DORA – Management des IKT-Drittparteienrisikos

Beaufsichtigte Unternehmen melden Informationsregister im Jahr 2025 zwischen dem 1. April 2025 und dem 11. April 2025 an die FMA.

Informationsregister im Jahr 2025 sind für das Referenzdatum 31. März 2025 aufzubereiten.
Die zuständigen Behörden haben Informationsregister an die ESAs bis zum 30. April 2025 zu übermitteln.

Zum Konsolidierungsgrad der Meldungen wird auf Art. 3 Decision concerning the reporting by competent authorities to the ESAs of information necessary for the designation of critical ICT third

party service providers verwiesen. Ziehen Sie zusätzlich die ESA FAQ Reporting of registers of information (RoI) under DORA heran; insb. Fragen 4 bis inkl. 9 sind für Konsolidierungsfragen relevant.
Hinweise:
– Bei AT-Gruppen sind auch Auslandstöchter in EU-Staaten sind einzubeziehen.
– In AT konzessionierte Tochterunternehmen von in anderen EU -Staaten angesiedelten Gruppen leiten ihre Register an die Konzernmutter weiter, welche diese bei ihrer zuständigen Aufsicht einbringen. Die FMA erhält Informationsregister dieser Tochterunternehmen in Folge direkt über die ESAs.
– Nur Finanzunternehmen sind in die Konsolidierung einbezogen.
– Jedes Finanzunternehmen ist in den an die ESAs übermittelten Meldungen nur einmal enthalten.
– Betriebliche Vorsorgekassen werden ab ca Mai 2025 zur Einreichung deren Informationsregister aufgefordert.

Eine Excel-Datei mit diesen Listen ist ebenfalls auf der FMA-Homepage verfügbar: Link

Die Fragen sind von der EK / den ESAs noch nicht beantwortet und in Bearbeitung.

Bei den fehlenden Auswahlmöglichkeiten ist folgende Sammelkategorie zu nutzen: ‚Nicht-Lebensversicherung: alle Zweige: nach Wahl der Mitgliedstaaten; diese Bezeichnung wird den anderen Mitgliedstaaten und der Kommission mitgeteilt.‘

Hier ist nicht nur Sheet B.05.02 (Dienstleisterkette) zu beachten, Informationen zur ersten externen Dienstleistung in einer Kette müssen auch in B.05.01 und B.07.01 (bei kritischen/wichtigen Funktionen) eingetragen werden.

In diesem Fall kann ausnahmsweise ein nationaler Code verwendet werden (siehe EBA-FAQ #40).

Eine kritische Funktion wird in Artikel 3 Absatz 22 der DORA-Verordnung (Art 3 Z 22 DORA-VO) folgendermaßen definiert:

„eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde;“

Wenn das Tochterunternehmen selbst in den Geltungsbereich von DORA fällt (Art. 2 DORA-VO), gelten alle Vorgaben in gleicher Ausprägung. Sofern Aspekte der IKT-Dienstleistung etwa an das Mutterunternehmen ausgelagert sind (oder umgekehrt), wird eine Erfassung und Behandlung als interner:e IKT-Dienstleister:in ausgelöst.

Ja. Siehe dazu auch Frage „Welche Dienstleister unterstützen kritische oder wichtige Funktionen?“.

Aus Sicht der FMA ist bei der Einstufung, welche Dienstleister kritische oder wichtige Funktionen unterstützen, ein risikobasiertes Vorgehen erforderlich. Der ESA Q&A 2750 – (siehe hierzu Q&A (2750 – DORA006 – EIOPA (europa.eu) folgend, ist bei der Einstufung insb die Frage relevant, ob der Ausfall des Systems/Dienstleisters die betroffene(n) Funktion(en) materiell (va im Hinblick auf Kontinuität und Sicherheit) einschränken würde.

Gemäß Art 4 Abs 2 DORA-VO gilt der Grundsatz der Verhältnismäßigkeit für Kapitel III und IV, sowie Kapitel V Abschnitt I, sofern dies in den dortigen einschlägigen Vorschriften vorgesehen ist. Bzgl Art 30 Abs 2 (i) DORA-VO wird in Zusammenhang mit der Teilnahme von IKT-Drittdienstleister:innen an Programmen zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz auf Art 13 Abs 6 DORA-VO verwiesen. Dort ist vorgegeben, dass Finanzunternehmen IKT-Drittdienstleister:innen gegebenenfalls (bzw gemäß englischer Fassung: as appropriate) in ihre einschlägigen Schulungsprogramme aufnehmen. Bzgl dieser Vorgabe haben Finanzunternehmen somit die Angemessenheit der Aufnahme der IKT-Drittdienstleistenden zu beurteilen.

In Annex III der Spezifikation des Informationsregister, werden Consultingverträge als eigene Kategorie angeführt (erläutert als: ‚Provision of intellectual/ICT expertise services‘). Zumindest in diesem Kontext wären solche Verträge also zu inkludieren, sofern ein klarer Bezug zu IKT-Systemen besteht.

Wenn aus dem Vertrag klar hervorgeht, dass gewisse Mindestvertragsinhalte gemäß 30 Abs 2 DORA-VO nicht anwendbar sind, müssen diese nicht als eigene Punkte im Vertrag vorhanden sein (zB wenn festgehalten wird, dass keine Daten an den Berater übertragen werden, Wegfall der Klauseln zum Ort der Datenverarbeitung etc).

Sollte ein Großteil dieser Mindestinhalte nicht anwendbar erscheinen, kann das auch ein Hinweis darauf sein, dass die konkrete Dienstleistung nicht in Bezug zu Informations- und Kommunikationstechnologien (IKT-Systeme) steht.

Hier wäre zu beachten, wie die Open-Source-Software bezogen wird. Sind hiermit noch weitere Leistungen, wie zum Beispiel laufender Support, Beratung oder Ähnliche verknüpft, kann eine IKT-Dienstleistung im Sinne von DORA vorliegen. Wird im Extremfall nur Open-Source-Code, zB von einem Repository, bezogen und innerhalb des Unternehmens verwendet, läge wohl keine Dienstleistung vor; andere Bestimmungen von DORA (zum Beispiel ICT systems acquisition, development, and maintenance) wären ungeachtet dessen gegebenenfalls anwendbar.

Art. 30 Abs. 3 lit. e (ii) DORA-VO besagt, dass die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen das Recht umfassen, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, einschließlich des Rechts, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind.

Dieser Absatz muss gemeinsam mit Art 30 Abs 3 lit e (i) DORA-VO gelesen werden:

„i) uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten und der zuständigen Behörde sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen vor Ort, wenn ihnen für die Geschäftstätigkeit des IKT-Drittdienstleisters entscheidende Bedeutung zukommt, wobei die tatsächliche Ausübung dieser Rechte nicht durch andere vertragliche Vereinbarungen oder Umsetzungsrichtlinien behindert oder eingeschränkt wird;

ii) das Recht, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind;“

Daher: falls ‚herkömmliche‘ Auditrechte aufgrund der spezifischen Situation in die Rechte anderer Kunden des Dienstleisters eingreifen würden, können alternative Wege vereinbart werden, um die Leistung des Dienstleisters zu überwachen.

Die Begriffe IKT-Dienstleistung sowie IKT-Dienstleister sind in Artikel 3 der DORA-VO definiert. Hingewiesen sei auf folgende Elemente, welche zum Vorliegen einer IKT-Dienstleistung vorhanden sein müssen:

• Das Vorliegen eines ‚digitalen Dienstes‘ oder ‚Datendienstes‘, nach Anhang III der Durchführungsverordnung (EU) 2024/2956
• Die Bereitstellung auf Basis einer vertraglichen Vereinbarung
• Ein ‚dauerhafter‘ bzw. längerfristiger Charakter bei der Bereitstellung

Siehe dazu DORA Q&A 2999:

The answer to this question is provided by the European Commission.

The definition of ‘ICT services’ in Article 3(21) of Regulation (EU) 2022/2554 intentionally maintains a broad scope. Recital (35) of Regulation (EU) 2022/2554 indeed clarifies that, with the aim of maintaining a high level of digital operational resilience, the definition of ICT services should be understood in a broad manner to the extent that such services encompass digital and data services provided through ICT systems on an ongoing basis. Therefore, financial entities are responsible for undertaking an assessment on this basis to determine whether the services they rely on are ICT services, as defined under Article 3(21) DORA. Such assessment should be performed taking into account the clarifications from DORA Recital (63), which specifies that DORA should cover a wide range of ICT third-party service providers, including financial entities providing ICT services to other financial entities, and without prejudice to sectoral regulations applicable on regulated financial services.

Financial services may entail an ICT component. In the case that financial entities provide ICT services to other financial entities in connection to their financial services, the receiving financial entities should assess whether i) the services constitute an ICT service under DORA, and ii) whether the providing financial entities and the financial services they provide are regulated under Union law or any national legislation of a Member State or of a third country. In case both tests are positive, then the related ICT service should be considered to predominantly be a financial service and should not be treated as an ICT service within the meaning of DORA Article 3(21).

In case the service is provided by a regulated financial entity providing regulated financial services but is unrelated or is independent from such regulated financial services, the service should be considered as an ICT service under Article 3(21) DORA. 

The same rationale applies to ancillary services provided by an entity, depending on whether such ancillary services are regulated financial services or a service inseparable from, indivisible from, preparatory or necessary for the provision of a regulated financial service, and are not provided in a standalone manner. 

The clarification about the difference between financial services and ICT services is without prejudice to the requirements applicable to financial entities under DORA, other than the requirements related to ICT third-party risk management.

Disclaimer provided by the European Commission:

The answers clarify provisions already contained in the applicable legislation. They do not extend in any way the rights and obligations deriving from such legislation nor do they introduce any additional requirements for the concerned operators and competent authorities. The answers are merely intended to assist natural or legal persons, including competent authorities and Union institutions and bodies in clarifying the application or implementation of the relevant legal provisions. Only the Court of Justice of the European Union is competent to authoritatively interpret Union law. The views expressed in the internal Commission Decision cannot prejudge the position that the European Commission might take before the Union and national courts.

Das Assessment und die Tiefe des Assessments hat nach Proportionalitätsgesichtspunkten und risikobasiert zu erfolgen. Nähere Vorgaben werden hierbei in den RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art 30 Abs 5 DORA-VO) gemacht.

Zertifizierungen können im Rahmen der Beurteilung der Geeignetheit eines Dienstleisters als Informationsquelle herangezogen werden, ersetzen jedoch eine Dienstleisterprüfung als solche nicht.

Wie in der Antwort zur Vorfrage ausgeführt, kann eine Zertifizierung nicht die Prüfung des Dienstleistenden ersetzen, ebenso kann eine Zertifizierung nicht die laufende (Über)-Prüfung des Dienstleistenden ersetzen. Die Frequenz der laufenden Überprüfung der Dienstleistenden hängt von der Kritikalität ab und ist daher im Einzelfall zu beurteilen.

Unter dem Titel „Reden wir über Aufsicht“ veröffentlicht die Finanzmarktaufsicht (FMA) seit Herbst 2024 ein Informationsformat für Beaufsichtigte.

Die sechste Ausgabe widmet sich dem IKT-Informationsregister unter DORA. Für die operationelle Resilienz des Finanzsektors ist die Resilienz der IKT-Drittdienstleister entscheidend. Denn hier entstehen Abhängigkeiten und neue Risiken, wie etwa Konzentrationsrisiken. Deshalb ist es wichtig, einen Überblick zu haben. Den soll gemäß DORA ein Informationsregister schaffen, eine Zusammenstellung sämtlicher Verträge mit IKT-Drittdienstleistern.

Reden wir über Aufsicht – DORA Informationsregister (Dateiformat: pdf, Dateigröße: 184,1 KB, Sprache: Deutsch)