Am 22. Juli 2025 ist die Delegierte Verordnung (EU) 2025/532 der Europäischen Kommission in Kraft getreten. Sie ergänzt die DORA-Verordnung (EU) 2022/2554 durch technische Regulierungsstandards (RTS) und präzisiert die Anforderungen an Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen im Zusammenhang mit kritischen oder wichtigen Funktionen.
Hintergrund und Verfahrensverlauf
Bereits am 17. Juli 2024 wurde der ursprüngliche RTS-Entwurf zur Untervergabe von IKT-Dienstleistungen von den Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) vorgelegt. Die Kommission lehnte dessen Annahme jedoch ab, insbesondere wegen des Artikels 5, der aus ihrer Sicht das Mandat der ESAs gemäß Artikel 30 Absatz 5 DORA überschritt. Die Kommission empfahl, diesen Artikel sowie den zugehörigen Erwägungsgrund 5 zu streichen.
Nach entsprechender Überarbeitung und Stellungnahme der ESAs am 7. März 2025 wurde die angepasste Fassung am 24. März 2025 von der Kommission angenommen und am 2. Juli 2025 im Amtsblatt veröffentlicht.
Inhalte und Schwerpunkte der Verordnung
Die RTS schaffen Klarheit über die Erwartungen an Finanzunternehmen bei der Auslagerung kritischer oder wichtiger IKT-Dienstleistungen, insbesondere:
- Verhältnismäßigkeit: Finanzunternehmen müssen bei der Beurteilung von Untervergaben Größe, Geschäftsmodell, Risikoprofil sowie Art und Umfang der ausgelagerten IKT-Dienstleistungen angemessen berücksichtigen (Art. 1). Auch gruppeninterne Besonderheiten sind zu beachten.
- Sorgfaltspflichten und Risikobewertung: Vor Abschluss eines Vertrags mit einem IKT-Dienstleister (IKT-TPSP) sind Prüfungen zur Eignung des Dienstleisters durchzuführen – u. a. hinsichtlich seiner technischen und organisatorischen Fähigkeiten.
- Bedingungen für die Untervergabe: Die RTS legen fest, unter welchen Bedingungen eine Weitervergabe durch den IKT-TPSP zulässig ist, insbesondere wenn kritische oder wichtige Funktionen betroffen sind.
- Umgang mit wesentlichen Änderungen: Für Änderungen bestehender Untervergabeverhältnisse gelten spezifische Anforderungen zur Bewertung und Kontrolle.
- Beendigung von Verträgen: Es werden Kriterien definiert, unter welchen Umständen ein Finanzunternehmen Verträge mit IKT-TPSPs beenden darf.
Wegfall von Artikel 5
Der ursprünglich stark umstrittene Artikel 5 wurde gestrichen. Damit entfällt insbesondere die Verpflichtung:
- zur vollständigen vertraglichen Erfassung der gesamten Lieferkette,
- zur laufenden Aktualisierung dieser Informationen für das Informationsregister,
- zur Offenlegung der Verträge zwischen IKT-TPSPs und deren Unterauftragnehmern.
Einige Überwachungsanforderungen bleiben jedoch über Artikel 4 erhalten.
Fazit
Mit dem Inkrafttreten der Delegierten Verordnung (EU) 2025/532 ist nunmehr Klarheit über die konkret geltenden Anforderungen bei der Untervergabe von IKT-Dienstleistungen hergestellt. Die Unsicherheiten, die durch den im Sommer 2024 veröffentlichten Entwurf entstanden waren, wurden durch die überarbeitete Fassung behoben. Finanzunternehmen können sich damit auf ein konsistentes Regelwerk stützen, das die Anforderungen aus Artikel 30 DORA praxisgerecht ergänzt und präzisiert.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
