DORA – Überwachungsrahmen kritischer IKT-Drittdienstleistender

IKT-Drittdienstleistende
Der Digital Operational Resilience Act (DORA) schafft einen Überwachungsrahmen zur kontinuierlichen Überwachung der Tätigkeiten von Informations- und Kommunikationstechnologie-Dienstleistenden (IKT-Drittdienstleistenden), bei denen es sich um für Finanzunternehmen kritische IKT-Drittdienstleistende handelt. Dadurch wird insbesondere auf verstärkte Auslagerungen im IKT-Bereich und auf die Konzentration der Abhängigkeiten von IKT-Drittdienstleistenden reagiert.
Zur Deckung der für den Überwachungsrahmen erforderlichen Ausgaben werden von den kritischen IKT-Drittdienstleistern Überwachungsgebühren durch die federführenden Überwachungsbehörden eingehoben.
Kritische IKT-Drittdienstleistende
Die Einstufung von IKT-Drittdienstleistenden als kritisch erfolgt durch die europäischen Aufsichtsbehörden (ESA) und beruht auf vorgegebenen Kriterien, basierend auf den von den Finanzunternehmen erstellten Informationsregistern. IKT-Drittdienstleister:innen können eine Prüfung der Einstufung als kritisch auch selbst beantragen.
Federführende Überwachungsbehörde
Die federführende Überwachungsbehörde führt in Folge die Überwachung der ihr zugewiesenen kritischen IKT-Drittdienstleister:innen durch. Dabei agieren – abhängig vom Ausmaß der Nutzung der kritischen IKT-Drittdienstleistenden durch die jeweiligen beaufsichtigen Finanzunternehmen, die an deren Bilanzsumme bemessen wird – die Europäische Bankaufsichtsbehörde (EBA) oder die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) oder die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) als federführende Überwachungsbehörde (Lead Overseer, LO).
Diese bewertet das Management der IKT-Risiken der kritischen IKT-Drittdienstleister:innen. Zur Wahrnehmung dieser Aufgabe hat sie die Befugnis, Informationen anzufordern, allgemeine Untersuchungen und Vor-Ort-Prüfungen durchzuführen, Empfehlungen abzugeben und Informationen zu von den IKT-Drittdienstleistenden auf Basis der Empfehlungen gesetzten Maßnahmen anzufordern.
Spezifische Akteure des Überwachungsrahmens
Bei der Durchführung der Tätigkeiten wird die federführende Überwachungsbehörde von gemeinsamen Untersuchungsteams (Joint Examination Teams, JETs) unterstützt, in welchen auch Mitarbeiter:innen der zuständigen Behörden mitarbeiten.
Im sogenannten gemeinsamen Überwachungsnetz (Joint Oversight Network, JON) werden Abstimmungen zwischen den federführenden Überwachungsbehörden koordiniert.
Auch ein Überwachungsforum (Oversight Forum), ein Unterkomitee des gemeinsamen Ausschusses der drei Europäischen Aufsichtsbehörden, dem auch Vertreter:innen zuständiger Behörden angehören, wird eingerichtet. Aufgaben sind die Unterstützung und die Beratung der Tätigkeiten des gemeinsamen Ausschusses der europäischen Aufsichtsbehörden, unter anderem die Vorbereitung der Einstufung und Ernennung der kritischen IKT-Drittdienstleistenden, die Erarbeitung der Entwürfe gemeinsamer Positionen und gemeinsamer Maßnahmen des Gemeinsamen Ausschusses, die jährliche Bewertung der Überwachungstätigkeit oder die Förderung der Koordinierungsmaßnahmen, um die digitale operationale Resilienz von Finanzunternehmen zu erhöhen.
Folgemaßnahmen zuständiger Behörden
Risiken, die in den Empfehlungen der federführenden Überwachungsbehörden an kritische IKT-Drittdienstleistende festgestellt worden sind, werden durch zuständige Behörden an Finanzunternehmen, die diese kritischen IKT-Drittdienstleister:innen heranziehen, kommuniziert.
Im weiteren Verlauf berücksichtigen die beaufsichtigten Unternehmen diese Informationen bei deren Management des IKT-Drittparteienrisikos. Falls dies aus Sicht der zuständigen Behörden nicht adäquat erfolgt, kann als letztes Mittel die teilweise oder vollständige Aussetzung der Dienstleistungen der kritischen IKT-Drittdienstleistenden verlangt werden.
Fragen und Antworten
Kritische IKT-Drittdienstleister werden auf Basis des Informationsregisters und vorgegebener Kriterien im zweiten Halbjahr 2025 durch die ESAs bestimmt werden. Auch auf Antrag von IKT-Drittdienstleistern ist eine Prüfung auf Kritikalität möglich.
Finanzunternehmen bleiben weiterhin voll für die Überwachung von IKT-Drittdienstleister:innen verantwortlich.
Sie werden dabei durch den im Kontext der digitalen operationalen Resilienz eingerichteten Überwachungsrahmen unterstützt, indem sie beispielweise von der Finanzmarktaufsicht Österreich (FMA) über Risiken, die in den Empfehlungen der federführenden Überwachungsbehörden an kritische IKT-Drittdienstleistende festgestellt worden sind, informiert werden. In Folge berücksichtigen die Finanzunternehmen diese Risiken beim Management des IKT-Drittparteienrisikos.
Der Überwachungsrahmen bezieht sich ausschließlich auf das Management der IKT-Risiken der kritischen IKT-Drittdienstleistenden und unterscheidet sich von der Aufsicht über Finanzunternehmen. Siehe hierzu Artikel 33 Absatz 2 und 3 DORA-Verordnung (Art. 33 Abs. 2 und 3 DORA-VO)
Der Betrieb einer kritischen IKT-Drittdienstleistung bedarf z.B. keiner Konzession. Da eine solche nicht erforderlich ist, kann diese, z.B. im Fall der Nichtumsetzung der durch die federführende Überwachungsbehörde abgegebenen Empfehlungen, auch nicht entzogen werden.
Der mit der DORA-VO geschaffene Überwachungsrahmen der Union gilt für alle kritischen IKT-Drittdienstleisterenden, und somit auch für Cloud-Dienstleistende, sofern sie als kritische IKT-Drittdienstleistende identifiziert und benannt worden sind. (Erwägungsgrund 20 DORA-VO)
Die ESA erstellen, veröffentlichen und aktualisieren die Liste kritischer IKT-Drittdienstleistender auf Unionsebene jährlich über den Gemeinsamen Ausschuss (Art. 31 Abs. 9 DORA-VO).
Zudem teilt der IKT- Drittdienstleistende den Finanzunternehmen, für die er Dienstleistungen erbringt, seine Einstufung als kritisch mit (Art. 31 Abs. 5 DORA-VO).
Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.
Rechtliche Grundlagen
Informationen zu den rechtlichen Grundlagen von DORA finden Sie auf der „DORA – Digitale operationale Resilienz im Finanzsektor“-Webseite der FMA.