DDORA & IT-Sicherheit

Der neue DORA-RTS SUB ist da!

Der neue DORA-RTS SUB ist da! 1
0
Shares
0
0
0
0
0
0

Die Europäische Kommission hat am 02.07.2025 den technischen Regulierungsstandard (RTS) zur Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss (sog. RTS SUB), formell als Delegierte Verordnung (EU) 2025/532 erlassen. Der RTS SUB legt fest, welche Anforderungen Finanzinstitute bei der Vergabe bzw. Unterauftragsvergabe von IKT-Dienstleistungen erfüllen müssen. Diese sind dann zu beachten, wenn kritische oder wichtige Funktionen bei dem Finanzunternehmen durch eine IKT-Dienstleistung unterstützt werden. Insbesondere kommen die Anforderungen aus dem RTS SUB bei der Risikobewertung und dem Management von IKT-Subdienstleistern zum Tragen.

Im Februar 2025 hatte die Kommission zunächst die Annahme des ursprünglichen Entwurfs des RTS SUB abgelehnt. Der von den Europäischen Aufsichtsbehörden (ESAs) im Juli 2024 vorgelegte Entwurf sah Anforderungen an die „Bedingungen für die Unterauftragsvergabe in der Kette von IKT-Subunternehmern“ vor, die nach Ansicht der Kommission über das in Art. 30 Abs. 5 Unterabsatz 4 DORA festgelegte Mandat hinausging. Die Kommission argumentierte, dass diese Anforderungen nicht spezifisch genug mit den Bedingungen für die Subunternehmervergabe verknüpft waren und somit den Rahmen des Mandats überschritten. Die ESAs waren daher aufgefordert, Artikel 5 sowie die dazugehörige Erwägung 5 aus dem ursprünglichen Entwurf des RTS SUB zu streichen. Dieser Aufforderung sind die ESAs nachgekommen und haben am 24.03.2025 einen aktualisierten Entwurf des RTS SUB vorgelegt, der nunmehr von der Kommission angenommen und veröffentlicht wurde.

Der neue RTS SUB wurde nun zum 22.07.2025 wirksam.

Annerton DORA Monitor

Prozesse anpassen, Systeme prüfen, Nachweise dokumentieren: Die Anforderungen von DORA sind vielfältig, die Umsetzung erfordert Durchblick und Struktur.

Der Annerton DORA-Monitor begleitet Sie auf dem Weg zur digitalen Resilienz: Wir fassen für Sie Entwicklungen und Praxistipps kompakt zusammen.

📥 Erste Ausgabe jetzt kostenfrei herunterladen – Und gleich in den Verteiler eintragen, um bei jeder neuen Ausgabe automatisch per E-Mail informiert zu werden. So bleiben Sie sicher durch den DORA-Dschungel begleitet.

Praktische Bedeutung des neuen RTS SUB für Finanzunternehmen:

Der neue RTS SUB konkretisiert und erweitert die in DORA festgelegten Anforderungen an den Einsatz von IKT-Dienstleistungen durch Finanzunternehmen. Ihr Hauptfokus liegt darauf, welche Aspekte ein Finanzunternehmen bei der Weiter- bzw. Untervergabe (Sub-Outsourcing) von IKT-Dienstleistungen berücksichtigen muss, wenn diese Dienstleistungen kritische oder wichtige Funktionen unterstützen. Im Wesentlichen lässt sich die Bedeutung für Finanzunternehmen in folgenden Punkten zusammenfassen:

  • klare Subauslagerungs-Prozesse
    Der RTS SUB legt detaillierte Kriterien fest, wie Finanzunternehmen Subauslagerungen strukturieren und kontrollieren müssen. Insbesondere müssen klare Prozesse etabliert werden, um sicherzustellen, dass Subdienstleister dieselben Sicherheits-, Datenschutz und Compliance-Anforderungen erfüllen wie der ursprüngliche Dienstleister.
  • Sorgfaltspflichten und Risikobewertung
    Finanzunternehmen dürfen nach den Vorgaben des RTS SUB nur dann eine IKT-Dienstleistung an einen Drittdienstleister vergeben, wenn dieser zur kontrollierten und transparenten Untervergabe von IKT-Dienstleistungen zur Unterstützung von kritischen oder wichtigen Funktionen beim Finanzunternehmen befähigt ist und alle aufsichtsrechtlichen Bedingungen erfüllt. Mit dem RTS SUB erhalten Finanzunternehmen nun strengere Vorgaben dazu, wie sie die Risiken im Zusammenhang mit Sub-Outsourcing (zur Unterstützung kritisch-wichtiger Funktionen) identifizieren, bewerten und steuern müssen. Dies betrifft eine ganze Reihe von Risiken (z. B. Ausfall von Systemen), die in Art. 3 Abs. 1 lit. (a) – (j) RTS SUB definiert sind. In die Risikobewertung einfließen müssen u.A.:
    • die Fähigkeit des Hauptdienstleisters, die gesamte Sub-Dienstleisterkette zu identifizieren, um das Finanzunternehmen über diese zu benachrichtigen und zu informieren, und dem Finanzunternehmen alle erforderlichen Informationen zu den eingesetzten Sub-Dienstleistern zur Verfügung zu stellen.
    • die Bewertung der operativen, finanziellen und sicherheitstechnischen Leistungsfähigkeit potenzieller Subunternehmer.
    • die Sicherstellung, dass das Finanzunternehmen und die Behörden vollständige Zugriffs-, Prüfungs- und Informationsrechte entlang der Subunternehmerkette erhält.
    • ausreichende Fähigkeiten, Fachkenntnisse und angemessene finanzielle, personelle und technische Ressourcen beim Hauptdienstleister, um die IKT-Risiken auf der Ebene der Unterauftragnehmer zu überwachen.
    • die Bewertung der Standortrisiken in Bezug auf potentielle Sub-Dienstleister/Sub-Dienstleistungen, der IKT-Konzentrationsrisiken und der Auswirkungen eines möglichen Ausfalls eines Unterauftragnehmers, der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder eines wesentlichen Teils davon erbringt, auf die digitale operationale Resilienz und die finanzielle Solidität des Finanzunternehmens durch das Finanzunternehmen.

Finanzunternehmen müssen also ihr Risikomanagement in Bezug auf IKT-Dienstleistungen zur Unterstützung kritisch-wichtiger Funktionen vertiefen. Auch regelmäßige Neubewertungen und Aktualisierungen der Risikoanalysen, insbesondere bei Veränderungen an den unterstützten Geschäftsfunktionen, einschließlich IKT-Bedrohungen, IKT-Konzentrationsrisiken und geopolitischen Risiken, müssen implementiert sein.

  • Anforderungen an den Vertrag mit dem Hauptdienstleister
    Der RTS SUB gibt eine ganze Reihe von Vorgaben dazu, welche Anforderungen an das Sub-Outsourcing und an die vertragliche Vereinbarung hierzu zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister, der kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützt, bestehen. Unter Anderem wird klargestellt, dass
    • der Hauptdienstleister auch im Falle des Sub-Outsourcings verantwortlich bleibt.
    • der Hauptdienstleister die Sub-Dienstleister zu überwachen und die Erfüllung der vertraglichen Verpflichtungen gegenüber dem Finanzunternehmen sicherzustellen hat. Dazu gehören konkrete Berichtspflichten gegenüber dem Finanzunternehmen.
    • der Hauptdienstleister zu einer Risikobewertung in Bezug auf die eingesetzten Sub-Dienstleistern/Sub-Dienstleistungen und den Ort der Datenverarbeitung oder -speicherung durch den eingesetzten Subunternehmer verpflichtet ist.
    • der Hauptdienstleister die Kontinuität der IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, entlang der gesamten Kette von Unterauftragnehmern sicherstellen muss, wenn ein IKT-Unterauftragnehmer seinen vertraglichen Verpflichtungen nicht nachkommt.
    • das Finanzunternehmen sich vertraglich diverse Durchgriffsrechte (insb. in Bezug auf die Einhaltung von IKT-Sicherheitsstandards, Geschäftsfortführungspläne und Zugangs-/Prüfungsrechte) zusichern lassen muss.

Außerdem legt Art. 6 RTS SUB spezifische Kündigungsrechte fest, die im Zusammenhang mit Sub-Outsourcing zwischen dem Finanzunternehmen und dem Hauptdienstleister zwingend vereinbart werden müssen, wenn kritisch-wichtige Funktionen bei dem Finanzunternehmen oder Teile hiervon unterstützt werden.

  • Umgang mit wesentlichen Änderungen
    Der neue RTS SUB verpflichtet die Finanzunternehmen, in ihre Verträge mit dem Hauptdienstleister auch aufzunehmen, dass der IKT-Drittdienstleister alle beabsichtigten wesentlichen Änderungen an bestehenden Subunternehmerverträgen, die IKT-Dienstleistungen für kritische oder wichtige Funktionen betreffen, vorab an das Finanzunternehmen mitzuteilen hat. Dies soll dem Finanzunternehmen ermöglichen, die Auswirkungen auf seine Risikoposition und die Leistungsfähigkeit des Hauptdienstleisters rechtzeitig zu bewerten. Der Vertrag muss eine angemessene Frist für die Mitteilung und Prüfung vorsehen. Ohne ausdrückliche Zustimmung oder ausdrückliche Nicht Ablehnung darf der Dienstleister die Änderungen nicht umsetzen. Erkennt das Finanzunternehmen, dass die geplanten Änderungen seine Risikotoleranz überschreiten, ist es verpflichtet, dies innerhalb der Frist mitzuteilen, die Änderung abzulehnen und ggfs. Anpassungen zu verlangen.

Dieser Artikel erschien auch im Annerton DORA-Monitor, den Sie hier kostenlostenlos erhalten.

0
0

Josefine Spengler ist Rechtsanwältin und Fachanwältin für IT-Recht im Berliner Büro von Annerton. Sie verfügt über langjährige Inhouse-Erfahrung als Head of Legal und Datenschutzbeauftragte bei einem Payment Service Provider. Als Expertin im IT- und FinTech-Segment berät Josefine Spengler nationale und internationale Mandanten in allen Fragen an der Schnittstelle zwischen Regulierungsrecht und IT-Recht sowie zu Compliance- und AML-Themen. Josefine Spengler ist regelmäßig Referentin bei Veranstaltungen zum IT-Recht und zu regulatorischen Anforderungen an die IT von Finanzunternehmen.

Peter ist seit 2002 als Anwalt tätig. Der Rechtsanwalt und Partner der Kanzlei Annerton am Standort München berät schwerpunktmäßig und umfassend im Bank- und Bankaufsichtsrecht, im Zahlungsverkehrsrecht sowie im Bereich Asset Management.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like