Wenn IT-Dienstleister der Finanzaufsicht unterstehen: Ein Überblick über den Aufsichtsrahmen nach DORA
Aus dem Digital Operational Resilience Act (Verordnung (EU) 2022/2554, „DORA“) folgt ein umfangreiches Pflichtenprogramm für Finanzunternehmen zur Stärkung ihrer Cyber-Resilienz (vgl. dazu unseren Insight Digital Operational Resilience Act (DORA) – Bedeutung für den Finanzsektor). Darüber hinaus enthält der Rechtsakt jedoch auch Anforderungen für bestimmte IKT-Dienstleister und unterstellt diese einer „Aufsicht light“. Hintergrund dafür ist die Auffassung des europäischen Gesetzgebers, dass bestimmte IKT-Dienstleister infolge der zunehmenden Verflechtung mit dem Finanzsektor und der fortschreitenden Abhängigkeit der IKT-Systeme untereinander für das Funktionieren des Finanzwesens als so relevant einzustufen sind, dass sie der Aufsicht bedürfen („kritische IKT-Drittdienstleister“).
Dementsprechend ist in Art. 28 ff. DORA die Bewältigung des IKT-Drittparteienrisikos als ein Schlüsselprinzip für ein solides IKT-Risikomanagement von Finanzunternehmen vorgesehen. Hiernach müssen die Finanzunternehmen unter anderem bestimmte vertragliche Regelungen mit ihren Dienstleistern vereinbaren. Doch auch darüber hinaus fordert DORA den Dienstleistern einiges ab: Unterstützen sie kritische oder wichtige Funktionen, sollen sie regelmäßig „die aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit anwenden“ (Erwägungsgrund (66) bzw. Art. 28 Abs. 5 DORA).
Welche IKT-Drittdienstleister sind kritisch?
Den Aufsichtsbehörden kommt die Aufgabe zu, festzulegen, welche IKT-Drittdienstleister als kritisch einzustufen sind. Nach Art. 31 Abs. 11 DORA steht es Dienstleistern zudem offen, eine Einstufung als kritisch selbst zu beantragen.
Die Einstufung der Aufsichtsbehörden erfolgt dabei anhand einiger Kriterien, die sich im Wesentlichen wie folgt zusammenfassen lassen:
- Kundenstruktur: Zum einen werden die Aufsichtsbehörden bei der Wesentlichkeitsprüfung einbeziehen, welche Finanzunternehmen der Dienstleister beliefert und ob hierunter auch systemrelevante Finanzunternehmen fallen. Dabei ist unter anderem zu berücksichtigen, ob und welche systemischen Auswirkungen eine Störung bei dem Dienstleister auf die Finanzbranche hätte.
- Bedeutung der Services: Zum anderen berücksichtigen die Aufsichtsbehörden die Services, die vom potenziell als kritisch einzustufenden Dienstleister erbracht werden. Insbesondere prüft sie dabei die Abhängigkeit kritischer Funktionen der Finanzunternehmen von den jeweiligen IKT-Dienstleistungen und die Substituierbarkeit des IKT-Drittdienstleisters.
Die EU Kommission hat mit der Delegierten Verordnung 2024/1502 vom 22.02.2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates die Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch detailliert festgelegt. Diese ergänzen und konkretisieren die vorgenannten Kriterien.
Es gibt indes auch einige Ausnahmen (Art. 31 Abs. 8 DORA). So qualifizieren etwa gruppeninterne IKT-Dienstleister oder Dienstleister, die ausschließlich in einem EU-Mitgliedstaat ihre IKT-Dienstleistungen bereitstellen, nicht als kritische IKT-Dienstleister.
Zuständig für die Anwendung der Kriterien ist der Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden, der ein Überwachungsforum als Unterausschuss einsetzt und für jeden kritischen IKT-Dienstleister diejenige europäische Aufsichtsbehörde, mithin EBA, ESMA oder EIOPA, zur federführenden Überwachungsbehörde bestimmt, die für den größten Kundenteil dieses IKT-Dienstleisters zuständig ist, wobei jener Kundenanteil nach den Bilanzaktiva der relevanten Finanzunternehmen ermittelt wird.
Welche Auswirkungen hat die Einstufung als kritischer IKT-Drittdienstleister?
Die federführende Überwachungsbehörde hat gegenüber den als kritisch eingestuften IKT-Drittdienstleistern Informations-, Kontroll- und Prüfrechte.
Das bedeutet konkret, dass die jeweils federführende Überwachungsbehörde ab Januar 2025 gegenüber kritischen IKT-Drittdienstleistern u.a. das Recht hat,
- Informationen anzufordern und
- allgemeine Untersuchungen und Prüfungen, einschließlich Vor-Ort-Prüfungen, durchzuführen,
- Empfehlungen zur IT-Sicherheit, zu den Geschäftsbedingungen und zur geplanten Vergabe von Unteraufträgen auszusprechen,
- bei vollständiger oder teilweiser Nichteinhaltung der gegen den kritischen IKT-Drittdienstleister ausgesprochenen Maßnahmen bis zu deren Einhaltung Zwangsgelder in Höhe bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes zu verhängen, den der kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat,
- öffentlich bekanntzugeben, wenn ein beaufsichtigtes Unternehmen diese Empfehlungen nicht einhält und wenn Zwangsgelder verhängt wurden.
Von praktischer Relevanz ist überdies die neue Vorgabe, dass Finanzunternehmen nur dann Dienstleistungen eines kritischen IKT-Drittdienstleiters mit Sitz in einem Drittstaat in Anspruch nehmen dürfen, wenn der Dienstleister innerhalb von zwölf Monaten nach Einstufung als kritischer IKT-Drittdienstleister ein Tochterunternehmen in der EU gründet.
Nach welchen Maßstäben überwacht die Aufsicht?
Aus den Kriterien der Aufsicht an die Überwachung (Art. 33 Abs. 3 DORA) lässt sich ableiten, welche Erwartungen die Aufsicht an IKT-Drittdienstleister stellt.
Die Dienstleister werden in der Regel auch den (neuen) Anforderungen der NIS2-Richtlinie bzw. deren Umsetzung in den nationalen Gesetzen unterfallen, während DORA für die Finanzunternehmen grundsätzlich gegenüber der NIS2-Richtlinie das speziellere Regelwerk ist (Art. 1 Abs. 2 DORA). Für die IKT-Dienstleister wird es somit zu einer Überschneidung der Risikomanagement-Maßnahmen nach Art. 21 NIS2-Richtlinie den folgenden Anforderungen kommen (siehe auch zu konkretisierende Anforderungen nach NIS2 hier).
- IKT-Anforderungen: Sicherstellung der Sicherheit, Verfügbarkeit, Kontinuität, Skalierbarkeit und Qualität der Dienste sowie der Datenintegrität und -vertraulichkeit. Dies muss auch regelmäßige Tests und Audits beinhalten.
- Physische Sicherheit: Schutz von Räumlichkeiten, Einrichtungen und Datenzentren zur Unterstützung der IKT-Sicherheit. Dies kann auch im Rahmen des KRITIS-Dachgesetzes für Dienstleister eine wichtige Rolle spielen.
- Risikomanagementprozesse: Strategien für IKT-Risikomanagement, Geschäftskontinuität und Wiederherstellungspläne.
- Governance-Regelungen: Klare und transparente Zuständigkeiten und Rechenschaftspflichten für effektives IKT-Risikomanagement.
- Vorfallmanagement: Erkennung, Überwachung und unverzügliche Meldung wesentlicher IKT-Vorfälle, insbesondere Cyberangriffe, sowie deren Lösung.
- Datenübertragbarkeit und Interoperabilität: Mechanismen zur Sicherstellung der Daten- und Anwendungsübertragbarkeit. Dies wird letztlich auch im Sinne des Data Acts relevant sein.
Welche Auswirkungen gibt es auf Finanzunternehmen?
Sollte die federführende Überwachungsbehörde Missstände feststellen, kann sie Empfehlungen aussprechen, die kritische IKT-Drittdienstleister umzusetzen haben. Andernfalls besteht seitens der federführenden Überwachungsbehörde die Möglichkeit, die Finanzunternehmen dazu anzuweisen, die Nutzung des sich weigernden Dienstleisters teilweise oder vollständig auszusetzen, bis die Beseitigung der Missstände erfolgt ist. Außerdem können bestimmte Maßnahmen auch auf den Internetseiten der Aufsichtsbehörden veröffentlicht werden.
Gerade im Hinblick auf das Recht der federführenden Überwachungsbehörde gemäß Art. 35 Abs. 1 lit. d (ii) DORA, Empfehlungen zu als aufsichtlich relevant eingestuften Geschäftsbedingungen auszusprechen, ist für die Praxis aufmerksam zu beobachten, inwieweit die federführenden Überwachungsbehörden von diesem Recht Gebrauch machen. Insgesamt könnten die Empfehlungen zu einem Ausgleich der nicht selten zu beobachtenden Verhandlungsungleichgewichte zwischen großen IKT-Dienstleistern und Finanzunternehmen führen.
Zusammenfassung und Ausblick
Mit DORA erfolgt ein weiterer Meilenstein der Finanzmarktregulierung auf EU-Ebene. Erstmals wird für den IKT-Drittdienstleister, die für Unternehmen des Finanzsektors – und zwar unabhängig von ihrer Einordnung als bspw. Kreditinstitut, Wertpapierdienstleistungsunternehmen oder Versicherungsunternehmen – als besonders kritisch eingestuft werden, ein Aufsichtsrahmenwerk geschaffen, das durch Finanzaufsichtsbehörden ausgefüllt wird. Dabei handelt es sich zwar nicht um eine Aufsicht, die mit der über Finanzunternehmen vergleichbar wäre. Allerdings sind die praktischen Konsequenzen für kritische IKT-Drittdienstleister nicht zu unterschätzen, da den Aufsichtsbehörden Instrumente zur Verfügung gestellt werden, um – ggf. mittelbar über deren Kunden, die Finanzunternehmen – ihre Erwartungen an die Gewährleistung von effektiver IKT-Sicherheit durchzusetzen und damit die Stabilität des Finanzmarkts zu fördern. Damit wird ein Ansatz verfolgt, der zumindest in Teilen und von der Ratio dem entspricht, den der deutsche Gesetzgeber bereits mit dem FISG gewählt hat, als der BaFin die Möglichkeit eingeräumt wurde, gegenüber Auslagerungsunternehmen, auf die wesentliche Aktivitäten und Prozesse ausgelagert wurden, Anordnungen zur Durchsetzung aufsichtsrechtlicher Vorgaben zu erlassen. Man darf gespannt sein, wie die Europäischen Aufsichtsbehörden von ihren neuen Befugnissen Gebrauch machen und wie sich die selbstbewussten marktführenden IKT-Drittdienstleister auf den neuen Regelungsrahmen einstellen.