlich. Daher sollte es die vom IKT-Drittdienstleister zur Verfügung gestellten Informationen kritisch prüfen und in Zweifelsfällen mit diesem Rücksprache halten.

Die Frage lässt sich pauschal nicht beantworten. Entscheidend ist an dieser Stelle, ob die Software des Unterauftragnehmers für die Erbringung der IKT-Dienstleistung des IKT-Drittdienstleisters essenziell ist. Beachten Sie in diesem Zusammenhang insbesondere Erwägungsgrund 6 des ITS zum Informationsregister. Darin wird nicht auf eine Substituierbarkeit des Sub-Dienstleister Bezug genommen.