All Posts

Neue EU-Verordnung zur Untervergabe von IKT-Dienstleistungen bei kritischen oder wichtigen Funktionen

Von
Hussam Greg
Veröffentlicht am
April 23, 2025

Am 24. März 2025 hat die Europäische Kommission eine delegierte Verordnung zur DORA-Verordnung (EU) 2022/2554 veröffentlicht. Sie konkretisiert die Anforderungen an Finanzunternehmen bei der Weiterverlagerung (Unterauftragsvergabe) von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen.

Warum ist das relevant?

IKT-Dienstleistungen – insbesondere Cloudlösungen – werden häufig nicht direkt vom beauftragten Dienstleister erbracht, sondern über mehrstufige Lieferketten von Unterauftragnehmern. Diese komplexen Strukturen erschweren das Risikomanagement erheblich. Die neue Verordnung adressiert genau diese Herausforderung – mit klaren Vorgaben für Finanzunternehmen.

Überwachen vs. Steuern: Der Knackpunkt der Regulierung

Bereits am 21. Januar 2025 – nur vier Tage nach DORA-Inkrafttreten – lehnte die EU-Kommission in einem Schreiben den ursprünglichen RTS-Entwurf der ESAs ab. Grund war Artikel 5, der forderte, dass Finanzunternehmen die gesamte IKT-Lieferkette aktiv überwachen sollen.

„Überwachen“ hätte bedeutet: laufendes Monitoring, SLA-Prüfungen, Incident-Management und Audits – auch bei Subdienstleistern, mit denen keine direkten Verträge bestehen.

Fazit der Kommission:

Diese operative Verantwortung liegt nicht beim Finanzunternehmen, sondern beim IKT-Dienstleister – sonst würde der Entwurf über das DORA-Mandat hinausgehen.

Stattdessen gilt nun:

„Steuern“ bedeutet: Das Finanzunternehmen bleibt verantwortlich für das Risikomanagement, muss aber nicht selbst operativ eingreifen. Es muss sicherstellen, dass der IKT-Dienstleister seine Unterauftragnehmer im Griff hat – durch Verträge, Risikoanalysen und Kontrollrechte.

Was müssen Finanzunternehmen konkret tun?

1. Ex-ante-Risikobewertung und Sorgfaltspflichten

Bevor eine kritische oder wichtige Funktion weitervergeben wird, muss das Finanzunternehmen:

Transparenz schaffen über:
  • Art und Umfang der Leistungen
  • Standort und Gruppenzugehörigkeit des Subdienstleisters
  • Länge und Komplexität der Lieferkette
  • Art der verarbeiteten Daten
Risiken bewerten, z. B.:
  • Informationssicherheit
  • Datenverarbeitung im Drittland
  • Konzentrationsrisiken
  • geopolitische Abhängigkeiten
Sicherstellen, dass der IKT-Dienstleister:
  • Subdienstleister selbst effektiv überwachen kann (inkl. Notfallplänen, Auditrechten)
  • Relevante Informationen und Änderungen rechtzeitig meldet

2. Vertragsgestaltung

Verträge mit IKT-Dienstleistern müssen eindeutig regeln:

  • welche Leistungen weitervergeben werden dürfen
  • welche Mitteilungs- und Informationspflichten bestehen
  • welche Sicherheits- und Auditstandards gelten
  • unterwelchen Bedingungen das Finanzunternehmen kündigen darf

Muss die gesamte Kette aktiv gesteuert werden?

Ja – aber nicht überwacht.

Wenn Unterauftragnehmer IKT-Dienstleistungen für kritische oder wichtige Funktionen erbringen, müssen Finanzunternehmen:

  • volle Transparenz über die gesamte Lieferkette sicherstellen
  • relevante Risiken im Zusammenhang mit IKT-Dienstleistungen und deren IKT-Lieferkettenidentifizieren, bewerten und steuern
  • über wesentliche Änderungen informiert werden und ggf. widersprechen können
  • Audit- und Kontrollrechte vertraglich absichern
  • bei Risikoüberschreitung den Vertrag kündigen können.

________________________________________

Fazit

Mit der neuen Verordnung ist klar:

👉 Finanzunternehmen müssen nicht selbst alles überwachen – aber sie tragen die volle Verantwortung dafür, dass ihre Dienstleister es können.

Wer heute seine IKT-Lieferkette strukturiert steuert, Risiken dokumentiert und vertraglich absichert, erfüllt nicht nur regulatorische Pflichten, sondern stärkt auch die digitale Resilienz seines Unternehmens.

United Governance, Risk & Compliance

UnternehmenKarriereBlog
Kontakt
Zu unserem Trust Center
© 2025 LeanMind. All rights reserved.
DatenschutzImpressum