IKT-Dienstleistungs-Lieferketten sind oft sehr komplex – eine Herausforderung für Finanzunternehmen, die unter DORA fallen, da eine adäquate Risikokontrolle anspruchsvoll ist. Aus diesem Grund legt die EU-Kommission auf knapp sieben Seiten in der sogenannten „delegierten Verordnung über technische Regulierungsstandards für die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen” – kurz RTS – dar, wie Finanzunternehmen mit ihren kritischen IKT-Dienstleistern und Unterdienstleistern umgehen müssen. Das am 2. Juli 2025 im Amtsblatt der Europäischen Union veröffentlichte Dokument ist seit dem 22. Juli voll inkraftgetreten.
„Die Europäische Kommission erkennt an, dass Dienstleistungsketten im Bereich IKT schwer durchschaubar sein können. Für ein robustes Cyber-Resilienzniveau im Finanzsektor ist es jedoch unerlässlich, auch ausgelagerte kritische Funktionen und deren Risiken zu verstehen und zu steuern“, erklärt Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Die RTS bieten hierfür einen verbindlichen Rahmen, der durch Best Practices ergänzt werden sollte, insbesondere wenn Transparenz und vertragliche Klarheit in Lieferketten fehlen. TÜV SÜD unterstützt Finanzunternehmen bei der Risikobeurteilung und IKT-Dienstleister bei der Nachweiserbringung.“
Die wichtigsten Vorgaben im Überblick:
- Vertragliche Regelungen: Verträge spielen eine zentrale Rolle in der Umsetzung der DORA-Anforderungen. So sollten vertragliche Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern insbesondere Regelungen zur Planung und Genehmigung von Unterauftragsvereinbarungen, zur Durchführung von Risikobewertungen sowie zur Erfüllung der Sorgfaltspflichten enthalten. Zudem empfielt es sich vertraglich festzulegen, ob entweder der weitervergebene Dienstleister oder das Finanzunternehmen selbst, die Fachkenntnisse, die Organisationsstruktur und das Risikomanagement potenzieller Unterauftragnehmer bewerten kann.
- Leistungsüberwachung und Informationsweitergabe: Um Sicherheitsrisiken in mehrstufigen IT-Lieferketten frühzeitig zu erkennen und zu minimieren, sollten Finanzunternehmen Vorkehrungen treffen, um über alle relevanten Änderungen rechtzeitig informiert zu werden bevor diese wirksam werden. Das gilt besonders bei neuen Untervergaben oder wesentlicher Anpassung bestehender Vereinbarungen. Stellt sich dabei heraus, dass diese Änderungen die Risikotoleranz des Unternehmens überschreiten, sollten Unternehmen das Recht auf Kündigung oder Anpassung des Vertrages sichern.
- Risikobasierte Analyse und Steuerung: Wer kritische IT-Dienstleistungen auslagert, muss über ausreichende Fachkenntnisse, Ressourcen und interne Prozesse verfügen, um damit verbundene Risiken wirksam zu überwachen. Dazu zählen etwa Maßnahmen zur Informationssicherheit, Notfallmanagement und interne Kontrollmechanismen. Unternehmen müssen außerdem bewerten, welche Auswirkungen ein Ausfall eines IT-Unterauftragnehmers sowohl auf ihre digitale Stabilität als auch auf ihre finanzielle Lage hätte. Zudem ist zu prüfen, ob der Standort des Dienstleisters oder seiner Muttergesellschaft zusätzliche Risiken birgt, die in die Bewertung einbezogen werden sollten.
- Bedingungen für Untervergaben: IT-Drittdienstleister, die Aufträge weitervergeben, sind angehalten, die damit verbundenen Risikensorgfältig zu bewerten. Dazu gehört insbesondere eine Analyse der Standortbedingungen, der Konzernstrukturen sowie der tatsächlichen Erbringungsorte der Leistungen. Auch wenn nicht alle Aspekte zwingend vertraglich geregelt werden müssen, empfiehlt es sich, Klarheit über diese Risiken herzustellen und gegebenenfalls vertraglich abzusichern.
Zukünftig werden die zuständigen Aufsichtsbehörden die Prüfung und Bewertung von kritischen Drittanbietern unter anderem durch Risikoanalysen und Vor-Ort-Prüfungen koordinieren. Orientierung bietet der ebenfalls kürzlich veröffentlichte DORA Oversight Guide der Europäischen Aufsichtsbehörden. Das Dokument liefert eine praxisorientierte Übersicht über das Aufsichtsverfahren für kritische IKT-Drittdienstleister im Rahmen des Digital Operational Resilience Act (DORA).
Risk Assessments und Compliance Audits
Finanzunternehmen, die vor dem Hintergrund der neuesten EU-Veröffentlichungen ihre bestehenden Verträge und bisher ergriffenen Maßnahmen von einem neutralen Dritten überprüfen lassen möchten, können mithilfe von Compliance Audits durch TÜV SÜD mögliche Lücken in der Umsetzung der Verordnung aufdecken und einen klaren Fahrplan zu deren Schließung entwickeln.
„Wir helfen sowohl bei der Identifikation von Umsetzungs- oder Dokumentationslücken als auch bei der Entwicklung eines praxisnahen Maßnahmenplans“, so Skalt. „Auch IKT-Dienstleister von Finanzunternehmen, die künftig im Rahmen ihrer vertraglichen Pflichten gegenüber ihren Auftraggebern die Einhaltung bestimmter Vorgaben nachweisen müssen, kann TÜV SÜD mit Risk Assessments unterstützen.“
Weitere Informationen zu den DORA-Services von TÜV SÜD finden Sie unter tuvsud.com/en/themes/cybersecurity/digital-operational-resilience-act.
Im Jahr 1866 als Dampfkesselrevisionsverein gegründet, ist TÜV SÜD heute ein weltweit tätiges Unternehmen. Rund 30.000 Mitarbeitende sorgen an über 1.000 Standorten in rund 50 Ländern für die Optimierung von Technik, Systemen und Know-how. Sie leisten einen wesentlichen Beitrag dazu, technische Innovationen wie Industrie 4.0, autonomes Fahren oder Erneuerbare Energien sicher und zuverlässig zu machen. tuvsud.com/de
TÜV SÜD AG
Westendstraße 199
80686 München
Telefon: +49 (89) 5791-0
Telefax: +49 (89) 5791-1551
http://www.tuvsud.com/de
