Neue EU-Verordnung zur Untervergabe von IKT-Dienstleistungen bei kritischen oder wichtigen Funktionen

Am 24. März 2025 hat die Europäische Kommission eine delegierte Verordnung zur DORA-Verordnung (EU) 2022/2554 veröffentlicht. Sie konkretisiert die Anforderungen an Finanzunternehmen bei der Weiterverlagerung (Unterauftragsvergabe) von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen.

Warum ist das relevant?

IKT-Dienstleistungen – insbesondere Cloudlösungen – werden häufig nicht direkt vom beauftragten Dienstleister erbracht, sondern über mehrstufige Lieferketten von Unterauftragnehmern. Diese komplexen Strukturen erschweren das Risikomanagement erheblich. Die neue Verordnung adressiert genau diese Herausforderung – mit klaren Vorgaben für Finanzunternehmen.

Überwachen vs. Steuern: Der Knackpunkt der Regulierung

Bereits am 21. Januar 2025 – nur vier Tage nach DORA-Inkrafttreten – lehnte die EU-Kommission in einem Schreiben den ursprünglichen RTS-Entwurf der ESAs ab. Grund war Artikel 5, der forderte, dass Finanzunternehmen die gesamte IKT-Lieferkette aktiv überwachen sollen.

„Überwachen“ hätte bedeutet: laufendes Monitoring, SLA-Prüfungen, Incident-Management und Audits – auch bei Subdienstleistern, mit denen keine direkten Verträge bestehen.

Fazit der Kommission:

Diese operative Verantwortung liegt nicht beim Finanzunternehmen, sondern beim IKT-Dienstleister – sonst würde der Entwurf über das DORA-Mandat hinausgehen.

Stattdessen gilt nun:

„Steuern“ bedeutet: Das Finanzunternehmen bleibt verantwortlich für das Risikomanagement, muss aber nicht selbst operativ eingreifen. Es muss sicherstellen, dass der IKT-Dienstleister seine Unterauftragnehmer im Griff hat – durch Verträge, Risikoanalysen und Kontrollrechte.

Was müssen Finanzunternehmen konkret tun?

1. Ex-ante-Risikobewertung und Sorgfaltspflichten

Bevor eine kritische oder wichtige Funktion weitervergeben wird, muss das Finanzunternehmen:

Transparenz schaffen über:

• Art und Umfang der Leistungen
• Standort und Gruppenzugehörigkeit des Subdienstleisters
• Länge und Komplexität der Lieferkette
• Art der verarbeiteten Daten

Risiken bewerten, z. B.:

• Informationssicherheit
• Datenverarbeitung im Drittland
• Konzentrationsrisiken
• geopolitische Abhängigkeiten

Sicherstellen, dass der IKT-Dienstleister:

• Subdienstleister selbst effektiv überwachen kann (inkl. Notfallplänen, Auditrechten)
• Relevante Informationen und Änderungen rechtzeitig meldet

2. Vertragsgestaltung

Verträge mit IKT-Dienstleistern müssen eindeutig regeln:

• welche Leistungen weitervergeben werden dürfen
• welche Mitteilungs- und Informationspflichten bestehen
• welche Sicherheits- und Auditstandards gelten
• unterwelchen Bedingungen das Finanzunternehmen kündigen darf

Muss die gesamte Kette aktiv gesteuert werden?

Ja – aber nicht überwacht.

Wenn Unterauftragnehmer IKT-Dienstleistungen für kritische oder wichtige Funktionen erbringen, müssen Finanzunternehmen:

• volle Transparenz über die gesamte Lieferkette sicherstellen
• relevante Risiken im Zusammenhang mit IKT-Dienstleistungen und deren IKT-Lieferkettenidentifizieren, bewerten und steuern
• über wesentliche Änderungen informiert werden und ggf. widersprechen können
• Audit- und Kontrollrechte vertraglich absichern
• bei Risikoüberschreitung den Vertrag kündigen können.

________________________________________

Fazit

Mit der neuen Verordnung ist klar:

👉 Finanzunternehmen müssen nicht selbst alles überwachen – aber sie tragen die volle Verantwortung dafür, dass ihre Dienstleister es können.

Wer heute seine IKT-Lieferkette strukturiert steuert, Risiken dokumentiert und vertraglich absichert, erfüllt nicht nur regulatorische Pflichten, sondern stärkt auch die digitale Resilienz seines Unternehmens.