DORA-Leitfaden zur Aufsicht über kritische Drittanbieter (CTPP)

Die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA haben einen DORA-Leitfaden zur Aufsicht über kritische Drittanbieter veröffentlicht.
Kategorien:

Seit Januar wird der Digital Operational Resilience Act (DORA) angewendet. Im Juli haben die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA einen Leitfaden für die Überwachung kritischer IKT-Drittdienstleister vorgelegt. Besonders im Fokus stehen dabei kritische Drittanbieter von Informations- und Kommunikationstechnologien (Critical Third-Party Provider, CTPP).

Aufsichtsziel und Relevanz

Der DORA-Leitfaden konkretisiert die Aufsichtsbefugnisse der europäischen Aufsichtsbehörden über CTPPs. Er ist eingebettet in den regulatorischen Gesamtansatz der Union zur Stärkung der digitalen Resilienz des Finanzsektors. Im Zentrum steht das Ziel, die Verwundbarkeit von Finanzmärkten gegenüber IKT-Ausfällen (Informations- und Kommunikationstechnologien) und Cyberrisiken strukturell zu reduzieren. Dabei verfolgt der Leitfaden mehrere miteinander verwobene Zielrichtungen:

Es sollen systemische Risiken, die sich aus der zunehmenden Abhängigkeit vieler Finanzunternehmen von einer kleinen Zahl leistungsstarker IKT-Dienstleister ergeben, frühzeitig erkannt und minimiert werden. Die sogenannte Konzentrationsrisiko-Problematik, also die kritische Abhängigkeit vieler Marktteilnehmer von einzelnen Anbietern, birgt erhebliche Gefahren für die Stabilität des gesamten Finanzsystems. Durch die aufsichtsrechtliche Erfassung und Bewertung dieser Risiken im Rahmen von DORA sollen solche Klumpenrisiken transparenter gemacht und besser steuerbar werden.

Ferner soll ein Beitrag zur sektorübergreifenden Stabilität des europäischen Finanzmarktes geleistet werden. Die einheitliche Definition und Bewertungskriterien für kritische Drittanbieter schaffen dabei nicht nur regulatorische Vergleichbarkeit, sondern auch eine Plattform für koordinierte Maßnahmen. Dies unterstützt die Konsistenz der aufsichtsbehördlichen Maßnahmen über alle Teilsektoren hinweg.

Schließlich ist die Stärkung der betrieblichen Resilienz der Finanzunternehmen selbst ein zentrales Anliegen. Die Anforderungen aus DORA wirken komplementär zu bestehenden internen IKT-Risikomanagementsystemen der FEs (Financial Entity). Die direkte Aufsicht über CTPPs bedeutet nicht, dass sich Finanzunternehmen aus ihrer Verantwortung entlassen können. Vielmehr sollen sie durch die externen Erkenntnisse besser in die Lage versetzt werden, eigene Entscheidungen risikoorientierter zu treffen.

In der Praxis bedeutet das: Die Aufsicht über CTPPs ergänzt die bestehende Aufsicht über Finanzunternehmen und ersetzt diese nicht. Compliance-Verantwortliche müssen künftig beide Ebenen, die eigene Organisation sowie deren Abhängigkeiten von kritischen Dritten, eng verzahnt im Blick behalten.

Governance-Struktur der DORA-Aufsicht

Die Governance-Struktur der DORA-Aufsicht basiert auf einer mehrstufigen und eng vernetzten Organisationsarchitektur, die sowohl sektorübergreifende Koordination als auch operative Effizienz sicherstellen soll. Im Zentrum dieser Struktur stehen drei zentrale Akteure:

Sogenannte Lead Overseer (LO) übernehmen die federführende Rolle bei der Aufsicht über kritische Drittanbieter. Jede der drei Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) agiert als LO für jene CTPPs, die schwerpunktmäßig in ihrem jeweiligen Finanzsektor tätig sind. Die Festlegung erfolgt auf Basis aggregierter Bilanzsummen der betroffenen Finanzunternehmen, die Leistungen dieses Drittanbieters in Anspruch nehmen. Der LO ist zuständig für die Planung, Durchführung und Nachverfolgung der Aufsichtsmaßnahmen gegenüber dem jeweiligen Anbieter.

Die Aufsichtsaktivitäten werden durch Joint Examination Teams (JETs) operativ getragen. Diese Teams setzen sich aus Fachkräften der ESAs sowie der zuständigen nationalen Aufsichtsbehörden zusammen. Sie bringen sowohl technologische als auch regulatorische Expertise ein. Die JETs führen Untersuchungen durch, bewerten Risiken und formulieren Empfehlungen. Je nach Risikoausprägung kann ihre Arbeit sowohl regelmäßig als auch anlassbezogen erfolgen.

Für die strategische Abstimmung sorgen das Joint Oversight Network (JON) und das Oversight Forum (OF). Das JON dient der Koordination zwischen den beteiligten ESAs (European Supervisory Authorities) und stellt sicher, dass Informationen über Risiken und Entwicklungen sektorenübergreifend geteilt werden. Das Oversight Forum wiederum fungiert als beratendes Gremium, in dem hochrangige Vertreter der europäischen und nationalen Aufsicht zusammenkommen, um übergreifende Entwicklungen zu diskutieren und die Harmonisierung der Aufsichtspraxis sicherzustellen.

Diese Governance-Struktur gewährleistet eine abgestimmte, transparente und risikoorientierte Überwachung der CTPPs und fördert den effektiven Austausch zwischen den europäischen und nationalen Ebenen. Für Compliance-Verantwortliche bedeutet dies, dass regulatorische Anforderungen nicht nur aus einer Quelle resultieren, sondern das Zusammenspiel mehrerer Akteure berücksichtigt werden muss.

DORA-Aufsichtsinstrumente im Überblick

1. Designation

Ein ICT-Drittanbieter wird nach einem zweistufigen Bewertungsprozess anhand quantitativer und qualitativer Kriterien (u. a. Systemrelevanz, Substituierbarkeit, Kundenstruktur) als kritisch eingestuft. Die Einordnung erfolgt jährlich anhand der bei den Aufsichtsbehörden registrierten Daten. Anbieter, die nicht gelistet sind, können eine freiwillige Neubewertung (Opt-in) beantragen.

2. Risk Assessment & Oversight Planning

Im Rahmen des sogenannten Oversight Risk Assessment Process (ORAP) wird jährlich ein Risikoprofil erstellt. Daraus leiten sich ein individueller Aufsichtsplan sowie ein sektoraler Mehrjahresplan ab.

3. Examinations

Diese umfassen:

  • Ongoing Monitoring: Regelmäßige Interaktionen, Periodenberichte, Datenübermittlungen und Sitzungen.
  • General Investigations: Thematische oder risikobasierte Sonderprüfungen. Es gibt u. a. horizontale (mehrere Anbieter umfassende) oder Follow-up-Prüfungen.
  • Inspections: Tiefgreifende, auch vor Ort durchgeführte Inspektionen mit hohem Ressourcenbedarf.

4. Requests for Information

Untersuchungen können durch formlose (Simple RfI) oder formelle (Decision RfI) Informationsersuchen eingeleitet werden. Bei Verweigerung oder falscher Auskunft auf ein Decision RfI drohen Sanktionen.

5. Recommendations & Follow-up

Auf Basis der Prüfungen ergehen nicht-bindende Empfehlungen. CTPPs müssen diese innerhalb von 60 Tagen annehmen oder eine begründete Ablehnung vorlegen. Im Fall unbegründeter Ablehnung kann eine öffentliche Bekanntmachung der Nichtbefolgung erfolgen. Zudem können über die nationalen Aufsichten operative Maßnahmen gegen FEs erfolgen, etwa die Anordnung zur Beendigung der Zusammenarbeit mit dem jeweiligen CTPP.

Internationale Dimension der Aufsicht

Die Aufsicht kann sich unter bestimmten Voraussetzungen auch auf Drittstaaten erstrecken, sofern dort Niederlassungen von CTPPs existieren, die Leistungen für EU-Finanzunternehmen erbringen. Voraussetzung ist u. a. die Zustimmung der jeweiligen Behörde im Drittstaat sowie die Einwilligung des betroffenen Anbieters. Die europäischen Aufsichtsbehörden streben dazu Kooperationsvereinbarungen (Memorandum of Understanding, MoU) mit Drittstaaten an.

Lese-Tipp: DORA greift ab Januar 2025 – diese Unternehmen sind betroffen

Compliance-Relevanz für die Praxis

Die praktische Relevanz des DORA-Leitfadens entfaltet sich auf zwei zentralen Ebenen: zum einen bei den Finanzunternehmen, die kritische IKT-Dienstleister nutzen. Und zum anderen bei den Drittanbietern selbst, die künftig unter die europäische Aufsicht fallen.

Für Finanzunternehmen ist es von entscheidender Bedeutung, die von ihnen beauftragten CTPPs unter dem Gesichtspunkt der digitalen Resilienz systematisch zu bewerten. Die Informationen, die im Rahmen der DORA-Aufsicht über CTPPs gewonnen und weitergegeben werden, sind dabei ein wertvoller Anhaltspunkt. Compliance-Verantwortliche müssen prüfen, ob bestehende Auslagerungsverträge den künftigen regulatorischen Erwartungen noch genügen und ob die vertraglich vereinbarten Kontroll- und Eskalationsmechanismen geeignet sind, Empfehlungen oder Sanktionen gegen CTPPs angemessen zu adressieren. Ebenso sollten sie sich proaktiv auf mögliche Auswirkungen vorbereiten, die sich aus DORA-Empfehlungen an CTPPs ergeben können, etwa wenn der weitere Einsatz bestimmter Dienste in Frage gestellt wird.

Drittanbieter wiederum müssen ihre internen Governance- und Risikomanagementstrukturen gezielt auf die neuen Anforderungen hin ausrichten. Die organisatorische Vorbereitung auf Prüfungen durch Joint Examination Teams (JETs) und die Einrichtung eines effektiven Oversight-Interfaces sind dabei zentrale Aufgaben. Dies umfasst nicht nur technische und dokumentarische Voraussetzungen, sondern auch die Etablierung einer rechtlich und operativ belastbaren Präsenz innerhalb der EU. Besonders wichtig ist es, eine funktionsfähige Schnittstelle zu den Aufsichtsbehörden bereitzuhalten, die in der Lage ist, schnell und verbindlich auf Informationsersuchen, Empfehlungen und Untersuchungen zu reagieren.

Fazit: DORA-Leitfaden zur CTPP-Aufsicht

Die europäische Finanzarchitektur ist zunehmend von digitalen Infrastrukturen geprägt, deren Stabilität, Sicherheit und Verfügbarkeit unmittelbare Auswirkungen auf die Funktionsfähigkeit des Marktes haben. DORA setzt genau an dieser Schnittstelle an: durch die gezielte Beaufsichtigung besonders kritischer Drittanbieter und die Förderung sektorübergreifender Resilienz. Gleichzeitig werden bestehende nationale Aufsichtspraktiken konsolidiert und in ein kohärentes unionsweites System überführt.

Der DORA-Leitfaden zur CTPP-Aufsicht verdeutlicht, wie die theoretischen Regelungen aus der Verordnung in konkrete Prüfmechanismen, Risikobewertungen, Maßnahmen und Eskalationsschritte überführt werden. Damit schafft er Transparenz, Planbarkeit und Vergleichbarkeit für alle Beteiligten.

Letztlich geht es bei DORA nicht allein um regulatorische Compliance, sondern um die Gewährleistung stabiler und vertrauenswürdiger digitaler Dienstleistungen für den gesamten Finanzsektor. Die konsequente Umsetzung der neuen Aufsichtsmechanismen wird daher einen entscheidenden Beitrag zur digitalen Souveränität und Sicherheit innerhalb der EU leisten.

Quelle: DORA Oversight Guide

Kontakt aufnehmen
Tags:
, , ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge