Überwachungsrahmen für kritische IKT-Drittdienstleister
Die BaFin informiert über Kapitel V, Abschnitt II, Artikel 31 bis 44 DORA
Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsrahmenwerks für kritische IKT-Drittdienstleister, die auf dem Finanzmarkt tätig sind. Dabei handelt es sich um ein völlig neues Element der EU-Finanzmarktregulierung. Es verfolgt das Ziel, die Konvergenz und Effizienz von Aufsichtskonzepten in Bezug auf das IKT-Drittparteienrisiko im Finanzsektor zu fördern sowie die digitale operationale Resilienz von Finanzunternehmen zu stärken, um so die Stabilität des Finanzsystems der Union zu bewahren.
Im Fokus des Überwachungsrahmenwerks stehen jene IKT-Drittdienstleister, die auf Grundlage eines Einstufungsprozesses von den europäischen Aufsichtsbehörden als kritische und damit überwachungsbedürftige IKT-Drittdienstleister benannt wurden. Welche Kriterien dabei ausschlaggebend sind, regeln DORA in Art. 31 Nr. 2 sowie künftig eine Delegierte Verordnung der Europäischen Kommission. Ausschlaggebend ist dabei zum Beispiel die Frage, welche systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen zu erwarten wären, wenn der betreffende IKT-Drittdienstleister einer umfassenden Betriebsstörung unterliegt. Auch sollte die Abhängigkeit der Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf kritische oder wichtige Funktionen von Finanzunternehmen berücksichtigt werden.
Die zentrale Rolle im Überwachungsrahmenwerk spielt die federführende Überwachungsbehörde, wobei diese Funktion für jeden kritischen IKT-Drittdienstleister eine der drei europäischen Aufsichtsbehörden EBA, ESMA oder EIOPA übernimmt – je nachdem, für welche Branche der IKT-Drittdienstleister schwerpunktmäßig tätig ist. Die federführende Überwachungsbehörde hat gegenüber dem kritischen IKT-Drittdienstleister zwangsgeldbewährte Informations-, Kontroll- und Prüfrechte. Er überwacht beispielsweise, ob der Dienstleister die Anforderungen an das IKT-Risikomanagement einhält, wie sie auch für die Finanzunternehmen selbst gelten. Sollte die Aufsicht dabei Missstände feststellen, kann sie Empfehlungen aussprechen, die kritische IKT-Drittdienstleister umsetzen sollten. Andernfalls können die nationalen Aufsichtsbehörden die Finanzunternehmen dazu auffordern, die Nutzung des Dienstleisters zu unterbrechen oder gar ganz zu kündigen. Außerdem können bestimmte Maßnahmen auch auf den Internetseiten der Aufsichtsbehörden veröffentlicht werden.
Unterstützt wird die federführende Überwachungsbehörde durch ein „Gemeinsames Untersuchungsteam“. Diesen Teams gehören Expertinnen und Experten der zuständigen nationalen sowie der europäischen Aufsichtsbehörden an. Die Steuerungs- und Koordinierungsfunktion übernimmt im Überwachungsrahmenwerk das „Überwachungsforum“, ein Unterkomitee des gemeinsamen Ausschusses der drei Europäischen Aufsichtsbehörden, dem auch Vertreterinnen und Vertreter nationaler Aufsichtsbehörden angehören. Das Überwachungsforum unterstützt und berät die Arbeiten des gemeinsamen Ausschusses, beispielsweise bei der Identifikation der kritischen IKT-Drittdienstleister und bei der Ernennung der jeweiligen federführenden Überwachungsbehörde.
Finanziert wird das Überwachungsrahmenwerk durch Überwachungsgebühren, welche die kritischen IKT Drittdienstleister entrichten. Sollte ein kritischer IKT-Dienstleister freiwillig einen Antrag auf Überwachung stellen, muss er ebenfalls die Kosten dafür tragen.
Was müssen Sie wissen?
Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.
Resultate 11 bis 12 von insgesamt 12