DORA: Anforderungen und Auflagen für die Unterauftragsvergabe im Finanzsektor

DORA verpflichtet Finanzunternehmen bei der Vergabe von Aufträgen an IKT-Drittdienstleister, ein umfangreiches Set an Auflagen einzuhalten.  

Nicht selten vergeben IKT-Drittdienstleister ihrerseits Unteraufträge an weitere Service Provider. Dadurch entsteht eine Auslagerungskette. Eines der Ziele von DORA ist es, auch Drittdienstleister und Unterauftragnehmer zu regulieren. Artikel 30 der DORA-Verordnung legt Mindestanforderungen für Verträge zwischen Finanzinstituten und IKT-Drittanbieter fest. Der technische Regulierungsstandard (RTS) 30.5 ergänzt diese Verordnung um die spezifischen Anforderungen, die entstehen, wenn IKT-Drittanbieter ihrerseits Unteraufträge für wichtige oder kritische Funktionen vergeben.   

Grundsätzlich befasst sich DORA mit vier wesentlichen Vorgaben in diesem Kontext:  

• Klassifizierung der Verträge
• Durchführung von Due-Diligence-Prozessen vor Vertragsabschluss
• Standardisierung der Vertragsinhalte
• Überwachung laufender Unteraufträge

Die Anforderungen von DORA für IKT-Dittdienstleister bedeuten, dass diese nicht nur die Anforderungen in Bezug auf die direkte Vertragsbeziehung mit den Finanzinstituten erfüllen müssen, sondern auch sicherstellen müssen, dass alle Unterauftragnehmer die gleichen regulatorischen Anforderungen erfüllen. Dies erfordert eine sorgfältige Auswahl der Drittdienstleister und deren Unterauftragnehmer und eine laufende Überwachung ihrer Leistungen, um die Einhaltung der DORA-Vorschriften zu gewährleisten.

Änderungen in der Weiterverlagerung: Diese Auswirkung hat DORA auf MaRisk-Praktiken

Vorgaben für die Unterauftragsvergabe sind nicht neu. Die Mindestanforderungen an das Risiko- Management (MaRisk) enthalten bereits Vorgaben für Finanzinstitute. MaRisk erfordert die Klassifizierung der Unterauftragsvergabe in die folgenden Kategorien:  

• Wesentliche Auslagerung
• Nicht wesentliche Auslagerung
• Sonstiger Fremdbezug von IT-Dienstleistungen
• Sonstiger Fremdbezug

Sofern es sich nicht um IKT-Drittdienstleistungen handelt, gehen wir davon aus, dass diese MaRisk-Vorgaben weiterhin Gültigkeit haben werden. Handelt es sich bei der Unterauftragsvergabe jedoch um IKT-Dienstleistungen, so sind zukünftig die neuen Vorgaben von DORA anzuwenden. Im Gegensatz zu MaRisk klassifiziert DORA-Unteraufträge nach den Kategorien:

• IKT-Verträge, die wichtige oder kritische Funktionen unterstützen
• IKT-Verträge, die keine wichtigen oder kritischen Funktionen beinhalten

Unter „IKT-Dienstleistungen“ werden in diesem Zusammenhang digitale Dienste und Datendienste verstanden, einschließlich Hardware, Software, Kommunikation oder Beratungsdienstleistungen. DORA definiert „kritische oder wichtige Funktionen“ als Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit oder die Fortführung des Geschäftsbetriebs erheblich beeinträchtigen würde oder die regulatorischer Natur sind. Für Verträge über kritische oder wichtige Funktionen gelten erhöhte Anforderungen, auf die im Folgenden näher eingegangen wird.

Unterauftragsvergabe: Due Diligence zur Ermittlung der Komplexität

Bevor ein IKT-Drittdienstleister Unteraufträge vergibt, ist für die vorgesehene Konstellation der in Frage kommenden Unterauftragnehmer eine Due Diligence durchzuführen. Grundlage hierfür ist eine Risikobetrachtung der Komplexität, die mindestens folgende Punkte berücksichtigen muss:

• Standorte der Unterauftragnehmer oder der Muttergesellschaften;
• Anzahl der Unterauftragnehmer;
• Art der Daten, die mit den Unterauftragnehmern geteilt werden;
• Orte der Datenverarbeitung und -speicherung;
• ob die Unterauftragnehmer zur selben Unternehmensgruppe gehören;
• die Übertragbarkeit der IKT-Dienstleistung, die eine kritische oder wichtige Funktion unterstützt, auf einen anderen IKT-Drittdienstleister, auch aufgrund technologischer Besonderheiten;
• mögliche Auswirkungen von Störungen auf die Kontinuität und Verfügbarkeit der IKT- Dienstleistungen, die kritische oder wichtige Funktionen unterstützen;
• Schwierigkeit der Wiedereingliederung der IKT-Dienstleistung, die kritische oder wichtige Funktionen unterstützen, durch den IKT-Drittdienstleister;
• Konzentrationsrisiken.

Zusätzlich zu diesen Punkten sollten IKT-Dienstleister auch die finanzielle Stabilität, die technische Kompetenz und die Sicherheitsprotokolle potenzieller Unterauftragnehmer bewerten. Diese umfassende Due-Diligence-Prüfung stellt sicher, dass alle Risiken identifiziert und gemanagt werden, bevor Verträge geschlossen und Unteraufträge vergeben werden.

Due Diligence bei der Auswahl von Unterauftragnehmern: Wichtige Kriterien und Prozesse   

Zusätzlich zur Risikobetrachtung der Komplexität muss auch eine Risikobetrachtung der einzelnen Unterauftragnehmer durchgeführt werden. Dabei sind folgende Punkte zu berücksichtigen:

• Due-Diligence-Prozesse: Der IKT-Drittdienstleister muss sicherstellen, dass er die betrieblichen und finanziellen Fähigkeiten potenzieller Unterauftragnehmer zur Erbringung der IKT-Dienstleistungen bewerten kann.
• Informationsaustausch und Entscheidungsfindung: Der IKT-Drittdienstleister muss das Finanzinstitut über die Vergabe von Unteraufträgen informieren und es den Entscheidungsprozess einbeziehen, sofern dies relevant und angemessen ist.
• Vertragsklauseln: Die relevanten Klauseln der vertraglichen Vereinbarungen zwischen dem Finanzinstitut und dem IKT-Drittdienstleister müssen in die Unterauftragsvereinbarungen zwischen dem IKT-Drittdienstleister und seinen Unterauftragnehmern übernommen werden.
• Fähigkeiten und Ressourcen des IKT-Drittdienstleisters: Der IKT-Drittdienstleister muss über angemessene Fähigkeiten, Fachkenntnisse, finanzielle, personelle und technische Ressourcen verfügen und bei der Überwachung seiner Unterauftragnehmer angemessene Informationssicherheitsstandards anwenden.
• Fähigkeiten und Ressourcen des Finanzinstituts: Das Finanzinstitut muss über angemessene Fähigkeiten, Fachkenntnisse, finanzielle, personelle und technische Ressourcen verfügen, um den IKT-Service als Ganzes, d. h. über die gesamte Auslagerungskette hinweg, überwachen zu können.  
• Auswirkungen eines Ausfalls: Die Auswirkungen eines möglichen Ausfalls eines Unterauftragnehmers auf die Erbringung von IKT-Services, die kritische oder wichtige Funktionen des Finanzinstituts unterstützen, müssen im Hinblick auf die Resilienz und Finanzsolidität berücksichtigt werden.
• Geografische Risiken: Die Risiken, die mit dem geografischen Standort der Unterauftragnehmer verbunden sind, müssen in Bezug auf die IKT-Dienstleistungen berücksichtigt werden.
• IKT-Konzentrationsrisiken: Die IKT-Konzentrationsrisiken auf Unternehmensebene sind gemäß Artikel 29 (Bewertung von Konzentrationsrisiken) von DORA zu berücksichtigen.
• Prüfungs-, Informations- und Zugangsrechte: Mögliche Hindernisse für die Ausübung von Prüfungs-, Informations- und Zugangsrechten durch die zuständigen Abwicklungsbehörden und das Finanzinstitut sind auszuschließen.

Vertragsanforderungen für IKT-Drittdienstleister bei der Unterauftragsvergabe wichtiger oder kritischer Funktionen

Sofern eine Untervergabe von Aufträgen für wichtige oder kritische Funktionen durch den IKT-Drittdienstleister als zulässig eingestuft wird, sind die folgenden Inhalte in den Verträgen zwischen dem Finanzinstitut und dem IKT-Drittdienstleister verbindlich zu regeln:

• Überwachung der IKT-Dienstleistungen: Der IKT-Drittdienstleister ist zu verpflichten, alle ausgelagerten IKT-Dienstleistungen, die eine kritische oder wichtige Funktion unterstützen, zu überwachen.
• Berichtspflichten: Der IKT-Drittdienstleister hat Überwachungs- und Berichtspflichten gegenüber dem Finanzinstitut zu erfüllen.
• Risikobewertung: Der IKT-Drittdienstleister muss alle Risiken, einschließlich der IKT-Risiken, die mit dem Standort der Unterauftragnehmer, einschließlich ihrer Muttergesellschaften verbunden sind, bewerten.  
• Datenstandort und -eigentum: Der Standort und das Eigentum der vom Unterauftragnehmer verarbeiteten oder gespeicherten Daten müssen geklärt sein.
• Überwachungs- und Meldepflichten des Unterauftragnehmers: Der IKT-Drittdienstleister ist verpflichtet, die Überwachungs- und Meldepflichten seiner Unterauftragnehmer gegenüber sich selbst und gegebenenfalls gegenüber Finanzinstituten zu regeln.
• Kontinuierliche Bereitstellung von IKT-Diensten: Der IKT-Drittdienstleister ist verpflichtet, die kontinuierliche Bereitstellung der IKT-Services zur Unterstützung kritischer oder wichtiger Funktionen sicherzustellen. Selbst dann, wenn ein Unterauftragnehmer seine Service Levels oder andere vertragliche Verpflichtungen nicht einhält.
• Notfall- und Betriebskontinuitätspläne: Die Notfall- und Betriebskontinuitätspläne gemäß Artikel 11 (Reaktion und Wiederherstellung) von DORA sowie die Service Levels müssen für die Unterauftragnehmer festgelegt werden.
• IKT-Sicherheitsstandards: Die IKT-Sicherheitsstandards und gegebenenfalls zusätzliche Sicherheitsmerkmale müssen gemäß Artikel 28 Absatz 10 von DORA (Nutzung von IKT-Diensten, die wichtige oder kritische Funktionen unterstützen und von IKT-Drittdienstleistern bereitgestellt werden) eingehalten werden.
• Prüfungs-, Informations- und Zugangsrechte: Der Unterauftragnehmer muss dem Finanzinstitut und den zuständigen Behörden mindestens dieselben Prüfungs-, Informations- und Zugangsrechte gewähren, wie sie vom IKT-Drittdienstleister eingeräumt werden.
• Kündigungsrechte: Das Finanzinstitut hat Kündigungsrechte gemäß Artikel 7 (Kündigung des Vertrages) von DORA, oder wenn die Erbringung der Dienstleistungen nicht den vereinbarten Service Levels entspricht.

DORA-konforme Verträge - Umgang mit Änderungen bei Unteraufträgen   

Je komplexer die Konstellation der Auftragnehmer für einen IT-Service ist, umso wahrscheinlicher ist es, dass es während der Vertragslaufzeit zu ungeplanten Änderungen kommt. DORA verlangt, dass der Umgang mit wesentlichen Änderungen in den Unterauftragsvereinbarungen des IKT-Drittdienstleisters vertraglich geregelt wird:

• Informationspflicht bei wesentlichen Änderungen der Unterauftragsvereinbarungen:
  Bei wesentlichen Änderungen der Unterauftragsvereinbarungen muss das Finanzinstitut sicherstellen, dass es von seinem IKT-Drittdienstleister ausreichend informiert wird. Dies ist eine wesentliche Voraussetzung dafür, dass das Finanzinstitut die Auswirkungen auf die Risiken, denen es ausgesetzt ist oder sein könnte, abschätzen kann. Insbesondere wenn solche Änderungen die Fähigkeit des IKT-Drittdienstleisters beeinträchtigen könnten, seinen Verpflichtungen aus der vertraglichen Vereinbarung nachzukommen, muss das Finanzinstitut darüber informiert werden.   
• Unterrichtung des IKT-Drittdienstleisters über die Ergebnisse der Risikobewertung:
  Das Finanzinstitut muss den IKT-Drittdienstleister über die Ergebnisse seiner Risikobewertung informieren. Damit stellt das Finanzinstitut sicher, dass der IKT-Drittdienstleister alle relevanten Informationen erhält, um seine eigenen Risiken besser zu verstehen und angemessen darauf reagieren zu können.
• Genehmigung wesentlicher Änderungen durch das Finanzinstitut:
  Der IKT-Drittdienstleister darf wesentliche Änderungen erst dann umsetzen, wenn das Finanzinstitut diese entweder genehmigt oder nicht beanstandet hat. Dies stellt sicher, dass das Finanzinstitut die Kontrolle über wichtige Änderungen behält und die Risiken vor der Umsetzung angemessen bewerten kann.   
• Recht des Finanzinstituts, Änderungen an vorgeschlagenen Unteraufträgen zu verlangen:
  Ergibt die Risikobewertung, dass eine geplante Untervergabe oder Änderungen an der Unterauftragsvergabe durch den IKT-Drittdienstleister das Finanzinstitut Risiken aussetzt, hat das Finanzinstitut das Recht, Änderungen an den vorgeschlagenen Unteraufträgen zu verlangen, bevor diese umgesetzt werden.

DORA und die Beendigung von Unterauftragsverhältnissen: Wichtige Vertragsanforderungen   

DORA stellt auch sicher, dass im Streitfall im Zusammenhang mit der Unterauftragsvergabe durch den IKT-Drittdienstleister Sonderkündigungsrechte für das Finanzinstitut in den Verträgen vorgesehen werden:

• Wesentliche Änderungen an Untervergabevereinbarungen:
  Das Finanzinstitut kann den Vertrag kündigen, wenn der IKT-Drittdienstleister trotz Widerspruch des Finanzinstituts oder ohne dessen Zustimmung innerhalb der in Artikel 6 von DORA genannten Kündigungsfrist wesentliche Änderungen an Untervergabevereinbarungen vornimmt.
• Unterauftrag für eine kritische oder wichtige Funktion:
  Das Finanzinstitut kann den Vertrag kündigen, wenn der IKT-Drittdienstleister einen Unterauftrag für eine IKT-Dienstleistung vergibt, die eine kritische oder wichtige Funktion unterstützt, die nach der vertraglichen Vereinbarung ausdrücklich nicht an Unterauftragnehmer vergeben werden darf.

Diese Punkte bilden die Grundlage für die Vertragsgestaltung bei der Vergabe von Unteraufträgen an IKT-Dienstleister im Rahmen von DORA. Es ist von entscheidender Bedeutung, dass alle diese Punkte in jedem Vertrag berücksichtigt werden, um das Management des IKT-Drittparteienrisikos zu gewährleisten.

Überwachung von Verträgen mit Unterauftragsvergabe für wichtige oder kritische Funktionen

DORA stellt hohe Anforderungen an das Finanzinstitut, wenn dieses Unterauftragsvergaben für dessen IKT-Dienstleistungen für wichtige oder kritische Funktionen unterstützt. In vielen Fällen ist das unvermeidbar. In diesen Fällen verlangt DORA die Überwachung der Auslagerungsketten:

• Vollständige Dokumentation der IKT-Untervergabekette:
  Wird eine IKT-Dienstleistung, die kritische oder wichtige Funktionen unterstützt, untervergeben, muss das Finanzinstitut die IKT-Untervergabekette vollständig dokumentieren. 
• Überwachung der Bedingungen für die Vergabe von Unteraufträgen:
  Das Finanzinstitut überwacht die Bedingungen für die Vergabe von Unteraufträgen. Dies erfolgt unter anderem durch die Überprüfung der Vertragsunterlagen zwischen IKT-Drittdienstleistern und Unterauftragnehmern sowie der wichtigsten Leistungsindikatoren. Auf diese Weise wird sichergestellt, dass alle Anforderungen an den IKT-Drittdienstleister während der gesamten Untervertragskette eingehalten werden.

Diese Punkte sind entscheidend für eine effektive Überwachung von Verträgen mit IKT-Drittdienstleistern und Unterauftragnehmern im Rahmen von DORA. Sie müssen in der Überwachungspraxis berücksichtigt werden, um das Management des IKT-Drittparteienrisikos zu gewährleisten.

Praxis-Tipp zur Unterauftragsvergabe

Verzichten Sie auf komplexe Weiterverlagerungsketten. Wählen Sie IKT-Drittanbieter, die bereit sind, Ihre IKT-Dienstleistungen möglichst ohne Unterauftragnehmer zu erbringen.

IKT-Unterauftragsvergabe im Einklang mit DORA: Was Finanzinstitute wissen müssen   

Die DORA-Anforderungen an die Vergabe von Unteraufträgen stellen Finanzinstitute und IKT-Drittanbieter vor komplexe Herausforderungen. Mit detaillierten Vorschriften zur Risikobewertung, Due Diligence und standardisierten Vertragsinhalten zielt DORA darauf ab, die Widerstandsfähigkeit und Sicherheit von IT-Dienstleistungen im Finanzsektor zu stärken. Insbesondere die Anforderungen an Verträge und Überwachungsprozesse bei der Auslagerung von IKT-Dienstleistungen sind umfassend und bedürfen einer präzisen Umsetzung.

Für Unternehmen des Finanzsektors ist die Zusammenarbeit mit IKT-Drittdienstleistern, die sich intensiv mit den DORA-Anforderungen auseinandersetzen und bereit sind, ihre IT-Dienstleistungen möglichst ohne weitere Unterauftragnehmer zu erbringen, von entscheidender Bedeutung. Dies reduziert die Komplexität der Outsourcing-Ketten und minimiert die damit verbundenen Risiken.