Drittparteien-Risikomanagement und DORA: Top-Punkte für Banken – das sagt die BaFin

Schwerpunkt: Risikomanagement

DORA, die ab Januar 2025 anzuwendende europäische Verordnung über die digitale operationale Resilienz im Finanzsektor, verändert mit der Einführung des IKT-Drittparteien-Risikomanagements bei Banken die Nutzung von IKT-Dienstleistungen, die von Dritten erbracht werden.

von Melanie Land und Dr. Sven Kleinknecht-Dennart, Referat „Grundsatz IT-Aufsicht und Aufsichtsunterstützung“ (GIT 3) BaFin

Bisher wurde bei IT-Auslagerungen der Fokus auf Sachverhalte gelegt, die einen direkten Bezug zum erlaubnispflichtigen Geschäft haben. Dies ändert sich mit der Einführung des IKT- Drittparteien-Risikomanagements: Die Perspektive wird nun auf alle IKT-Dienstleistungen erweitert, die von beaufsichtigten Banken bezogen werden. Diese Entwicklung ist eingebettet in eine voranschreitende Weiterentwicklung von internationalen und europäischen Vorgaben zu operationellen Risiken.

So hat das Financial Stability Board im Dezember 2023 ein sogenannter Toolkit zur Ver­bes­se­rung des Dritt­par­tei­en­ri­si­ko­ma­nage­ments ver­öf­fent­licht, der Ba­se­ler Aus­schuss stellt bis zum 9. Ok­to­ber 2024 neue Prin­zi­pi­en für das Dritt­par­tei­en-Ri­si­ko­ma­nage­ment zur Konsultation. Alle diese Ansätze haben gemeinsam, dass sie eine breite Definition der abzudeckenden Dienstleistungen vorsehen.

Das be­kann­te Kon­zept der Aus­la­ge­run­gen be­steht da­bei aber wei­ter, das IKT-Dritt­par­tei­en­ri­si­ko­ma­nage­ment nach DO­RA er­gänzt die sek­to­ra­len Re­ge­lun­gen zu Aus­la­ge­run­gen, für Ban­ken ins­be­son­de­re § 25b KWG und die Ma­Risk (AT 9), die wei­ter­hin ein­ge­hal­ten wer­den müs­sen (sie­he da­zu auch Er­wä­gungs­grund 29 DORA).

Viele Sachverhalte werden sowohl unter die Auslagerungsregulatorik als auch unter DORA fallen – dafür gelten Anforderungen parallel und komplementär.”

Abweichungen in den spezifischen Anforderungen, die zu einem Konflikt führen könnten, bestehen nicht. Vor dem Hintergrund der Weiterentwicklung der Regulatorik ist aber mit einer Angleichung hin zu einem umfassenden Drittparteienrisikomanagement zu rechnen, die mit einer Harmonisierung der Vorgaben einhergehen wird.

Vertragsinhalte des Drittparteien-Risikomanagement

Von besonderer Bedeutung für Banken ist die deutliche Ausweitung von verpflichtend zu vereinbarenden Vertragsinhalten nach DORA. Diese betrifft den Inhalt der Verträge und auch die dort abzudeckenden Sachverhalte. Beschränkten sich die Vertragsanforderungen bei Banken bisher auf wesentliche Auslagerungen, so sind bei DORA alle Verträge zu IKT-Dienstleistungen, die von IKT-Drittdienstleistern bezogen werden, betroffen. Vorgaben zu den Vertragsinhalten und zur Form finden sich sowohl in DORA selbst als auch in Delegierten Verordnungen: Dem Technischen Regulierungsstandard (RTS) zur Leitlinie zur Nutzung von IKT-Dienstleistungen (RTS-Leitlinie) sowie dem bisher nur als Entwurf der Europäischen Aufsichtsbehörden vorliegenden RTS zur Unterauftragsvergabe.

Die neuen verbindlichen Vertragsinhalte dürften in fast allen Fällen eine Nach- oder Neuverhandlung der betroffenen Verträge zur Folge haben. Banken müssen bereits zum 17. Januar 2025 ihre Verträge angepasst haben, DORA sieht keine Übergangsfristen vor.

Da bei Banken häufig mit einer Vielzahl von betroffenen Verträgen zu rechnen ist, sind Verzögerungen in der Umsetzung denkbar.”

Insbesondere in solchen Fällen sollten Banken einen Implementierungszeitplan für die Vertragsanpassung erstellen und die Umsetzung risikoorientiert priorisieren, wie in Art. 3 Abs. 1 RTS-Leitlinie dargestellt. Dies entbindet aber nicht von der Pflicht, weiterhin Anstrengungen zu unternehmen, die Mindestinhalte unverzüglich umzusetzen.

Unterauftragsvergabe

DORA regelt das Thema der Unterauftragsvergaben grundsätzlich neu. Insbesondere im Entwurf des RTS zur Unterauftragsvergabe wird die Regulierungsbreite und –tiefe deutlich ausgeweitet. Neben neuen Vorgaben zu Risikobeurteilungen und Vertragsinhalten geht es dabei insbesondere um die Überwachung der Unterauftragnehmerkette durch die Bank und dem Vorgehen bei wesentlichen Änderungen dieser.

Banken bekommen mit den Änderungen aber auch Möglichkeiten, sich bei operativen Aufgaben zu entlasten. So sollen IKT-Drittdienstleister explizit Verantwortung für die Leistung ihrer Unterauftragnehmer übernehmen und können die Durchführung von Risikobewertungen sowie die primäre, umfassende Überwachung übernehmen.

Im Rahmen ihrer Letztverantwortung übernehmen Banken dann, vergleichbar mit sogenannten „Second-Level-Kontrollen“, fokussierte Überwachungshandlungen, die sich auf ausgewählte Sachverhalte konzentrieren. Auch beschränkt sich diese Überwachung auf Unterauftragnehmer, die mit ihrer Dienstleistung kritische oder wichtige Funktionen wesentlich unterstützen. Im RTS zur Unterauftragsvergabe wird diese Wesentlichkeit mit „effectively underpin“ ausgedrückt.

Ex-ante-Risikobewertung und Sorgfaltspflichten

Für sämtliche IKT-Dienstleistungen und das Drittparteien-Risikomanagement sind vor Vertragsabschluss im Rahmen einer Risikobewertung alle relevanten Risiken zu ermitteln und zu bewerten. Bei der Dienstleisterauswahl ist den gebotenen Sorgfaltsplichten (Due Diligence) nachzukommen, um die Eignung sicherzustellen.

Insbesondere für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, schreibt der RTS-Leitlinie einen umfangreichen Katalog an Risiken vor, die zu berücksichtigen sind. Diese reichen von klassischen operationellen Risiken über Standortrisiken bis hin zu IKT-Konzentrationsrisiken. Insbesondere Letztere werden in DORA hervorgehoben. Bei ihrer Bewertung wird explizit keine Analyse der Konzentrationen auf dem gesamten Finanzmarkt erwartet, sehr wohl aber die Sicht auf die eigene Unternehmensebene. Dazu müssen Banken im Blick behalten, ob sie IKT-Drittdienstleister nutzen, die nicht ohne weiteres ersetzbar sind, und ob sie mehrfach vertragliche Vereinbarungen mit demselben IKT-Dienstleister abgeschlossen haben. In diesen Fällen sollen alternative Lösungen unter Berücksichtigung von Kosten und Nutzen abgewogen werden mit dem Ziel, die Konzentrationsrisiken zu reduzieren.

Fazit

Während sich die bisherige Regulatorik hauptsächlich mit der Prävention und Absicherung der IT beschäftigt, legt DORA besonderes Augenmerk auf den Umgang mit IKT‑bezogenen Vorfällen und die Qualität der Leistungserbringung als wichtige Einflussfaktoren digitaler operationaler Resilienz. Es ist daher nur folgerichtig, dass das Thema Ausstieg deutlich an Bedeutung zugelegt hat.

Banken sollen, wenn es durch eine Schlechtleistung oder andere Risiken notwendig wird, ohne Unterbrechung ihrer Geschäftstätigkeit oder Beeinträchtigung der Einhaltung regulatorischer Anforderungen aus vertraglichen Vereinbarungen ausscheiden können.”

Die dafür nötigen Ausstiegsstrategien und –pläne müssen aber nicht beliebige oder gar alle denkbaren Fallkonstellationen abdecken. Vielmehr sollen plausible Szenarien und angemessene Annahmen Grundlage der Planung sein.

Die BaFin hat am 8. Juli 2024 auf ihrer Website eine Aufsichtsmitteilung veröffentlicht, die weitergehende Hinweise zu möglichen Auswirkungen der DORA enthält.Melanie Land und Dr. Sven Kleinknecht-Dennart , BaFin/dk