Aktuelles
Published:
Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 in Kraft und zielt darauf ab, die digitale Widerstandsfähigkeit im EU-Finanzsektor zu stärken. DORA richtet verstärktes Augenmerk auf potenzielle Risiken, die mit einer Konzentration bei großen IKT‑Dienstleistern verbunden sein können: Die Nutzung von Cloud-Services und externen Technologieanbietern birgt zunehmend Konzentrationsrisiken. Störungen bei einem von vielen Finanzinstituten genutzten Provider könnten systemweite Auswirkungen haben.
Am 18. November 2025 haben die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA — die European Supervisory Authorities (ESAs) — erstmals eine Liste kritischer IKT-Drittdienstleister im Finanzsektor veröffentlicht. Diese Benennung von 19 Technologieunternehmen – darunter globale Cloud-Plattformen wie Amazon Web Services, Google Cloud und Microsoft – markiert einen entscheidenden Schritt bei der Umsetzung des neuen DORA-Aufsichtsrahmens.
Erste Liste kritischer IKT-Drittdienstleister veröffentlicht
Nach einem umfassenden, mehrstufigen Auswahlverfahren haben die europäischen Aufsichtsbehörden 19 IKT-Drittdienstleister als kritisch eingestuft und veröffentlicht. Die Liste umfasst sowohl Hyperscaler (große Cloud-Plattformen wie AWS, Google, Microsoft) als auch Netzwerk- und Rechenzentrumsbetreiber (z. B. Deutsche Telekom, Equinix) sowie spezialisierte IKT-Dienstleister für Finanzdaten und -services (etwa Bloomberg, LSEG, Accenture, SAP). Diese Anbieter erbringen geschäftskritische IKT-Services – von Kern-Infrastruktur bis zu Daten- und Geschäftsapplikationen – für Finanzinstitute aller Größenordnungen in der EU und unterliegen fortan der direkten europäischen Aufsicht gemäß DORA.
| Ausgewiesene kritische IKT-Drittdienstleister (CTPPs) | ||
|---|---|---|
|
|
|
Wie funktioniert die Aufsicht über kritische Drittdienstleister?
Der DORA-Aufsichtsrahmen sieht vor, dass je nach Geschäftsprofil der Dienstleister eine der drei europäischen Behörden als federführender Lead Overseer fungiert und die Aufsicht koordiniert. Unterstützt durch gemeinsames Prüfungsteam (Joint Examination Teams) steht der Aufsicht ein klar strukturiertes Set an Instrumenten zur Verfügung.
Auf die überwachten Dienstleister kommen zusätzliche Pflichten zu
- Major Incidents melden und Ursachenanalysen bereitstellen
- Weitreichende Berichtspflichten und Datenbereiststellungen an die Aufsicht
- Durchführung von Risikoanalysen und Risikobewertungen
- Regelmäßigen Audits und Vor-Ort-Prüfungen
- Anfragen und Empfehlungen der Aufsicht beantworten
Die neue Aufsichtsebene sorgt für zusätzliche Transparenz und Sicherheit. Die operative Verantwortung verbleibt jedoch weiterhin beim auslagernden Institut. Damit schafft DORA ein europaweit einheitliches und wirksames Aufsichtsregime – ohne die operative Verantwortung der Finanzinstitute auszuhebeln. Für Finanzinstitute, die mit diesen nun als kritisch eingestuften IKT-Dienstleistern zusammenarbeiten, ergeben sich damit wichtige Implikationen.
| Implikationen für Finanzinstitute | |
|---|---|
| Mehr Transparenz | Volle Risiko- und Kontrollpflicht bleibt beim Institut. DORA ist kein Freibrief, sich auf den Regulator zu verlassen. Vielmehr müssen die Finanzinstitute gegenüber der Aufsicht begründen, warum sie mit Blick auf die systemischen Risiken einen bestimmten CTPP einsetzen, und welche Exit-Strategie bereitsteht. Zudem ist das eigene IKT-Risikomanagement mit den Erkenntnissen aus der direkten Überwachung der ESAs gezielt zu überprüfen und bei Bedarf neu auszurichten. |
| Pflicht zum CTPP-Monitoring | Banken müssen Feststellungen der ESAs zu den 19 CTPPs auswerten und darin enthaltende Risiken in ihr IKT-Risikomanagement übernehmen und Maßnahmen einfordern. |
| Incident-Management bleibt bei der Bank | Regulatorische Meldevorgaben bleiben relevant für Finanzdienstleister. Auch wenn ein Vorfall beim Dienstleister liegt, muss eine Bank ihn dennoch melden, bewerten und nachhalten. |
| Vertrags- und Kontrollpflichten nach DORA | Finanzinstitute sind verpflichtet sicherzustellen, dass alle Verträge mit IKT-Drittdienstleistern die von der DORA vorgeschriebenen Anforderungen enthalten. |
| Notfallpläne und Alternativen | Auch mit dem neuen Aufsichtsschirm über den großen IKT-Dienstleistern bleibt die eigene Vorsorge der Finanzinstitute essenziell. Finanzunternehmen müssen belastbare Notfall- und Exit-Pläne besitzen für den Fall, dass ein wichtiger IKT-Provider ausfällt oder gravierende Mängel zeigt. |
Fazit
Die Benennung kritischer IKT-Drittdienstleister und ihre direkte Überwachung durch die europäischen Aufsichtsbehörden läutet eine neue Ära der digitalen Resilienz im Finanzsektor ein. Erstmals werden die großen, für viele Institute essenziellen Technologieanbieter einer einheitlichen europäischen Aufsicht unterzogen – ein wichtiger Schritt, um systemische IKT-Risiken und Abhängigkeitskonzentrationen besser zu beherrschen.
Die digitale operationale Resilienz ist als dauerhafter Prozess zu begreifen. DORA stärkt das Vertrauen in die Auslagerung wesentlicher IKT-Services. DORA nimmt Regulatoren, Finanzunternehmen und Technologiefirmen in eine gemeinsame Verantwortung. Die Herausforderung liegt in der konsequenten Umsetzung der Vorgaben –mit proaktivem Handeln lassen sich daraus spürbare Sicherheitsgewinne für alle Seiten erzielen.
Wir unterstützen Sie gerne dabei. Unsere Expertinnen und Experten verfügen über bewährte Methoden und praxisnahe Lösungen zur Erfüllung der DORA‑Anforderungen. Nutzen Sie unsere Unterstützung von der der konkreten Umsetzung bis zur begleitenden Prüfungsvorbereitung. Gemeinsam sorgen wir dafür, dass Ihr Haus den Anforderungen der DORA vollumfänglich gerecht wird und die Chancen des Rahmenwerks optimal nutzen kann.
