Im Zuge der Umsetzung des Digital Operational Resilience Act (DORA) rückt ein Aspekt zunehmend in den Mittelpunkt: die direkte Aufsicht über kritische IKT-Drittdienstleister. Am 15. Juli 2025 veröffentlichten die ESAs (EBA, ESMA und EIOPA) mit dem „Guide on oversight activities” eine ausführliche, praxisorientierte Beschreibung der aufsichtlichen Umsetzung der DORA-Vorgaben für kritische IKT-Drittdienstleister. Dieser Leitfaden ist Teil eines breiteren regulatorischen Rahmenwerks, das darauf abzielt, die digitale Widerstandsfähigkeit und Cyber-Sicherheit im Finanzsektor zu stärken. Hierbei ist insbesondere das Zusammenspiel zwischen DORA und der NIS2-Richtlinie zu beachten. Während NIS-2 einen breiteren Anwendungsbereich für die Cyber-Sicherheit in der EU hat, gilt DORA als "lex specialis" und legt spezifische, strengere Anforderungen für den Finanzsektor fest, die Vorrang vor den allgemeinen NIS-2-Vorgaben haben. 

Während Finanzunternehmen ihre digitalen Prozesse zunehmend an spezialisierte Technologiepartner auslagern, entstehen neue Abhängigkeiten, insbesondere von großen Cloud- und Plattformanbietern. Um die Risiken solcher Konzentrationen beherrschbar zu machen, sieht DORA eine sektorübergreifende aufsichtliche Kontrolle dieser Anbieter durch die ESAs vor. Dabei wird je nach Schwerpunkt eine der Europäischen Aufsichtsbehörden (EBA, ESMA oder EIOPA) als Lead Overseer (LO) bestimmt, der die Aufsicht koordiniert und umsetzt. Unterstützt wird dieser durch Joint Examination Teams (JETs), also multidisziplinäre Expertengruppen, die risikobasierte Prüfungen durchführen, in denen auch Personal von den zuständigen nationalen Behörden für NIS-2 eingebunden wird.

Die Aufsicht erfolgt strukturiert: Zunächst werden Drittanbieter jährlich dahingehend bewertet, ob sie als kritisch im Sinne von DORA einzustufen sind. Maßgeblich ist hierbei beispielsweise die Systemrelevanz des Dienstleisters, die Abhängigkeit mehrerer bedeutender Finanzinstitute sowie die geringe Möglichkeit zur Substitution des Anbieters. Wird die Kritikalität festgestellt, erfolgt die Aufnahme des Anbieters in eine offizielle Liste. Er unterliegt fortan der direkten europäischen Aufsicht. Eine freiwillige Einstufung im Rahmen eines sogenannten „Opt-in“-Verfahrens ist ebenfalls möglich.

Die Überwachung selbst umfasst ein ganzes Bündel an Maßnahmen: Dazu gehören regelmäßige Informationsanfragen, strukturierte Risikoanalysen, thematische Prüfungen oder Vor-Ort-Inspektionen sowie die Möglichkeit, Empfehlungen auszusprechen. Diese Empfehlungen sind zwar nicht bindend, die Anbieter müssen sie jedoch aktiv beantworten und im besten Fall durch geeignete Maßnahmen umsetzen. Die Mitwirkungspflicht der Anbieter ist ein zentraler Bestandteil des Überwachungsprozesses.

Unternehmen, die als kritische Drittanbieter eingestuft werden, haben verschiedene organisatorische Anforderungen zu erfüllen. So haben beispielsweise IKT-Drittanbieter, die Teil einer Gruppe sind, eine juristische Person (innerhalb der EU) als Koordinierungsstelle für die Kommunikation mit der federführenden Überwachungsbehörde zu benennen, die über ausreichend technische, personelle und finanzielle Ressourcen verfügt, um den Dialog mit den Aufsichtsbehörden verlässlich zu führen. Auch die Abgabe regelmäßiger Berichte, die Zahlung von Aufsichtsgebühren und die Bereitstellung prüfungsrelevanter Dokumente sind verpflichtend.

Für Finanzunternehmen bringt die neue Aufsichtsebene einen Zugewinn an Transparenz. Die Erkenntnisse aus den Prüfungen kritischer IKT-Drittanbieter fließen in die nationale Aufsicht ein und helfen dabei, das eigene IKT-Risikomanagement gezielter auszurichten. Gleichwohl bleibt die Verantwortung für ausgelagerte Prozesse weiterhin bei den Finanzinstituten selbst.

Mit dem DORA-Aufsichtsrahmen entsteht erstmals eine einheitliche europäische Struktur zur Überwachung externer Technologiepartner im Finanzsektor. Für Dienstleister bedeutet dies eine neue Form der regulatorischen Aufmerksamkeit, die mit klaren Vorgaben und einer belastbaren Struktur der Zusammenarbeit mit den Behörden einhergeht. Finanzunternehmen gewinnen mehr Sicherheit im Umgang mit ausgelagerten IT-Diensten. Entscheidend ist, dass sich Anbieter frühzeitig auf diese neue Rolle einstellen und aktiv an der Umsetzung mitwirken.

Unsere Expertinnen und Experten verfügen über ein umfassendes Know-how in den DORA-relevanten Themenkomplexen - von breitem Wissen über die Branchenanforderungen bis hin zu Best Practices. Mit unserer Expertise unter anderem im Bereich der Dienstleistersteuerung können wir neben Finanzinstituten auch IKT-Dienstleister effektiv unterstützen. Wir bringen unsere langjährige Erfahrung in der Optimierung von Prozessen, bei Tests und im Testmanagement in Ihren Projektalltag ein und helfen Ihnen, die Herausforderungen rund um DORA nachhaltig zu meistern. Profitieren Sie von unserer fachlichen und methodischen Expertise von der Analyse über die Umsetzungsunterstützung bis zur Vorbereitung, Nachbereitung und Begleitung von Prüfungen.


Autoren