Stehen IKT-Drittdienstleister durch DORA künftig unter der Finanzdienstleistungsaufsicht?
Kritische IKT-Drittdienstleister unterstehen der Überwachung europäischer Aufsichtsbehörden, die klar von einer Aufsicht über Finanzunternehmen zu unterscheiden ist. Dies zeigt sich beispielsweise daran, dass kritische IKT-Drittdienstleister als Nicht-Finanzunternehmen keine Zulassung bei Finanzaufsichtsbehörden beantragen müssen und diese ihnen im Umkehrschluss auch nicht entzogen werden kann. Auch beschränkt sich der Überwachungsbereich der Aufsichtsbehörden nicht auf das gesamte Unternehmen, sondern auf den in Artikel 33 Absatz 3 DORA festgelegten Bewertungsrahmen. Er hat das Management der IKT-Risiken, die vom kritischen IKT-Drittdienstleister für Finanzunternehmen ausgehen können, zum Schwerpunkt. Ebenso sind die Befugnisse der Aufsichtsbehörden beschränkt (Artikel 35 DORA). Die Aufsichtsbehörden haben demnach zum Beispiel keine Befugnis zur Abbestellung von Geschäftsleiten oder den Einsatz von Sonderbeauftragten.
