logo_klein
DORA RTS-Sub: EU-Kommission weist Entwurf zurück
DORA RTS-Sub: EU-Kommission weist Entwurf zurück
Dr. Ermano Geuer
Jänner 31, 2025
12:25 pm

Nach einer sechsmonatigen Prüfungsphase hat die Europäische Kommission die Annahme der technischen Regulierungsstandards zur Subunternehmervergabe von IKT-Dienstleistungen (RTS-Sub), die kritische oder wichtige Funktionen (CIFs) unterstützen, im Rahmen der Digital Operational Resilience Act (DORA)-Verordnung abgelehnt. Dies geht aus einem Schreiben der Kommission an die Europäischen Aufsichtsbehörden (ESAs) hervor.

Warum wurde der RTS-Entwurf abgelehnt?

Die ESAs hatten der Kommission im Juli 2024 einen Entwurf vorgelegt, der die DORA-Verordnung um technische Regulierungsstandards ergänzen sollte. Diese RTS sollten konkret festlegen, welche Anforderungen Finanzinstitute bei der Vergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, erfüllen müssen. Dabei ging es vor allem um die Risikobewertung und das Management von Subunternehmerverträgen.

Die Kommission erkannte an, dass der Entwurf detaillierte Bedingungen und Kriterien für die Vergabe von IKT-Dienstleistungen während des gesamten Lebenszyklus der Vertragsbeziehungen zwischen Finanzinstituten und IKT-Dienstleistern vorsieht. Insbesondere müssen die Risiken bereits in der Vorvertragsphase, einschließlich einer Due-Diligence-Prüfung, bewertet werden. Zudem enthält der Entwurf Vorgaben zur Umsetzung und Überwachung von Vertragsvereinbarungen, um sicherzustellen, dass Finanzinstitute ihre Subunternehmer effektiv kontrollieren können.

Allerdings sieht die Kommission in Artikel 5 des RTS-Entwurfs ein Problem: Die dort formulierten Anforderungen an die „Bedingungen für die Subunternehmervergabe in der Kette von IKT-Subunternehmern“ gehen ihrer Ansicht nach über das in Art 30 Abs 5 DORA festgelegte Mandat hinaus. Die Kommission argumentiert, dass diese Anforderungen nicht spezifisch genug mit den Bedingungen für die Subunternehmervergabe verknüpft sind und somit den Rahmen des Mandats überschreiten.

Was bedeutet das für die ESAs?

Die Kommission hat nun die ESAs aufgefordert, Artikel 5 RTS-SUB sowie die dazugehörige Erwägung 5 aus dem Entwurf zu streichen, um die Einhaltung des DORA-Mandats sicherzustellen. Die ESAs haben nun sechs Wochen Zeit, die geforderten Änderungen vorzunehmen und den überarbeiteten Entwurf erneut einzureichen. Sollte es zu keiner Einigung kommen, behält sich die Kommission das Recht vor, den RTS mit den von ihr als notwendig erachteten Änderungen zu verabschieden.

Praktische Auswirkungen auf Finanzinstitute

Viele Finanzinstitute haben bereits vertragliche Bestimmungen eingeführt, die den Anforderungen von Artikel 5 des RTS-Entwurfs entsprechen. Dies könnte nun zu Herausforderungen führen, da diese Verträge möglicherweise erneut angepasst werden müssen, um den zukünftigen regulatorischen Anforderungen gerecht zu werden.

Die RTS zur Subunternehmervergabe sind das letzte fehlende Element der Level-2-technischen Standards von DORA im Bereich des IKT-Drittanbieter-Risikomanagements. Es ist jedoch zu beachten, dass auch die RTS zum Threat-Led Penetration Testing (TLPT) noch nicht final verabschiedet sind und voraussichtlich noch einige Monate bis zur Genehmigung benötigen werden.

Fazit

Die Ablehnung des RTS-Entwurfs durch die Kommission unterstreicht die Bedeutung einer klaren und präzisen Auslegung des DORA-Mandats. Die ESAs stehen nun vor der Aufgabe, die geforderten Änderungen umzusetzen, um die Einhaltung des rechtlichen Rahmens sicherzustellen. Gleichzeitig müssen Finanzinstitute, die bereits vertragliche Anpassungen vorgenommen haben, möglicherweise nachbessern, um den zukünftigen Anforderungen gerecht zu werden.

Die weitere Entwicklung in diesem Bereich bleibt spannend, und wir werden die Fortschritte bei der Verabschiedung der DORA-RTS weiterhin genau verfolgen. Finanzinstitute sollten sich bereits jetzt auf mögliche Änderungen vorbereiten und ihre Vertragsgestaltung entsprechend anpassen.

Sie haben weitere Fragen zum Digital Operational Resilience Act?

Sie haben weitere Fragen zu diesem Thema oder wollen sich in anderen Bereichen des Wirtschaftsrechts durch einen Rechtsanwalt beraten lassen? Unser Team bietet umfassende Beratungsleistungen zur DORA-Umsetzung für Finanzunternehmen und IT-Dienstleister.  Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Quelle: DORA-Schreiben der EU-Kommission

Category : Bank- und Kapitalmarktrecht IT-Recht
Tags : DORA
Scroll to Top