DORA: Technische Regulierungsstandards für die Untervergabe von IKT-Dienstleistungen: Präzisierung der Anforderungen für Finanzunternehmen

Unterföhring bei München, 05.08.2025 (PresseBox) - Die fortschreitende Digitalisierung des Finanzsektors bringt erhebliche Chancen, aber auch neue Risiken mit sich. Insbesondere die Auslagerung von Informations- und Kommunikationstechnologie (IKT)-Dienstleistungen an Drittanbieter und deren Unterauftragnehmer stellt Finanzunternehmen vor komplexe Herausforderungen.

Delegierte Verordnung (EU) 2025/532 der Kommission vom 24. März 2025 zur Ergänzung der Verordnung (EU) 2022/2554 durch technische Regulierungsstandards zur Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss.

Offizieller Link zur Verordnung

Die finale und rechtsverbindliche Fassung finden Sie im EUR-Lex-Portal unter folgender Adresse:

• Delegierte Verordnung (EU) 2025/532 im Amtsblatt (OJ L, 2025/532, 2.7.2025)

Hinweise:

• Die Verordnung ist in allen EU-Amtssprachen verfügbar.
• Das Inkrafttreten erfolgt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt, also ab dem22. Juli 2025.
• Die Verordnung ist unmittelbar in allen Mitgliedstaaten anwendbar.

Zusammenfassung der wichtigsten Inhalte

• Gegenstand:Präzisierung der Anforderungen an Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen.
• Rechtsgrundlage:Artikel 30 Absatz 5 der Verordnung (EU) 2022/2554 (DORA).
• Geltungsbereich:Alle Finanzunternehmen, die unter DORA fallen und IKT-Dienstleistungen an Dritte auslagern.
• Kernpunkte:Sorgfaltspflichten, Risikobewertung, Vertragsgestaltung, Überwachung, Kündigungsrechte und Meldepflichten bei wesentlichen Änderungen.

Dieser Artikel erläutert die Hintergründe, Ziele und konkreten Anforderungen der Verordnung und bietet praxisnahe Übersichten für die Umsetzung in Finanzunternehmen.

1. Hintergrund und Zielsetzung der Verordnung

1.1. Ausgangslage

Mit der Verordnung (EU) 2022/2554 („DORA“) wurde ein einheitlicher Rahmen für die digitale operationale Resilienz im Finanzsektor geschaffen. Die neue delegierte Verordnung konkretisiert nun, wie Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen vorgehen müssen, um Risiken zu erkennen, zu bewerten und zu steuern.

1.2. Ziel der technischen Regulierungsstandards

• Stärkung der Resilienz:Sicherstellung, dass kritische oder wichtige Funktionen auch bei Auslagerung an Unterauftragnehmer geschützt bleiben.
• Risikominimierung:Präzise Vorgaben zur Identifikation, Bewertung und Steuerung von Risiken entlang der gesamten Auslagerungskette.
• Transparenz und Kontrolle:Klare Dokumentations- und Überwachungspflichten für Finanzunternehmen.

2. Anwendungsbereich und Grundprinzipien

2.1. Geltungsbereich

Die Verordnung gilt für alle Finanzunternehmen, die unter DORA fallen und IKT-Dienstleistungen an Dritte auslagern, sofern diese Dienstleistungen kritische oder wichtige Funktionen betreffen.

2.2. Grundprinzipien

• Verhältnismäßigkeit:Anforderungen sind abhängig von Größe, Risikoprofil und Komplexität des Unternehmens.
• Letztverantwortung:Die Verantwortung für das Risikomanagement verbleibt stets beim auslagernden Finanzunternehmen, auch bei Untervergabe.

3. Zentrale Anforderungen der Verordnung

3.1. Bestimmung und Bewertung der Untervergabe

Finanzunternehmen müssen systematisch prüfen, ob und unter welchen Bedingungen eine Untervergabe zulässig ist. Dabei sind insbesondere folgende Aspekte zu berücksichtigen:

Aspekt Beschreibung

Kritikalität der Funktion Ist die ausgelagerte Dienstleistung für die Geschäftsfortführung wesentlich?

Komplexität der Auslagerung Wie lang und komplex ist die Kette der Unterauftragnehmer?

Standort der Dienstleister Wo befinden sich die Unterauftragnehmer und werden Daten im EU-Ausland verarbeitet?

Datenverarbeitung Welche Art von Daten wird weitergegeben und wie ist deren Schutz gewährleistet?

Abhängigkeiten Bestehen Konzentrationsrisiken durch wenige oder einzelne Unterauftragnehmer?

Übertragbarkeit Ist ein Wechsel des Dienstleisters im Notfall möglich?

Auswirkungen von Störungen Wie wirken sich Ausfälle auf die Kontinuität und Verfügbarkeit der
Dienstleistung aus?

3.2. Sorgfaltspflichten und Risikobewertung

Vor Abschluss einer Vereinbarung mit einem IKT-Drittdienstleister, der Unterauftragnehmer einsetzt, sind umfassende Prüfungen und Bewertungen durchzuführen.

Prüfaspekt Anforderungen an das Finanzunternehmen

Auswahlverfahren Sicherstellung, dass der Drittdienstleister geeignete
Unterauftragnehmer auswählt und deren Fähigkeiten prüft

Informationspflichten Drittdienstleister muss alle relevanten Informationen zu
Unterauftragnehmern bereitstellen

Vertragsgestaltung Verträge müssen Zugangs-, Prüf- und Kontrollrechte für das
Finanzunternehmen und die Aufsicht enthalten

Ressourcen und Kompetenzen Finanzunternehmen und Drittdienstleister müssen über
ausreichende Ressourcen und Fachkenntnisse verfügen

Standortbewertung Risiken durch den Standort der Unterauftragnehmer sind zu
bewerten

Konzentrationsrisiken Bewertung der Abhängigkeit von einzelnen Unterauftragnehmern
gemäß Art. 29 DORA

Prüfungsrechte Sicherstellung, dass keine Hindernisse für Prüfungs- und
Zugangsrechte bestehen

3.3. Vertragsgestaltung und Überwachung

Die Verordnung verlangt detaillierte Regelungen in den Verträgen mit Drittdienstleistern:

Vertragsbestandteil Inhalt

Verantwortlichkeit Drittdienstleister bleibt für die Erfüllung der Leistungen durch
Unterauftragnehmer verantwortlich

Überwachungspflichten Drittdienstleister muss alle Unterauftragnehmer und deren
Leistungen überwachen

Berichtspflichten Regelmäßige Berichte über Unterauftragnehmer und deren
Leistungen an das Finanzunternehmen

Standort und Datenverarbeitung Festlegung, wo Daten verarbeitet und gespeichert werden

Kontinuität und Notfallmanagement Sicherstellung der Dienstleistungskontinuität entlang der
gesamten Unterauftragskette

Sicherheitsstandards Verpflichtung zur Einhaltung von IKT-Sicherheitsstandards und
zusätzlichen Anforderungen nach DORA

Kündigungsrechte Finanzunternehmen kann Vertrag bei wesentlichen Änderungen
oder Verstößen kündigen

3.4. Umgang mit wesentlichen Änderungen

Wesentliche Änderungen an Unterauftragsvereinbarungen müssen dem Finanzunternehmen rechtzeitig mitgeteilt werden. Das Unternehmen hat das Recht, Änderungen zu genehmigen oder abzulehnen.

Schritt Beschreibung

Mitteilungspflicht Drittdienstleister informiert über geplante wesentliche Änderungen

Bewertungsfrist Finanzunternehmen hat eine angemessene Frist zur Bewertung und
Entscheidung

Ablehnung und Anpassung Bei Überschreitung der Risikotoleranz kann das Unternehmen
Änderungen ablehnen und Anpassungen verlangen

Umsetzung Änderungen dürfen erst nach Zustimmung oder Nichtbeanstandung
umgesetzt werden

3.5. Kündigungsrechte

Das Finanzunternehmen hat das Recht, den Vertrag mit dem Drittdienstleister zu kündigen, wenn:

• Wesentliche Änderungen ohne Zustimmung umgesetzt werden
• Unteraufträge ohne ausdrückliche Genehmigung vergeben werden
• Der Drittdienstleister gegen vertragliche Pflichten verstößt

4. Praktische Umsetzung: Schritt-für-Schritt-Anleitung

4.1. Vorbereitungsphase

• Bestandsaufnahme:Identifikation aller ausgelagerten IKT-Dienstleistungen und deren Kritikalität
• Risikoprofil:Analyse des eigenen Gesamtrisikoprofils und der Komplexität der Auslagerungen
• Vertragsprüfung:Überprüfung bestehender Verträge auf Konformität mit den neuen Anforderungen

4.2. Auswahl und Bewertung von Drittdienstleistern

• Due Diligence:Sorgfältige Auswahl und Bewertung der Drittdienstleister und deren Unterauftragnehmer
• Standortanalyse:Bewertung der Standorte und der damit verbundenen Risiken (z. B. Drittland, Datenschutz)
• Konzentrationsrisiken:Analyse der Abhängigkeit von einzelnen Dienstleistern

4.3. Vertragsgestaltung

• Vertragsklauseln:Aufnahme aller geforderten Regelungen zu Verantwortlichkeiten, Überwachung, Berichtspflichten, Sicherheitsstandards und Kündigungsrechten
• Notfallmanagement:Sicherstellung von Ausstiegsstrategien und Notfallplänen

4.4. Laufende Überwachung und Dokumentation

• Monitoring:Kontinuierliche Überwachung der Leistungen und Risiken entlang der gesamten Unterauftragskette
• Berichtswesen:Regelmäßige Berichte an die Geschäftsleitung und die Aufsicht
• Dokumentation:Lückenlose Dokumentation aller Entscheidungen, Bewertungen und Maßnahmen

5. Tabellarische Übersichten: Umsetzung der RTS in der Praxis

Übersicht: Pflichten des Finanzunternehmens bei der Untervergabe

Pflichtbereich Konkrete Maßnahmen

Risikoanalyse Identifikation und Bewertung aller Risiken entlang der Unterauftragskette

Auswahlverfahren Sorgfältige Auswahl und laufende Überprüfung der Drittdienstleister und
Unterauftragnehmer

Vertragsgestaltung Aufnahme aller geforderten Klauseln zu Kontrolle, Überwachung,
Kündigung und Sicherheitsstandards

Überwachung Kontinuierliches Monitoring und regelmäßige Berichterstattung

Dokumentation Vollständige und nachvollziehbare Dokumentation aller Prozesse und
Entscheidungen

Notfallmanagement Entwicklung und Pflege von Ausstiegs- und Notfallstrategien

Übersicht: Anforderungen an Verträge mit Drittdienstleistern

Vertragsanforderung Beschreibung

Verantwortlichkeit Drittdienstleister bleibt für Unterauftragnehmer verantwortlich

Überwachungspflichten Drittdienstleister muss Leistungen der Unterauftragnehmer
überwachen

Berichtspflichten Regelmäßige Information des Finanzunternehmens über
Unterauftragnehmer

Sicherheitsstandards Einhaltung von IKT-Sicherheitsstandards und zusätzlichen
Anforderungen nach DORA

Kündigungsrechte Vertragliche Regelungen für Kündigung bei Verstößen oder unzulässigen
Änderungen

Prüfungsrechte Sicherstellung von Zugangs-, Prüf- und Kontrollrechten für das
Finanzunternehmen und die Aufsicht

Übersicht: Risikobewertung bei Untervergabe

Risikofaktor Prüffragen

Kritikalität der Funktion Ist die Dienstleistung für die Geschäftsfortführung wesentlich?

Komplexität der Kette Wie viele Unterauftragnehmer sind beteiligt? Wie komplex ist die Kette?

Standort Wo befinden sich die Unterauftragnehmer? Werden Daten im EU-Ausland
verarbeitet?

Datenverarbeitung Welche Daten werden weitergegeben? Wie ist deren Schutz
gewährleistet?

Konzentrationsrisiken Besteht eine Abhängigkeit von wenigen oder einzelnen
Unterauftragnehmern?

Übertragbarkeit Ist ein Wechsel des Dienstleisters im Notfall möglich?

Auswirkungen von StörungenWie wirken sich Ausfälle auf die Kontinuität und Verfügbarkeit der Dienstleistung aus?

6. Herausforderungen und Best Practices

6.1. Herausforderungen

• Komplexität der Auslagerungsketten:Die Identifikation und Überwachung aller Unterauftragnehmer ist aufwendig.
• Daten- und Rechtssicherheit:Unterschiedliche Rechtsräume und Datenschutzanforderungen erschweren die Kontrolle.
• Ressourcenbedarf:Die Umsetzung der Anforderungen erfordert erhebliche personelle und technische Ressourcen.

6.2. Best Practices

• Frühzeitige Einbindung der Rechts- und Compliance-Abteilung
• Etablierung eines zentralen Auslagerungsregisters
• Regelmäßige Schulungen für alle beteiligten Mitarbeiter
• Automatisierung von Monitoring- und Reporting-Prozessen
• Enge Zusammenarbeit mit der Aufsicht und Branchenverbänden

7. Fazit und Ausblick

Die technischen Regulierungsstandards zur Präzisierung der Aspekte bei der Untervergabe von IKT-Dienstleistungen setzen einen neuen Maßstab für die digitale Resilienz im Finanzsektor. Finanzunternehmen sind gefordert, ihre Auslagerungsstrategien und -prozesse umfassend zu überarbeiten und an die neuen Anforderungen anzupassen. Die Verordnung bietet einen klaren Rahmen, um Risiken zu minimieren und die Stabilität des Finanzsystems zu stärken.

Empfehlung:Unternehmen sollten die Umsetzung der RTS als strategische Chance begreifen, ihre digitale Widerstandsfähigkeit zu erhöhen und sich frühzeitig auf die neuen regulatorischen Anforderungen vorzubereiten.