Im Finanzsektor setzen Unternehmen immer mehr auf IT-Dienstleister. Das bringt einige Vorteile. Zum Beispiel, dass Finanzunternehmen von der Expertise dieser spezialisierten Dienstleister profitieren und sich stärker auf ihr Kerngeschäft konzentrieren können. Hinzu kommt: Sie können Kosten sparen. Voraussetzung ist, dass die Unternehmen die Einhaltung der Regulatorik nicht aus dem Blick verlieren. Darauf achtet die Finanzaufsicht BaFin. Ein „Aus den Augen, aus dem Sinn“ lässt sie nicht zu. Damit ist es aber nicht mehr getan. Es entsteht zunehmend ein doppeltes Konzentrationsrisiko, das die Situation komplexer und herausfordernder macht – für Aufsicht und Finanzunternehmen.

Doppelte Konzentration

Gerade IT-Dienstleistungen konzentrieren sich mehr und mehr auf nur wenige Anbieter. Ein Beispiel sind die führenden Cloud-Hyperscaler mit Sitz in den USA. Sie bedienen sektorübergreifend einen großen Teil des deutschen und europäischen Finanzmarkts. Ein Ausfall bei einem solchen Dienstleister könnte daher schwerwiegende Folgen haben.
Hinzu kommt, dass ausgerechnet diese wenigen Dienstleister meist ihren Sitz in Drittstaaten wie eben den USA haben. Dadurch kommt es zusätzlich zu einer geographischen Konzentration. Das kann vor allem mit Blick auf geopolitische Krisen riskant werden, zum Beispiel vor dem Hintergrund von Sanktionen oder im Zuge handelspolitischer Auseinandersetzungen.

DORA nimmt Konzentrationsrisiken in den Blick

Die BaFin beobachtet IT-Dienstleister schon seit einigen Jahren genauer. Mit dem Digital Operational Resilience Act (DORA) wird die Überwachung vom 17. Januar 2025 im Europäischen Wirtschaftsraum auf europäischer Ebene intensiviert. Ziel ist es, die digitale operationelle Resilienz von Finanzunternehmen zu stärken und so die Stabilität des europäischen Finanzsystems zu bewahren.

Nicht jede Konzentration ist ein Risiko. DORA richtet den Fokus auf die Dienstleister aus der Informations- und Kommunikationstechnologie (IKT-Drittdienstleister), von denen viele Finanzunternehmen Dienstleistungen beziehen. Wenn sich aus dieser Konzentration auf einzelne Anbieter ein systemisches Risiko für den Finanzmarkt ergeben kann, schaut die Aufsicht genauer hin.

Von besonderem aufsichtlichen Interesse sind Konzentrationen bei Anbietern, deren IT-Dienstleistungen andere Anbieter gar nicht oder nur schwer erbringen können. Diese Dienstleister gelten dann als kritische IKT-Drittdienstleister im Sinne von DORA, weil ein bedeutender Teil des europäischen Finanzsektors von ihnen abhängig ist. Kritische IKT-Drittdienstleister werden künftig im neuen DORA-Überwachungsrahmenwerk besonders überwacht (siehe Abbildung 1). Dieses Rahmenwerk ist ein neuer Ansatz der europäischen Finanzaufsicht im Umgang mit einzelnen Dienstleistern und soll die Stabilität des Finanzsystems bewahren.

Abbildung 1: Europäisches Überwachungsrahmenwerk unter DORA

(c) BaFin

Zweistufiger Bewertungsprozess: Wann ist ein Dienstleister kritisch?

Ein zweistufiger Bewertungsprozess entscheidet darüber, ob ein IKT-Drittdienstleister aufgrund seiner Systemrelevanz kritisch und damit überwachungsbedürftig ist. Anhand quantitativer und qualitativer Kriterien wird ermittelt, welche Relevanz der IKT-Drittdienstleister auf dem europäischen Finanzmarkt hat. Außerdem werden jene IKT-Drittdienstleister identifiziert, von deren Angebot ein bedeutender Teil des Finanzmarktes abhängig ist.

Einige IKT-Drittdienstleister werden allerdings nicht eingestuft. Für sie gelten spezielle Ausnahmen. Es handelt sich dabei zum Beispiel um Finanzunternehmen, die selbst der Finanzaufsicht unterliegen, und um konzern-, gruppeninterne und verbundinterne Dienstleister, etwa von Versicherungskonzernen und Kreditinstituten. Diese Dienstleister eignen sich schon deshalb nicht für eine europäische Überwachung, weil ihr Ausfall sich nur auf diese Gruppe oder den Konzern bzw. den Verbund auswirkt. Sie können daher weiterhin national von der Aufsicht überwacht werden, die auch das Finanzunternehmen beaufsichtigt.

Informationsregister spätestens am 11. April 2025 einreichen

Damit die Aufsichtsbehörden die Abhängigkeiten von IKT-Drittdienstleistern identifizieren können, benötigen sie von den Finanzunternehmen einen Überblick über deren vertragliche Vereinbarungen mit IT-Dienstleistern. Diesen Überblick bietet künftig das Informationsregister, das Finanzunternehmen führen und der zuständigen Behörde auf Verlangen zur Verfügung stellen müssen.

Finanzunternehmen sollen diese Register bis spätestens zum 11. April 2025 bei der BaFin einreichen. Eine Liste kritischer IT-Dienstleister wollen die europäischen Aufsichtsbehörden in der zweiten Jahreshälfte 2025 veröffentlichen.

Den ausführlichen Beitrag zum Überwachungsrahmenwerk finden Sie unter diesem Link.