Mit der Anwendung des Digital Operational Resilience Act (DORA) beginnt eine neue Ära der digitalen Betriebssicherheit in der Finanzindustrie Europas – aber auch im Umgang der Aufsicht mit Dienstleistern der Informations- und Kommunikationstechnologie (IKT). Ein wichtiger Bestandteil von DORA ist das neue europäische Rahmenwerk zur Überwachung kritischer Drittdienstleister. Im Fokus stehen IKT-Drittdienstleister, von deren Angebot europäische Unternehmen des Finanzmarktes abhängig sind. Das Ziel: die Stabilität und Integrität des Finanzsektors sichern.

Der Hintergrund: Im Finanzsektor gibt es einen klaren Trend zu einem steigenden Einsatz von spezialisierten IT-Dienstleistern bei Finanzunternehmen. Dieser Trend bestand schon vor Inkrafttreten von DORA und beschäftigte die Regulatorik als Auslagerung. Treiber für Auslagerungen sind unter anderem die zentrale Bündelung des IT-Betriebs sowie damit zusammenhängender Aufgaben – unter anderem des Informationsrisikomanagements und des Informationssicherheitsmanagements.

Angesichts der Vielzahl von Vorteilen, die Auslagerungen an IT-Dienstleister mit sich bringen, ist dies aus der Perspektive eines einzelnen Finanzunternehmens richtig und wichtig. Aus Aufsichtsperspektive muss aber klar sein, dass das auslagernde Unternehmen die Auslagerungen ordnungsgemäß steuert.

Konzentrationen in doppelter Hinsicht

Seit ein paar Jahren zeichnen sich auf dem Finanzmarkt auch Konzentrationen von Auslagerungen einer großen Zahl von Unternehmen des Finanzmarktes auf eine geringe Zahl hoch spezialisierter IT-Dienstleister ab, die überwiegend ihren Sitz konzentriert in einzelnen Drittstaaten haben. Es bestehen also zwei Ebenen der Konzentration, die das Thema Auslagerungen komplexer und herausfordernder machen – sowohl für die Finanzunternahmen als auch für die Aufsicht.

Ein Beispiel für solch ein Konzentrationsrisiko sind die großen Cloud-Hyperscaler mit Sitz in den Vereinigten Staaten, die vor allem wegen des Kostenvorteils gegenüber anderen IT-Dienstleistern, ihrer technischen Expertise und ihrer Innovationskraft einen großen Teil des deutschen und auch europäischen Finanzmarktes bedienen. Hinzu kommt: Auch andere führende Cloud Service-Provider nutzen die großen Cloud-Hyperscaler für ihre Dienstleistungen. Dadurch entstehen Konzentrationen auch innerhalb der Dienstleisterbranche.

Bei einem schwerwiegenden Vorfall bei einem großen Cloud-Hyperscaler kann dies gravierende Folgen für den Finanzmarkt haben. Zwar stellen große IT-Dienstleister schon aus Reputationsgründen hohe Anforderungen an sich selbst, sodass schwere Störungen der ausgelagerten Aktivitäten oder gar das plötzliche Wegbrechen eines solchen Dienstleisters ein äußerst seltenes Extremereignis sein dürfte. Dennoch werden diese doppelten Konzentrationsrisiken und der Umgang damit die Finanzbranche, die Dienstleister sowie Aufsicht und Regulatorik in den kommenden Jahren intensiv beschäftigen.

Konzentrationen sind kritisch, wenn sie mit einer Abhängigkeit einhergehen

Allerdings besteht nicht immer ein Konzentrationsrisiko, wenn eine Vielzahl von Unternehmen auf eine geringe Zahl von Dienstleistern auslagert. Dies hängt vielmehr davon ab, ob das Angebot des Dienstleisters derart speziell ist, dass die ihn nutzenden Finanzunternehmen im Hinblick auf ihre kritischen oder wichtigen Funktionen abhängig sind.

Davon ist einerseits auszugehen, wenn Finanzunternehmen die Dienstleistung faktisch nicht (mehr) selbst erbringen können oder dies wirtschaftlich nicht sinnvoll erscheint. Dies führt dann zu einem Abhängigkeitsverhältnis, wenn ein Wechsel zu einem anderen Dienstleister aufgrund einer geringen Zahl von alternativen Dienstleistern nicht möglich ist oder sich der theoretisch mögliche Dienstleisterwechsel als praktisch sehr schwierig erweist bzw. mit einem erheblichen Ressourcenaufwand verbunden ist.

Besteht diese Abhängigkeit hingegen nicht, ergibt sich allein aus der Vielzahl von Finanzunternehmen, die einen Dienstleister nutzen, kein Risiko für den Finanzmarkt: Bei einer langfristigen Störung oder einem Ausfall beim Dienstleister könnten die kritischen oder wichtigen Funktionen von dem Finanzunternehmen ganz oder teilweise zurückgeholt oder auf einen alternativen Dienstleister migriert werden.

Konzentrationsrisiken beispielsweise bei Software besonders hoch

Gerade bei IT-Auslagerungen zeichnen sich daher Konzentrationsrisiken und Abhängigkeiten, zum Beispiel bei der Nutzung von Software, ab. Sie ist häufig so individuell konfiguriert, dass alternative Dienstleister dieses Produkt nicht ohne weiteres anbieten können. Auch das auslagernde Unternehmen verfügt in der Regel nicht über solches Expertenwissen. Dieses Abhängigkeitsproblem nennt sich Vendor-Lock-In.

In der Praxis reagieren gerade systemrelevante Finanzunternehmen auf dieses Abhängigkeitsrisiko, indem sie die gleichen Dienstleistungen oder Produkte von mehreren verschiedenen Anbietern gleichzeitig beziehen (Multi-Vendor-Strategie) – sofern dies vonseiten der Anbieter realisierbar ist.

Diese Strategie schützt zwar vor dem Vendor-Lock-In, kann jedoch die Kosten aufgrund der höheren Komplexität des Sicherheitsmanagements deutlich erhöhen. Schließlich muss das Finanzunternehmen jeden zusätzlichen IT-Dienstleister überwachen, schulen und integrieren. Das ist nicht für jedes Finanzunternehmen eine Option und kann gerade für kleine Unternehmen die ursprünglich bezweckten Kostenersparnisse schnell neutralisieren oder gar übersteigen.

Überwachung ermöglicht Steuerung der Risiken

Die IT-Aufsicht der Finanzaufsicht BaFin beschäftigt sich bereits seit einigen Jahren mit Konzentrationsrisiken bei IT-Auslagerungen, insbesondere bei Cloud-Auslagerungen. Ihr Ziel: Das von systemrelevanten IT-Dienstleistern ausgehende Risiko erkennen und durch die Überwachung adäquat zu steuern. Rechtliche Grundlage für die Überwachung von IT-Dienstleistern ist auf nationaler Ebene seit dem 26. Januar 2021 das Wertpapierinstitutsgesetz (WpIG) bzw. seit dem 1. Januar 2022 das Gesetz zur Stärkung der Finanzmarktintegrität (FISG).

Die Voraussetzung hierfür: Transparenz über die Verflechtungen auf dem Finanzmarkt. Die Aufsicht erhält Auslagerungsanzeigen von Finanzunternehmen. Kristallisieren sich dabei Dienstleister als systemrelevant heraus, kann die Aufsicht sich für eine weitergehende Überwachung dieser Dienstleister entscheiden. Dazu kann sie von ihnen unmittelbar Unterlagen und Informationen anfordern, örtliche Prüfungen in den Geschäftsräumen des Dienstleisters durchführen sowie Maßnahmen zur Vermeidung und Beseitigung von Missständen anordnen.

Gegenüber Dienstleistern, die dabei nicht kooperativ sind, kann die BaFin ihre Anordnungen mittels eines Zwangsgeldes von bis zu 2,5 Millionen Euro durchsetzen. Auch Bußgelder kann sie in solchen Fällen gegenüber dem Dienstleister verhängen. Die BaFin wird 2025 die Maßnahmen zur Überwachung von Auslagerungsunternehmen intensivieren.

DORA-Überwachungsrahmenwerk: Neues Element der EU-Finanzmarktregulierung

Ein wichtiger Bestandteil von DORA ist das neue Überwachungsrahmenwerk für kritische IKT-Drittdienstleister. IKT-Drittdienstleister im Sinne der DORA sind Unternehmen, die IKT-Dienstleistungen für Finanzunternehmen bereitstellen. Es wird vom 17. Januar 2025 an angewendet. Bei dem Überwachungsrahmenwerk handelt es sich um ein völlig neues Element der EU-Finanzmarktregulierung. Es verfolgt das Ziel, Aufsichtskonzepte in Bezug auf das IKT-Drittparteienrisiko im Finanzsektor effizienter zu machen und sie einander anzugleichen. Außerdem soll es die digitale operationale Resilienz von Finanzunternehmen stärken, um die Stabilität des Finanzsystems der EU zu bewahren.

Für die Überwachung von kritischen IKT-Drittdienstleistern sind die drei europäischen Aufsichtsbehörden EBA, ESMA oder EIOPA federführend zuständig – je nachdem, für welche Branche der IKT-Drittdienstleister schwerpunktmäßig tätig ist (siehe Abbildung). Die BaFin unterstützt die drei Aufsichtsbehörden, indem sie sich an den Gemeinsamen Untersuchungsteams (Joint Examination Teams – JETs) für die kritischen IKT-Drittdienstleister beteiligt, die für den deutschen Finanzmarkt eine systemische Bedeutung haben.

Abbildung 1: Europäisches Überwachungsrahmenwerk unter DORA

(c) BaFin

Was sind kritische IKT-Drittdienstleister?

Im Fokus des Überwachungsrahmenwerks stehen IKT-Drittdienstleister, die von den europäischen Aufsichtsbehörden als kritisch und damit überwachungsbedürftig eingestuft wurden und somit als für den Finanzmarkt systemrelevant gelten. Die Einstufung erfolgt anhand qualitativer und quantitativer Kriterien.

Maßgeblich sind dabei die Einstufungskriterien des Artikel 31 Nr. 2 DORA und der Delegierten Verordnung zur Festlegung der Kriterien. Angesichts der Vielzahl von IKT-Dienstleistungen und der Vielfalt der Finanzinstitute wird ein zweistufiger Ansatz angewendet. Damit soll ermittelt werden, wie verbreitet die IKT-Drittdienstleister sind, und es sollen jene IKT-Drittdienstleister identifiziert werden, die aufgrund von Abhängigkeiten am kritischsten sind.

Zweistufiges Bewertungsverfahren

Anhand der quantitativen Unterkriterien auf Stufe 1 wird eine erste Auswahl der IKT-Drittdienstleister getroffen. Diese werden anschließend einer intensiveren Analyse anhand der qualitativen Unterkriterien von Stufe 2 unterzogen.

Die Bewertung sollte für jeden IKT-Drittdienstleister einzeln erfolgen. Sofern der IKT-Drittdienstleister Teil einer Gruppe ist, ist bei der Bewertung auf die von der Gruppe als Ganzes bereitgestellten IKT-Dienstleistungen abzustellen. Grundlage dieser Bewertungen sind nur jene IKT-Dienstleistungen des IKT-Drittdienstleisters, die der Unterstützung kritischer oder wichtiger Funktionen im Finanzunternehmen dienen. Sie sollten mit Blick auf ihre Art und ihren kritischen Charakter dahingehend bewertet werden, ob sie notwendig sind, damit die Finanzunternehmen ihre Tätigkeiten ohne Störungen ausüben können.

Für eine Einstufung unerheblich ist, ob der IKT-Drittdienstleister in einem direkten Vertragsverhältnis zum Finanzunternehmen steht oder durch Unterauftragsvergabe über einen anderen IKT-Drittdienstleister oder ein anderes Finanzunternehmen zum Einsatz kommt.

Stufe 1: Relevanz des IKT-Drittdienstleisters für den Finanzmarkt

In Stufe 1 steht zunächst die Verbreitung des IKT-Drittdienstleisters auf dem Finanzmarkt im Vordergrund (Artikel 31 Absatz 2 lit. a DORA): Nur bei einer relevanten Verbreitung dieses IKT-Drittdienstleisters sind bei einer umfassenden Betriebsstörung bei diesem Dienstleister systemische Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Dienstleistungserbringung von Finanzunternehmen zu erwarten.

Als kritisch kommen jene IKT-Drittdienstleister in Betracht, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen für mindestens 10 Prozent der Finanzunternehmen einer jeden Kategorie von Finanzunternehmen erbringen. Diese Kategorien hat der europäische Gesetzgeber in Artikel 2 Absatz 1 DORA aufgelistet. Es handelt sich dabei um die verschiedenen Arten von Finanzunternehmen, die in den Anwendungsbereich der DORA fallen, wie Kredit- oder Zahlungsinstitute, Wertpapierfirmen, zentrale Gegenparteien, oder Versicherungs- und Rückversicherungsunternehmen.

Zusätzlich muss es sich bei den Kunden des IKT-Drittdienstleister um Finanzunternehmen aus jeder Kategorie handeln, deren Gesamtwert der Vermögenswerte in Relation zum Gesamtwert der Vermögenswerte aller EU-Finanzunternehmen innerhalb der einzelnen Kategorien mindestens 10 Prozent beträgt.

Systemische Bedeutung der Kunden auch relevant

Daneben soll auf Stufe 1 auch der systemische Charakter oder die Bedeutung des Finanzunternehmens berücksichtigt werden. Die Voraussetzung hierfür: eine qualitative Bewertung der systemischen Bedeutung und der Verflechtungen der IKT-Drittdienstleister sowie der Bedeutung der von diesen Drittdienstleistern erbrachten Dienstleistungen für die Finanzdienstleistungen der Finanzunternehmen.

Dabei soll auch die Stabilität und Kontinuität der Dienstleistungen berücksichtigt werden, um die systemischen Auswirkungen des IKT-Drittdienstleisters auf die Tätigkeiten der Finanzunternehmen zu ermitteln. Hierfür ist von Bedeutung, um welche Art von Finanzunternehmen es sich handelt und wie viele dieser Finanzunternehmen mit systemischem Charakter den IKT-Drittdienstleister nutzen. Dazu soll die Zahl global systemrelevanter Kreditinstitute (G-SRI) oder andere systemrelevante Kreditinstitute (A-SRI) und auch die Interdependenz zwischen diesen und anderen Finanzunternehmen untersucht werden.

Der europäische Gesetzgeber sieht dieses Unterkriterium der Stufe 1 als erfüllt an, wenn der IKT-Drittdienstleister mindestens zu seinen Kunden zählt:

• ein global systemrelevantes Kreditinstitut (G-SRI)
• drei systemrelevante Kreditinstitute (A-SRI)
• ein A-SRI mit einem A-SRI-Bewertungsergebnis von über 3.000 gemäß Artikel 131 Absatz 3 der Richtlinie 2013/36/EU
• ein von den zuständigen Behörden als systemrelevant eingestuftes Finanzunternehmen aus den Kategorien Zentralverwahrer, zentrale Gegenparteien, Handelsplätze oder Transaktionsregister
• drei von den zuständigen Behörden als systemrelevant eingestufte Finanzunternehmen aus den Kategorien des Artikel 2 Absatz 1 lit. b bis f und lit. k bis t DORA wie Versicherungsunternehmen oder Verwaltungsgesellschaften

Weiteres Kriterium: Ist der IKT-Drittdienstleister ersetzbar?

Darüber hinaus ist auf der ersten Stufe auch die Bewertung der Substituierbarkeit des IKT-Drittdienstleisters gemäß Artikel 31 Absatz 2 lit. d DORA von Bedeutung. Denn allein das quantitative Kriterium entscheidet nicht über die Überwachungsbedürftigkeit eines IKT-Drittdienstleisters.

Selbst wenn es einen IKT-Drittdienstleister gäbe, der jedes europäische Finanzunternehmen mit seinen IKT-Dienstleistungen bei der Erbringung kritischer oder wichtiger Funktionen unterstützen würde, würde ihn das nicht zu einem kritischen IKT-Drittdienstleister qualifizieren, –wenn seine IKT-Dienstleistung jederzeit ohne größere Schwierigkeiten von einer Vielzahl anderer IKT-Dienstleister übernommen werden könnte.

Es kommt vielmehr darauf an, ob die Finanzunternehmen von diesem IKT-Drittdienstleister abhängig sind. Entscheidend ist dabei zunächst, ob ein Mangel besteht, der unter anderem darauf zurückzuführen ist, dass nur wenige IKT-Drittdienstleister auf einem bestimmten Markt tätig sind. Ein anderes Kriterium ist die technische Komplexität oder Differenziertheit der angebotenen IKT-Dienstleistung, insbesondere vor dem Hintergrund proprietärer Technologien, an denen die IKT-Drittdienstleister die exklusiven Rechte haben.

Stufe 2: Abhängigkeit des Finanzmarkts vom IKT-Drittdienstleister

Auf Stufe 2 führen die Europäischen Aufsichtsbehörden für jene IKT-Drittdienstleister die Einstufung fort, die sämtliche Unterkriterien der Stufe 1 erfüllen. Erreicht der IKT-Drittdienstleister auf Stufe 1 die 10 Prozent-Schwellen hinsichtlich seiner Verbreitung auf dem Finanzmarkt im Sinne des Artikels 31 Absatz 2 lit. a DORA, ist auf Stufe 2 zu ermitteln, wie stark es sich auf die Tätigkeiten und den Geschäftsbetrieb der auf Stufe 1 ermittelten Finanzunternehmen und die Zahl dieser Finanzunternehmen auswirken würde, wenn der IKT-Drittdienstleister seine IKT-Dienstleistungen einstellt.

Daneben ist auch die Abhängigkeit des IKT-Drittdienstleisters von ein und denselben Unterauftragnehmern zu bewerten, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von Finanzunternehmen erbringen.

Sofern der IKT-Drittdienstleister eine große Zahl systemrelevanter Finanzunternehmen zu seinen Kunden zählt, wird die Bewertung auf Stufe 2 fortgesetzt – und zwar mit der Prüfung der Interdependenz der systemrelevanten Finanzunternehmen, die IKT-Dienstleistungen desselben IKT-Drittdienstleisters in Anspruch nehmen. Dies gilt insbesondere dann, wenn diese Kunden G-SRI oder A-SRI Finanzinfrastrukturdienstleistungen für andere Finanzunternehmen erbringen.

Tätigkeiten von kritischer Bedeutung?

Auf der zweiten Stufe ist außerdem zu bewerten, ob die vom IKT-Drittdienstleister erbrachten IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von Finanzunternehmen für die Tätigkeiten der Finanzunternehmen von kritischer Bedeutung sind. Fällt die Prüfung positiv aus, gilt dieses Untermerkmal als erfüllt.

Wurde auf Stufe 1 eine Abhängigkeit der Finanzunternehmen von diesem IKT-Drittdienstleister festgestellt, ist auf Stufe 2 zu prüfen, ob diese Abhängigkeit so groß ist, dass sie eine Überwachung des IKT-Drittdienstleisters rechtfertigt. Von einem relevanten Mangel an echten, auch teilweisen alternativen Dienstleistern ist auszugehen, wenn für mindestens 10 Prozent der Gesamtzahl der Finanzunternehmen in jeder einzelnen Kategorie von Finanzunternehmen im Sinne des Artikels 2 Absatz 1 lit. a bis t DORA

• kein alternativer IKT-Drittdienstleister mit der erforderlichen Kapazität für die Erbringung derselben IKT-Dienstleistungen zur Verfügung steht, wie sie vom betreffenden IKT-Drittdienstleister erbracht werden, oder
• die Migration zu einem solchen anderen IKT-Drittdienstleister für das Finanzunternehmen höchst schwierig ist.

Vier Ausnahmen von der Einstufung kritischer IKT-Drittdienstleister

Der europäische Gesetzgeber regelt in Artikel 31 Absatz 8 DORA auch, welche IKT-Drittdienstleister gar nicht erst in den Bewertungsprozess einbezogen werden. Es handelt sich dabei erstens um Finanzunternehmen, die selbst der Finanzaufsicht unterliegen. Sie sollen nicht einem weiteren Überwachungsregime unterworfen werden, nur, weil sie zusätzlich IKT-Dienstleistungen für andere Finanzunternehmen bereitstellen. Zweitens sind IKT-Drittdienstleister ausgenommen, die dem Überwachungsrahmen zur Unterstützung des Europäischen Systems der Zentralbanken unterliegen.

Die dritte Ausnahme ist vor allem für den deutschen Finanzmarkt wichtig. Sie betrifft zum Beispiel konzern- und gruppeninterne Dienstleister, etwa von Versicherungskonzernen. Diese Dienstleister eignen sich schon deshalb nicht für eine europäische Überwachung, weil ihr Ausfall sich nur auf diese Gruppe oder den Konzern auswirkt. Sie können daher national von der Aufsicht überwacht werden, die auch das Finanzunternehmen beaufsichtigt.
Viertens umfasst diese Ausnahme auch Unternehmen, die IKT-Dienstleistungen für Finanzunternehmen bereitstellen, die „demselben institutsbezogenen Sicherungssystem angehören“ (Artikel 3 Nr. 20 DORA). So sind auch die zentralen IT-Verbunddienstleister innerhalb des Sparkassen- und Genossenschaftssektors von der europäischen Überwachung ausgenommen und werden weiterhin national überwacht. Auch IKT-Drittdienstleister, die IKT-Dienstleistungen ausschließlich national für rein national tätige Finanzunternehmen bereitstellen, stehen nicht im Fokus der europäischen Aufsichtsbehörden: Sie sind nicht relevant für den europäischen Finanzmarkt und bleiben weiter im Fokus der nationalen Aufsicht.

Informationsregister spätestens am 11. April 2025 einreichen

Um die Aufsichtsbehörden für Abhängigkeiten von IKT-Drittdienstleistern zu sensibilisieren und die Einstufung kritischer IKT-Drittdienstleister vornehmen zu können, sind alle Finanzunternehmen verpflichtet, ein Informationsregister zu führen (Artikel 28 Absatz 3 Unterabsatz 1 DORA). Es enthält alle vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden, und muss der zuständigen Behörde auf Verlangen zur Verfügung gestellt werden. Nach aktuellem Stand wird die BaFin Finanzunternehmen dazu auffordern, die Informationsregister spätestens bis zum 11. April 2025 erstmals bei der BaFin einzureichen.

Diese Register der Finanzunternehmen sollen die national zuständigen Behörden bis zum 30. April 2025 an die Europäischen Aufsichtsbehörden übermitteln, damit diese die überwachungsbedürftigen IKT-Drittdienstleister einstufen können. Dies regelt die Leitlinie 5.1 der Gemeinsamen Leitlinien der Europäischen Aufsichtsbehörden über die Zusammenarbeit bei der Überwachung und den Informationsaustausch für die Zwecke der Einstufung der IKT-Drittdienstleister.

Eine Liste kritischer IKT-Drittdienstleister wollen die Europäischen Aufsichtsbehörden in der zweiten Jahreshälfte 2025 veröffentlichen. Die dargestellten hohen Anforderungen lassen erwarten, dass nur eine geringe Zahl europaweit tätiger IKT-Drittdienstleister überwacht werden wird. IKT-Drittdienstleistern, die die Kriterien nicht erfüllen, haben aber die Möglichkeit, freiwillig einen Antrag auf Überwachung zu stellen – eine Option, die aus Reputationsgründen genutzt werden könnte.