RTS für vertragliche Vereinbarungen mit IKT-Drittanbietern kritischer oder wesentlicher Funktionen

Verordnung (EU) 2022/2554

Was ist der Hintergrund?

Die DORA-Verordnung fordert von Finanzunternehmen, eine klare Strategie für das Risikomanagement im Bereich der Informationstechnologie (IKT), insbesondere für den Umgang mit Drittanbietern, zu etablieren. Es müssen regelmäßige Überprüfungen und spezifische Politiken für die Nutzung von IKT-Diensten durch externe Anbieter implementiert werden. Die Europäischen Aufsichtsbehörden (ESAs) haben für IKT-Dienstleister, welche kritische/ wichtige Funktionen unterstützen, einen technischen Standard entwickelt, welcher die Anforderungen an solche Verträge und das Risikomanagement detailliert berücksichtigt, wobei u.a. die Unternehmensgröße und das Risikoprofil einbezogen werden.

Leitfragen für die kritische IKT-Dienste-Strategie (Art. 3)

  • Welche Methode wird verwendet, um IKT-Dienstleistungen für kritische/ wichtige Funktionen zu bestimmen?
  • Wer ist verantwortlich, die Verträge für diese Dienste zu genehmigen/ überwachen/kontrollieren und zu dokumentieren?
  • Definition eines oder einer internen Beauftragten für das Management von ICT-bezogenen Risiken
  • Fokus auf Risiken für den gesamten Lebenszyklus des ICT-Vertragsmanagements (einschließlich Due Diligence, Änderungsmanagement).
  • Bewertungskriterien für IKT-Drittdienstleister (z. B. geschäftlicher Ruf, technische Ressourcen, Informationssicherheitslage, Governance, interne Kontrollen).
  • Rechte auf Einsichtnahme, Zugang zu Informationen und Kündigungsverfahren. 

To Do's nach VO (EU) 2022/2554

  • Formulierung/ Aktualisierung einer Teilstrategie zur Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer/ wichtiger Funktionen („kritische IKT-Dienste“, bei Nutzung eines Drittanbieters: „IKT-Drittdienstleister“) des Instituts (ggf. auf (teil-)konsolidierter Basis (Art. 2)
  • und diese Strategie sollte die Nutzung wichtiger IKT-Dienste umfassen, die von Drittanbietern unterstützt werden.


Übergreifende Risikoüberlegungen

Konstellationen von gruppenexternen IKT-Drittanbietern

DORA

Lebenszyklus für kritische IKT-Dienste

Unterstützung kritischer Funktionen durch IKT-Drittdienstleister  (Art. 4-10)

Interne Risikobewertung (Art. 5)                   
  • In der IKT-Politik sollten die Zuständigkeiten für die Genehmigung, Verwaltung, Kontrolle und Dokumentation einschlägiger vertraglicher Vereinbarungen eindeutig festgelegt werden.
  • Sicherstellen, dass geeignete Fähigkeiten, Erfahrungen und Kenntnisse für eine nützliche Aufsicht vorhanden sind
Externe Risikobewertung (Art. 6)                     

Für die Auswahl und Bewertung von IKT-Drittdienstleistern, die kritische oder wichtige Funktionen unterstützen, sind mindestens folgende Prüfungsgebiete heranzuziehen:

  • Eignungsprüfung: Reputation, personelle und technische Ressourcen sowie IKS& Organisation
  • Prüfung der Lieferkette: Einsatz von IKT-Subunternehmern und/ oder Verarbeitung bzw. Speicherung von Daten in einem Drittland
  • Durchgriffsprüfung: Sicherstellung der Prüfmöglichkeit durch Auslagerungsunternehmen, Drittprüfer und Aufsichtsbehörde
  • Sozialprüfung: Einhaltung von ethischen und sozialen Standards
Interessenkonfliktmanagement  (Art. 7)

Ermittlung tatsächlicher oder potenzieller Interessenkonflikte, die sich aus der Inanspruchnahme von IKT-Drittdienstleistern ergeben.

Vertragscompliance (Art 8)
  • Bedingungskatalog und Versionierungssystem für IKT-Drittdienstleisterverträge ist systemisch durchzusetzen
  • Ergänzung mit weiteren Prüfungs-, Revisions- und Bescheinigungsanforderungen
Kritische-IKT-Dienste
Überwachung (Art. 9)

Nutzung von KPIs zur laufenden Überwachung der IKT-Drittdienstleister:

  • Definition der KPIs in den Bereichen Performance/ CIA, aber auch Einhaltung prozessualer Vorgaben des Auslagernden
  • Dokumentierte Bewertung der KPIs auch unter Nutzung von erhaltenen Berichten über den Drittdienstleister (u.a. Incidents, Notfalltests etc.)
Ausstiegsstrategie (Art. 10)

Es ist pro IKT-Drittanbieter ein Ausstiegsplan zu formulieren:

  • Festlegung dedizierter Anlässe (bspw. anhaltende Dienstunterbrechungen, unangemessene Leistungserbringung etc.)
  • Regelmäßige Überprüfung der Ausstiegsgründe

IKT-Risikomanagement für Drittparteien

Anforderungen und Umsetzungsbedarf

Anforderungen an die IT-ComplianceAnforderungen an die IT-Compliance

UmsetzungsbedarfUmsetzungsbedarf                                        

Die neuen Anforderungen fügen sich an bestehende Regelungen an, die bspw. in der MaRisk (AT 9), den BAIT (Abschn.II Nr.9) und den EBA Guidelines on Outsourcing Arrangements niedergelegt sind. Jedoch sind ein genauer Abgleich sowie eine Feinjustierung der Prozesse erforderlich. Die Harmonisierung bestehender Aufsichtsprozesse im EU-Raum ist ein wesentlicher Motivator der DORA-Regulierung. 
Durch aktive Förderung dieses Aufsichtsziels kann die IT-Compliance Prüfungs- und Auskunftspflichten effizient gestalten.


Der Fokus des RTS liegt im Management von IKT-Drittdienstleistern. In diesem Bereich sind folgende Aufgaben hervorzuheben:

  • Inventarisierung kritischer/ wichtiger Funktionen
  • Identifikation und Kategorisierung bestehender IKT-Drittdienstleister
  • Erstellung/ Ergänzung eines Vertragsklausel-Repositorys
  • Definition/ Ergänzung von KPIs zur laufenden Überwachung
  • Ergänzung bestehender Vertragsregelungen durch Nachträge


Wie kann BDO helfenWie kann BDO helfen?

Der RTS befasst sich mit dem gesamten Lebenszyklus von IKT-Drittrisiken. Die Überarbeitung eingespielter schriftlicher Regelungen (Richtlinien, Policys, technische Handlungsanweisungen etc.), Prozesse sowie Genehmigungs- und Kontrollstrukturen bedarf eines abgestimmten Vorgehens von Expertinnen und Experten aus den Bereichen IT-Governance, Aufsichts-/ Zivilrecht sowie Business Analytics.

BDO hat sich frühzeitig auf die Anforderungen der DORA-Regulierung vorbereitet. Unser FS IT & CA-Team bei BDO ist mit vielfältigen Formen des Vertragsdatenmanagements vertraut und unterstützt Sie mit mehrjähriger Expertise aus Prüfungs- und Beratungsprojekten von Banken, Finanzdienstleistern und Investmentfonds.

Gemeinsam mit unseren Kolleginnen und Kollegen aus den Bereichen Vertragsrecht, Aufsichtsrecht und Risk & Compliance adressieren wir mit Ihnen zielgenau die Aufgabenpakete dieses technischen Standards. Hierzu unterstützen wir Sie mit:

  • Workshops/ Interviews zur Soll-/Ist-Analyse
  • Checklisten/ Arbeitsanweisungen zu den Aufgabenbereichen des RTS
  • Anpassungen Ihrer schriftlichen Regelungen, Prozessbeschreibungen und Ihres internen Kontrollsystems
  • Automatisierter DORA-Konformitätscheck mit Hilfe KI und Qualitätssicherung durch BDO Legal 
  • Weitere Tools zur Ermittlung/ Anpassung Ihrer bestehenden Verträge mit IKT-Drittdienstleistern

Sie wollen unseren Ansatz kennenlernen? Gerne erläutern wir Ihnen in einem Quick- Check-Interview unser maßgeschneidertes Vorgehen für Ihr Unternehmen.