Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsrahmenwerks für kritische IKT-Drittdienstleister, die auf dem Finanzmarkt tätig sind. Dabei handelt es sich um ein völlig neues Element der EU-Finanzmarktregulierung. Es verfolgt das Ziel, die Konvergenz und Effizienz von Aufsichtskonzepten in Bezug auf das IKT-Drittparteienrisiko im Finanzsektor zu fördern sowie die digitale operationale Resilienz von Finanzunternehmen zu stärken, um so die Stabilität des Finanzsystems der Union zu bewahren.

Im Fokus des Überwachungsrahmenwerks stehen jene IKT-Drittdienstleister, die auf Grundlage eines Einstufungsprozesses von den europäischen Aufsichtsbehörden als kritische und damit überwachungsbedürftige IKT-Drittdienstleister benannt wurden. Welche Kriterien dabei ausschlaggebend sind, regeln DORA in Art. 31 Nr. 2 sowie künftig eine Delegierte Verordnung der Europäischen Kommission. Ausschlaggebend ist dabei zum Beispiel die Frage, welche systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen zu erwarten wären, wenn der betreffende IKT-Drittdienstleister einer umfassenden Betriebsstörung unterliegt. Auch sollte die Abhängigkeit der Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf kritische oder wichtige Funktionen von Finanzunternehmen berücksichtigt werden.

Die zentrale Rolle im Überwachungsrahmenwerk spielt die federführende Überwachungsbehörde, wobei diese Funktion für jeden kritischen IKT-Drittdienstleister eine der drei europäischen Aufsichtsbehörden EBA, ESMA oder EIOPA übernimmt – je nachdem, für welche Branche der IKT-Drittdienstleister schwerpunktmäßig tätig ist. Die federführende Überwachungsbehörde hat gegenüber dem kritischen IKT-Drittdienstleister zwangsgeldbewährte Informations-, Kontroll- und Prüfrechte. Er überwacht beispielsweise, ob der Dienstleister die Anforderungen an das IKT-Risikomanagement einhält, wie sie auch für die Finanzunternehmen selbst gelten. Sollte die Aufsicht dabei Missstände feststellen, kann sie Empfehlungen aussprechen, die kritische IKT-Drittdienstleister umsetzen sollten. Andernfalls können die nationalen Aufsichtsbehörden die Finanzunternehmen dazu auffordern, die Nutzung des Dienstleisters zu unterbrechen oder gar ganz zu kündigen. Außerdem können bestimmte Maßnahmen auch auf den Internetseiten der Aufsichtsbehörden veröffentlicht werden.

Unterstützt wird die federführende Überwachungsbehörde durch ein „Gemeinsames Untersuchungsteam“. Diesen Teams gehören Expertinnen und Experten der zuständigen nationalen sowie der europäischen Aufsichtsbehörden an. Die Steuerungs- und Koordinierungsfunktion übernimmt im Überwachungsrahmenwerk das „Überwachungsforum“, ein Unterkomitee des gemeinsamen Ausschusses der drei Europäischen Aufsichtsbehörden, dem auch Vertreterinnen und Vertreter nationaler Aufsichtsbehörden angehören. Das Überwachungsforum unterstützt und berät die Arbeiten des gemeinsamen Ausschusses, beispielsweise bei der Identifikation der kritischen IKT-Drittdienstleister und bei der Ernennung der jeweiligen federführenden Überwachungsbehörde.

Finanziert wird das Überwachungsrahmenwerk durch Überwachungsgebühren, welche die kritischen IKT Drittdienstleister entrichten. Sollte ein kritischer IKT-Dienstleister freiwillig einen Antrag auf Überwachung stellen, muss er ebenfalls die Kosten dafür tragen.

Die BaFin erklärt die von Europäischen Aufsichtsbehörden (ESA) am 6. November 2024 veröffentlichten den Gemeinsamen Leitlinien der über die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den Europäischen Aufsichtsbehörden (ESA) und den zuständigen Behörden gemäß der Verordnung (EU) 2022/2554 (DORA – Digital Operational Resilience Act) zum 17. Januar 2025 für unmittelbar anwendbar (abrufbar hier: JC/GL/2024/36). Mit diesen Leitlinien kommen die ESA ihrer Verpflichtung nach Artikel 32 Absatz 7 der Verordnung DORA nach, Leitlinien für die Zusammenarbeit zwischen den ESA und den zuständigen Behörden im Rahmen der Überwachung kritischer IKT-Drittdienstleister zu erarbeiten. Sie regeln zum einen die detaillierten Verfahren und Bedingungen für die Zuweisung und Ausführung von Aufgaben zwischen zuständigen Behörden und den ESA. Zum anderen regeln sie die Einzelheiten zum Austausch von Informationen, welche die zuständigen Behörden benötigen, um die Weiterbehandlung der in Artikel 35 Absatz 1 lit. d DORA genannten Empfehlungen zu gewährleisten, die an kritische IKT-Drittdienstleister gerichtet werden.

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.