DORA – Management des IKT-Drittparteienrisikos

Management des IKT-Drittparteienrisikos
Finanzunternehmen managen das Drittparteienrisiko von Informations- und Kommunikationstechnologien (IKT-Drittparteienrisiko) über den gesamten Lebenszyklus. Das IKT-Drittparteienrisiko ist dabei das IKT-bezogene Risiko, das im Zusammenhang mit der Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern bereitgestellt werden, entstehen kann.
Neben der Anforderung der Führung eines Informationsregisters zu IKT-Drittdienstleister:innen erstrecken sich die Vorgaben auf die Erstellung einer Strategie für das IKT-Drittparteienrisiko, auf Due Diligence-Prüfungen vor der Nutzung von IKT-Dienstleistungen, auf Vertragsinhalte und auf Ausstiegsstrategien.
Informationsregister
Das Register umfasst Informationen zu allen IKT-Diensten, die direkt von IKT-Drittdienstleistern erbracht werden. Auch Subauslagerungen, die IKT-Dienste, die kritische oder wichtige Funktionen oder einen diesbezüglichen wesentlichen Teil unterstützen, sind anzuführen.
Diese Informationsregister sind den zuständigen Behörden auf Verlangen vollständig zu übermitteln.
Die ESAs haben am 15. November 2024 eine Decision on reporting of information necessary for the designation of critical ICT third-party service providers veröffentlicht:
Demnach sollen Informationsregister im Jahr 2025 für das Referenzdatum 31. März 2025 aufbereitet sein. Die zuständigen Behörden sollen Informationsregister an die ESAs bis zum 30. April 2025 übermitteln. Beaufsichtigte Unternehmen melden Informationsregister im Jahr 2025 voraussichtlich in den ersten Aprilwochen an FMA.
Die übermittelten Informationen dienen der Ermittlung kritischer IKT-Drittdienstleister und werden auch im aufsichtlichen Prozess, z.B. im Zusammenhang mit der Meldung schwerwiegender IKT-bezogener Vorfälle, herangezogen.
Darüber hinaus unterrichten Finanzunternehmen die zuständige Behörde zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist.
Strategie für das IKT-Drittparteienrisiko
Das Leitungsorgan verabschiedet diese Strategie und überprüft regelmäßig Risiken, die im Zusammenhang mit den Verträgen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen ermittelt werden. Auch das IKT-Konzentrationsrisikos auf Unternehmensebene wird bewertet.
Due Diligence
Vor Vertragsabschlüssen nehmen Finanzunternehmen umfassende Prüfungen der IKT-Drittdienstleister:innen vor. Zum Beispiel dürfen Verträge nur mit solchen Dienstleister:innen, die angemessen Standards für Informationssicherheit einhalten, abgeschlossen werden.
Vertragliche Vereinbarungen
Mindestvertragsinhalte, beispielsweise Kündigungsrechte oder Benachrichtigungserfordernisse bei einer beabsichtigten Standortänderung, sind vorgegeben. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen umfassen, gelten zusätzliche Elemente, z.B. zu vereinbarenden Leistungen in einem Übergangszeitraum zum Wechsel zu einem:r anderen IKT-Drittdienstleister:in oder auf interne Leistungen.
Ausstiegsstrategien
Ziel ist das mögliche Ausscheiden aus vertraglichen Vereinbarungen, ohne Unterbrechung der Geschäftstätigkeit, bei Aufrechterhaltung der Kontinuität und Qualität der erbrachten Dienstleistungen. Dafür werden Notfallmaßnahmen, alternative Lösungen und Übergangspläne ermittelt. Ausstiegspläne werden zudem getestet und regelmäßig überprüft.
Fragen und Antworten
Finanzunternehmen werden bereits zu Beginn der DORA-Anwendbarkeit zur Übermittlung der vollständigen Informationsregister aufgefordert werden.
Informationsregister im Jahr 2025 sollen für das Referenzdatum 31. März 2025 aufbereitet sein. Die zuständigen Behörden sollen Informationsregister an die ESAs bis zum 30. April 2025 übermitteln. Beaufsichtigte Unternehmen melden Informationsregister im Jahr 2025 voraussichtlich in den ersten Aprilwochen an FMA.
Auch danach werden Informationsregister jedenfalls jährlich an die FMA übermittelt.
Eine kritische Funktion wird in Artikel 3 Absatz 22 der DORA-Verordnung (Art 3 Z 22 DORA-VO) folgendermaßen definiert:
„eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde;“
Wenn das Tochterunternehmen selbst in den Geltungsbereich von DORA fällt (Art. 2 DORA-VO), gelten alle Vorgaben in gleicher Ausprägung. Sofern Aspekte der IKT-Dienstleistung etwa an das Mutterunternehmen ausgelagert sind (oder umgekehrt), wird eine Erfassung und Behandlung als interner:e IKT-Dienstleister:in ausgelöst.
Ja. Siehe dazu auch Frage „Welche Dienstleister unterstützen kritische oder wichtige Funktionen?“.
Aus Sicht der FMA ist bei der Einstufung, welche Dienstleister kritische oder wichtige Funktionen unterstützen, ein risikobasiertes Vorgehen erforderlich. Der ESA Q&A 2750 – (siehe hierzu Q&A (2750 – DORA006 – EIOPA (europa.eu) folgend, ist bei der Einstufung insb die Frage relevant, ob der Ausfall des Systems/Dienstleisters die betroffene(n) Funktion(en) materiell (va im Hinblick auf Kontinuität und Sicherheit) einschränken würde.
Gemäß Art 4 Abs 2 DORA-VO gilt der Grundsatz der Verhältnismäßigkeit für Kapitel III und IV, sowie Kapitel V Abschnitt I, sofern dies in den dortigen einschlägigen Vorschriften vorgesehen ist. Bzgl Art 30 Abs 2 (i) DORA-VO wird in Zusammenhang mit der Teilnahme von IKT-Drittdienstleister:innen an Programmen zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz auf Art 13 Abs 6 DORA-VO verwiesen. Dort ist vorgegeben, dass Finanzunternehmen IKT-Drittdienstleister:innen gegebenenfalls (bzw gemäß englischer Fassung: as appropriate) in ihre einschlägigen Schulungsprogramme aufnehmen. Bzgl dieser Vorgabe haben Finanzunternehmen somit die Angemessenheit der Aufnahme der IKT-Drittdienstleistenden zu beurteilen.
In Annex III der Spezifikation des Informationsregister, werden Consultingverträge als eigene Kategorie angeführt (erläutert als: ‚Provision of intellectual/ICT expertise services‘). Zumindest in diesem Kontext wären solche Verträge also zu inkludieren, sofern ein klarer Bezug zu IKT-Systemen besteht.
Wenn aus dem Vertrag klar hervorgeht, dass gewisse Mindestvertragsinhalte gemäß 30 Abs 2 DORA-VO nicht anwendbar sind, müssen diese nicht als eigene Punkte im Vertrag vorhanden sein (zB wenn festgehalten wird, dass keine Daten an den Berater übertragen werden, Wegfall der Klauseln zum Ort der Datenverarbeitung etc).
Sollte ein Großteil dieser Mindestinhalte nicht anwendbar erscheinen, kann das auch ein Hinweis darauf sein, dass die konkrete Dienstleistung nicht in Bezug zu Informations- und Kommunikationstechnologien (IKT-Systeme) steht.
Hier wäre zu beachten, wie die Open-Source-Software bezogen wird. Sind hiermit noch weitere Leistungen, wie zum Beispiel laufender Support, Beratung oder Ähnliche verknüpft, kann eine IKT-Dienstleistung im Sinne von DORA vorliegen. Wird im Extremfall nur Open-Source-Code, zB von einem Repository, bezogen und innerhalb des Unternehmens verwendet, läge wohl keine Dienstleistung vor; andere Bestimmungen von DORA (zum Beispiel ICT systems acquisition, development, and maintenance) wären ungeachtet dessen gegebenenfalls anwendbar.
Art. 30 Abs. 3 lit. e (ii) DORA-VO besagt, dass die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen das Recht umfassen, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, einschließlich des Rechts, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind.
Dieser Absatz muss gemeinsam mit Art 30 Abs 3 lit e (i) DORA-VO gelesen werden:
„i) uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten und der zuständigen Behörde sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen vor Ort, wenn ihnen für die Geschäftstätigkeit des IKT-Drittdienstleisters entscheidende Bedeutung zukommt, wobei die tatsächliche Ausübung dieser Rechte nicht durch andere vertragliche Vereinbarungen oder Umsetzungsrichtlinien behindert oder eingeschränkt wird;
ii) das Recht, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind;“
Daher: falls ‚herkömmliche‘ Auditrechte aufgrund der spezifischen Situation in die Rechte anderer Kunden des Dienstleisters eingreifen würden, können alternative Wege vereinbart werden, um die Leistung des Dienstleisters zu überwachen.
Die Begriffe IKT-Dienstleistung sowie IKT-Dienstleister sind in Artikel 3 der DORA-VO definiert. Hingewiesen sei auf folgende Elemente, welche zum Vorliegen einer IKT-Dienstleistung vorhanden sein müssen:
- Das Vorliegen eines ‚digitalen Dienstes‘ oder ‚Datendienstes‘, nach Anhang III der Durchführungsverordnung (EU) 2024/2956
- Die Bereitstellung auf Basis einer vertraglichen Vereinbarung
- Ein ‚dauerhafter‘ bzw. längerfristiger Charakter bei der Bereitstellung
Siehe dazu DORA Q&A 2999:
The answer to this question is provided by the European Commission.
The definition of ‘ICT services’ in Article 3(21) of Regulation (EU) 2022/2554 intentionally maintains a broad scope. Recital (35) of Regulation (EU) 2022/2554 indeed clarifies that, with the aim of maintaining a high level of digital operational resilience, the definition of ICT services should be understood in a broad manner to the extent that such services encompass digital and data services provided through ICT systems on an ongoing basis. Therefore, financial entities are responsible for undertaking an assessment on this basis to determine whether the services they rely on are ICT services, as defined under Article 3(21) DORA. Such assessment should be performed taking into account the clarifications from DORA Recital (63), which specifies that DORA should cover a wide range of ICT third-party service providers, including financial entities providing ICT services to other financial entities, and without prejudice to sectoral regulations applicable on regulated financial services.
Financial services may entail an ICT component. In the case that financial entities provide ICT services to other financial entities in connection to their financial services, the receiving financial entities should assess whether i) the services constitute an ICT service under DORA, and ii) whether the providing financial entities and the financial services they provide are regulated under Union law or any national legislation of a Member State or of a third country. In case both tests are positive, then the related ICT service should be considered to predominantly be a financial service and should not be treated as an ICT service within the meaning of DORA Article 3(21).
In case the service is provided by a regulated financial entity providing regulated financial services but is unrelated or is independent from such regulated financial services, the service should be considered as an ICT service under Article 3(21) DORA.
The same rationale applies to ancillary services provided by an entity, depending on whether such ancillary services are regulated financial services or a service inseparable from, indivisible from, preparatory or necessary for the provision of a regulated financial service, and are not provided in a standalone manner.
The clarification about the difference between financial services and ICT services is without prejudice to the requirements applicable to financial entities under DORA, other than the requirements related to ICT third-party risk management.
Disclaimer provided by the European Commission:
The answers clarify provisions already contained in the applicable legislation. They do not extend in any way the rights and obligations deriving from such legislation nor do they introduce any additional requirements for the concerned operators and competent authorities. The answers are merely intended to assist natural or legal persons, including competent authorities and Union institutions and bodies in clarifying the application or implementation of the relevant legal provisions. Only the Court of Justice of the European Union is competent to authoritatively interpret Union law. The views expressed in the internal Commission Decision cannot prejudge the position that the European Commission might take before the Union and national courts.
Das Assessment und die Tiefe des Assessments hat nach Proportionalitätsgesichtspunkten und risikobasiert zu erfolgen. Nähere Vorgaben werden hierbei in den RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art 30 Abs 5 DORA-VO) gemacht.
Zertifizierungen können im Rahmen der Beurteilung der Geeignetheit eines Dienstleisters als Informationsquelle herangezogen werden, ersetzen jedoch eine Dienstleisterprüfung als solche nicht.
Wie in der Antwort zur Vorfrage ausgeführt, kann eine Zertifizierung nicht die Prüfung des Dienstleistenden ersetzen, ebenso kann eine Zertifizierung nicht die laufende (Über)-Prüfung des Dienstleistenden ersetzen. Die Frequenz der laufenden Überprüfung der Dienstleistenden hängt von der Kritikalität ab und ist daher im Einzelfall zu beurteilen.
Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.
Rechtliche Grundlagen
Informationen zu den rechtlichen Grundlagen von DORA finden Sie auf der „DORA – Digitale operationale Resilienz im Finanzsektor“-Webseite der FMA.