DORA hat auch die Risiken im Blick, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken – und zwar während des gesamten Lebenszyklus des Bezugs.

Eine wichtige Voraussetzung hierfür ist, dass schon vor Vertragsabschluss eine Ex-ante-Risikobewertung und Due-Diligence stattfindet. Dabei sollen die Finanzunternehmen zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: Die Verordnung legt zum Beispiel fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu leisten. Außerdem müssen die Finanzunternehmen bei kritischen oder wichtigen Funktionen eine Ausstiegsstrategie vorweisen können.

Ihre abgeschlossenen IKT-Vertragsbeziehungen müssen die Finanzunternehmen in ein Informationsregister eintragen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteienrisiken strukturiert zu managen. Zweitens dient es der Aufsicht als Grundlage, um die kritischen IKT-Drittdienstleister bestimmen zu können. Damit liefern die Informationen aus dem Register einen wesentlichen Input für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.

Die BaFin informiert mit einer Aufsichtsmitteilung zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement

Die Aufsichtsmitteilung ist eine nicht verpflichtende Hilfestellung. Sie soll die Unternehmen dabei unterstützen, die Anforderungen aus DORA an das reguläre IKT-Risikomanagement (Artt. 5 - 15 DORA) und das IKT-Drittparteienrisikomanagement (Artt. 28 - 30 DORA) umzusetzen. Dabei berücksichtigt sie auch die einschlägigen technischen Regulierungsstandards. Die Umsetzungshinweise enthalten auch eine Übersicht der Mindestvertragsinhalte, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen.

Die Umsetzungshinweise nehmen nur auf die BAIT und die VAIT Bezug. Die betrachteten Anforderungen sind jedoch häufig vergleichbar mit den aufsichtlichen Anforderungen an die Kapitalverwaltungsgesellschaften (KAIT) und an die Zahlungs- und E-Geld-Institute (ZAIT). Die Ergebnisse lassen sich also in der Regel übertragen.

Die Umsetzungshinweise sind auch in englischer Sprache verfügbar.

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.