Einordnung von IT-Dienst­leistern als kritische IKT-Dritt­dienstleister im Sinne von DORA

Aus dem Digital Operational Resilience Act (Verordnung (EU) 2022/2554, „DORA“) folgt ein umfangreiches Pflichtenprogramm für Finanzunternehmen zur Stärkung ihrer Cyber-Resilienz (vgl. dazu unseren Insight Digital Operational Resilience Act (DORA) – Bedeutung für den Finanzsektor). Darüber hinaus enthält der Rechtsakt Anforderungen für bestimmte IKT-Dienstleister und unterstellt diese einer „Aufsicht light“ (vgl. dazu unseren Insight „Wenn IT-Dienstleister der Finanzaufsicht unterstehen: Ein Überblick über den Aufsichtsrahmen nach DORA“). Im Folgenden führen wir näher aus, welche IT-Dienstleister damit rechnen müssen, als kritische IKT-Drittdienstleister von DORA erfasst und damit in die Finanzaufsicht im weiteren Sinne einbezogen zu werden.

Wer ist kritischer IKT-Drittdienstleister – Prüfkriterien der DORA

Das Überwachungsrahmenwerk nach DORA gilt für Unternehmen, die IKT-Dienstleistungen bereitstellen, die als „kritisch“ eingestuft werden und für die keiner der Ausnahmetatbestände i.S.v. Art. 31 Abs. 8 DORA greift („kritische IKT-Drittdienstleister“).

Die Bewertung und ggf. Einstufung eines IKT-Drittdienstleisters als „kritisch“ erfolgt durch die federführende Überwachungsbehörde, mithin durch eine EU-Finanzaufsichtsbehörde, insbesondere anhand der folgenden Kriterien (vgl. Art. 31 Abs. 2 lit. a)–d) DORA):

• systemische Auswirkungen, die ein Ausfall oder ein operativer Ausfall des IKT-Drittdienstleisters auf Finanzunternehmen haben könnte, für das der IKT-Dienstleister IKT-Dienstleistungen bereitstellt;

• systemischer Charakter oder Bedeutung der Finanzunternehmen, die auf den jeweiligen IKT-Drittdienstleister zurückgreifen, bewertet anhand der Zahl global systemrelevanter Institute i.S.d. CRR („G-SRI”) oder anderer systemrelevanter Institute i.S.d. CRR, die auf den jeweiligen IKT-Drittdienstleister zurückgreifen;

• Kritikalität oder Bedeutung der Funktionen in den Finanzunternehmen, die durch die vom IKT-Drittdienstleister erbrachten Dienstleistungen unterstützt werden; und

• Grad der Substituierbarkeit des IKT-Drittdienstleisters unter Berücksichtigung der Zahl von IKT-Drittdienstleistern, die auf einem bestimmten Markt tätig sind, sowie der Kosten der Migration von Daten und Arbeitslasten vom jeweiligen IKT-Drittdienstleister zu einem anderen IKT-Drittdienstleister.

Spezifizierung durch DelVO

Die Delegierte Verordnung der Kommission vom 22. Februar 2024 (C(2024) 896 final, „DelVO“) konkretisiert, wie die DORA-Prüfkriterien anzuwenden sind und füllt die Kriterien inhaltlich weiter aus. Hiernach ist ein zweistufiges Verfahren anzuwenden: Auf Stufe 1 erfolgt eine quantitative Prüfung, um aus der Masse der IKT-Drittdienstleister diejenigen herauszufiltern, die quantitativ am kritischsten sind (Art. 1 Abs. 1 lit. a DelVO). Auf Stufe 2 erfolgt eine qualitative Prüfung des jeweiligen IKT-Drittdienstleisters (Art. 1 Abs. 1 lit. b DelVO). Ein IKT-Drittdienstleister soll nur dann als „kritisch“ eingestuft werden, wenn er alle quantitativen Unterkriterien der Stufe 1 kumulativ erfüllt und die nachgelagerte qualitative Prüfung auf Stufe 2 positiv ausfällt (Art. 1 Abs. 2 DelVO).

Stufe 1: Quantitative Prüfung des IKT-Drittdienstleisters

Die quantitative Prüfung auf Stufe 1 umfasst folgende Kriterien und Unterkriterien (Art. 1 Abs. 1 UAbs. 1 lit. a DelVO):

Systemische Auswirkungen von IKT-Drittdienstleistern auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen

Diese quantitativen Kriterien sind erfüllt, wenn der IKT-Drittdienstleister IKT-Dienstleistungen für kritische oder wichtige Funktionen von Finanzunternehmen erbringt und:

• die Kunden des Dienstleisters zahlenmäßig mind. 10% aller EU-Finanzunternehmen einer der Finanzunternehmenskategorien i.S.v. Art. 2 Abs. 1 DORA sind, das heißt z.B. 10% aller Kreditinstitute, aller Wertpapierfirmen, aller Verwaltungsgesellschaften etc.; und

• der Gesamtwert der Vermögenswerte dieser Finanzunternehmen mind. 10% des Gesamtwerts der Vermögenswerte aller vergleichbaren EU-Finanzunternehmen beträgt, d.h. innerhalb der jeweiligen Finanzunternehmenskategorie, z.B. Kreditinstitute, Wertpapierfirmen, Verwaltungsgesellschaften etc.

Systemischer Charakter und Bedeutung der IKT-Dienstleistungen für Finanzunternehmen

Diese quantitativen Kriterien sind erfüllt, wenn die Kunden des IKT-Drittdienstleisters eine bestimmte Anzahl folgender qualifizierter Finanzunternehmen umfassen:

• Kreditinstitute, die G-SRI oder A-SRI sind; und/oder

• Finanzunternehmen, die behördenseitig als systemrelevant eingestuft wurden.

Die Schwellenwerte (d.h. die maßgebliche Zahl systemrelevanter Finanzunternehmen) ergeben sich aus Art. 3 Abs. 2 und 3 DelVO.

Grad der Substituierbarkeit

Diese quantitativen Kriterien sind erfüllt, wenn der IKT-Drittdienstleister IKT-Dienstleistungen für kritische oder wichtige Funktionen von Finanzunternehmen erbringt und:

• der Anteil seiner Kunden, für die kein alternativer IKT-Drittdienstleister mit der erforderlichen Kapazität zur Verfügung steht, mind. 10% aller EU-Finanzunternehmen innerhalb der jeweiligen Finanzunternehmenskategorie i.S.v. Art. 2 Abs. 1 DORA beträgt, das heißt z.B. 10 % aller Kreditinstitute, aller Wertpapierfirmen, aller Verwaltungsgesellschaften etc.; und

• für einen ebensolchen 10%-Anteil der Kunden es „höchst schwierig“ ist, zu einem anderen IKT-Drittdienstleister zu migrieren.

Stufe 2: Qualitative Prüfung des IKT-Drittdienstleisters

Die qualitative Prüfung des IKT-Drittdienstleisters auf Stufe 2 richtet sich nach folgenden Unterkriterien (Art. 1 Abs. 1 UAbs. 1 lit. b DelVO):

Systemische Auswirkungen des IKT-Drittdienstleisters

Die federführende Überwachungsbehörde führt die Bewertung der systemischen Auswirkungen des IKT-Drittdienstleisters anhand folgender Unterkriterien durch:

• die Stärke der Auswirkungen einer Einstellung der vom IKT-Drittdienstleister erbrachten IKT-Dienstleistungen auf die Tätigkeiten und den Geschäftsbetrieb der Finanzunternehmen und die Zahl der betroffenen Finanzunternehmen; und

• die Abhängigkeit des kritischen IKT-Drittdienstleisters von ein und denselben Unterauftragnehmern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von Finanzunternehmen erbringen.

Systemischer Charakter der IKT-Dienstleistungen

Die federführende Überwachungsbehörde berücksichtigt bei der Bewertung des systemischen Charakters der IKT-Dienstleistungen die Interdependenz zwischen den auf Stufe 1 einbezogenen G-SRI oder A-SRI und anderen Finanzunternehmen, die IKT-Dienstleistungen desselben IKT-Drittdienstleisters in Anspruch nehmen.

Kritikalität und Bedeutung der unterstützten Funktionen

Die federführende Überwachungsbehörde bewertet die Kritikalität und Bedeutung der unterstützten Funktionen danach, ob die vom IKT-Drittdienstleister erbrachten IKT-Dienstleistungen für die Tätigkeit der Finanzunternehmen von kritischer Bedeutung ist.

Grad der Substituierbarkeit

Die federführende Überwachungsbehörde berücksichtigt bei der Bewertung des Grads der Substituierbarkeit des IKT-Drittdienstleisters folgende Parameter:

• einen Mangel an echten, auch teilweisen, Alternativen aufgrund der begrenzten Zahl von IKT-Drittdienstleistern, die auf einem bestimmten Markt tätig sind;

• den Marktanteil des betreffenden IKT-Drittdienstleisters;

• die damit verbundene technische Komplexität oder Differenziertheit; und

• die besonderen Merkmale der Organisation oder Tätigkeit des IKT-Drittdienstleisters.

Rechtsschutz

Mit DORA wird ein Überwachungsregime für kritische IKT-Drittdienstleister etabliert. Dies ist zwar kein Aufsichtsregime, wie es für Finanzunternehmen besteht (z.B. benötigen kritische IKT-Drittdienstleister für ihre Tätigkeit keine Erlaubnis der Finanzaufsichtsbehörden). Behördliche Maßnahmen im Rahmen des Überwachungsrahmenwerks können gleichwohl belastende Wirkung für die IKT-Drittdienstleister entfalten, so dass sich die Frage nach Rechtsschutzmöglichkeiten stellt. Diese richten sich danach, ob aufsichtliche Maßnahmen nationaler oder europäischer Behörden vorliegen und gegen welche behördliche Handlungsform sich der betroffene IKT-Drittdienstleister wendet.

Gegen Maßnahmen europäischer Behörden können betroffene IKT-Drittdienstleister Beschwerde vor dem gemeinsamen Beschwerdeausschuss der ESAs einlegen (Art. 60 Abs. 1 ESA-VO), z.B. bei Auskunftsersuchen oder der Anordnung allgemeiner Untersuchungen und Inspektionen (vgl. Art. 37 Abs. 3 lit. f), 38 Abs. 4 Satz 2, 39 Abs. 6 Satz 1 DORA). Daneben kommt eine Überprüfung von Maßnahmen durch den Gerichtshof der Europäischen Union mittels Nichtigkeitsklage in Betracht (Art. 263 Abs. 4 AEUV).

Gegen belastende Maßnahmen nationaler Behörden können betroffene Unternehmen Rechtsschutzmöglichkeiten nach nationalem Verwaltungsrecht nutzen, in Deutschland insbesondere das Widerspruchsverfahren und die Anfechtungsklage, z.B. bei einer behördlichen Anordnung gegenüber dem Finanzunternehmen, die Zusammenarbeit mit einem IKT-Drittdienstleister vorübergehend oder vollständig einzustellen (Art. 42 Abs. 6 DORA). Eine solche Anordnung beschwert unmittelbar das Finanzunternehmen als Adressaten des Verwaltungsakts und entfaltet zudem belastende Drittwirkung für den IKT-Drittdienstleister.