DORA: Gemeinsame Leitlinien der ESAs zur Aufsicht über kritische IKT-Drittanbieter

Mit dem Digital Operational Resilience Act (DORA) wurde ein einheitlicher EU-weiter Rahmen geschaffen, um die digitale Resilienz im Finanzsektor zu stärken. Ein zentraler Bestandteil ist die aufsichtliche Kontrolle kritischer IKT-Drittanbieter durch die europäischen Aufsichtsbehörden. Am 15. Juli 2025 haben die ESAs (EBA, ESMA und EIOPA) eine umfassende Leitlinie zur Überwachung dieser Anbieter veröffentlicht. Diese soll Transparenz über die neuen Prozesse schaffen und Beteiligte bei der Umsetzung unterstützen.

Hintergrund: Warum ein Aufsichtsrahmen für IKT-Drittanbieter?

Finanzinstitute sind zunehmend auf wenige große IKT-Anbieter angewiesen. Diese Konzentration birgt systemische Risiken: Ein Ausfall oder Cybervorfall bei einem großen Anbieter kann weitreichende Auswirkungen auf die Stabilität des Finanzsystems haben. DORA begegnet diesen Risiken, indem es eine direkte Aufsicht über als kritisch eingestufte Anbieter vorsieht - ergänzend zur Eigenverantwortung der Finanzinstitute und der bereits bestehenden Aufsicht.

Wer gilt als kritischer IKT-Drittanbieter?

Die ESAs identifizieren kritische IKT-Drittanbieter (CTPP) sektorbezogen (Banken, Versicherungen, Kapitalmärkte) auf Basis klarer Kriterien, z.B.:

• Grad der Abhängigkeit zahlreicher Finanzinstitute

• Bedeutung für kritische Funktionen

• mögliche systemische Auswirkungen

Nach der Einstufung übernimmt jeweils eine ESA die Rolle der führenden Aufsichtsbehörde für diesen Anbieter.

Wie funktioniert die Aufsicht? - Struktur & Zuständigkeiten

Die ESAs setzen für die Aufsicht kritischer Drittanbieter folgende Gremien und Instrumente ein:

Gemeinsame Prüfungsteams (JET - Joint Examination Teams)

Die Gemeinsamen Prüfungsteams (Joint Examination Teams - JET) bestehen aus Fachkräften der drei europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA), den zuständigen nationalen Finanzaufsichtsbehörden sowie den nationalen Behörden für Netz- und Informationssicherheit (NIS-Behörden). Diese multidisziplinäre Zusammensetzung soll sicherstellen, dass sowohl regulatorische als auch technische Aspekte der Überwachung kritisch hinterfragt werden können.

Die JET sind verantwortlich für eine Vielzahl aufsichtsrechtlicher Aufgaben gegenüber den als kritisch eingestuften IKT-Drittanbietern (CTPP). Dazu gehören insbesondere die Anforderung und Analyse relevanter Informationen, die Durchführung von Vor-Ort-Prüfungen sowie umfassende Untersuchungen, wenn Anhaltspunkte für Mängel in der digitalen Resilienz oder beim Risikomanagement bestehen. Ziel ist es, durch koordinierte und risikoorientierte Aufsicht mögliche Schwachstellen frühzeitig zu erkennen und zu adressieren.

Governance-Struktur

Strukturierte Koordination: Joint Oversight Network (JON)

Zur Sicherstellung eines kohärenten Vorgehens auf europäischer Eben wurde das Joint Oversight Network (JON) eingerichtet. Dieses Netzwerk koordiniert die Aufsichtstätigkeiten der verschiedenen Prüfungsteams und sorgt dafür, dass Vorgehensweisen, Methoden und Standards zwischen den Sektoren und Ländern abgestimmt werden. Das JON dient zudem der Qualitätssicherung und unterstützt die ESAs bei der effizienten Ressourcennutzung.

Austausch und Abstimmung: Oversight Forum (OF)

Ergänzend dazu wurde das Oversight Forum (OF) geschaffen. Dieses Gremium fungiert als zentrale Plattform für den Erfahrungsaustausch und die strategische Abstimmung zwischen allen beteiligten Aufsichtsbehörden. Ziel ist es, übergreifende Entwicklungen frühzeitig zu erkennen, Best Practices zu identifizieren und ein gemeinsames Verständnis von Risiken und Maßnahmen zu entwickeln.

Grundprinzipien der Aufsicht: Kohärenz, Verhältnismäßigkeit und Ergebnisorientierung

Der gesamte Aufsichtsrahmen folgt drei zentralen Leitprinzipien: Kohärenz, also einer konsistenten und koordinierten Vorgehensweise auf EU-Ebene, Verhältnismäßigkeit, was bedeutet, dass die Intensität der Aufsicht an Größe, Komplexität und Risiko des jeweiligen Dienstleisters angepasst wird, sowie Ergebnisorientierung, also der Fokus auf konkrete, überprüfbare Resultate bei der Stärkung der digitalen Resilienz.

Aufsichtsmaßnahmen

Die Aufsicht über kritische Drittanbieter von IKT-Dienstleistungen im Rahmen von DORA umfasst eine Reihe konkreter Maßnahmen, mit denen die europäischen Aufsichtsbehörden ihre Überwachungsfunktion wahrnehmen. Zunächst können die ESAs umfangreiche Informationen von den betroffenen Anbietern anfordern - etwa zu deren internen Kontrollsystemen, Risikoanalysen, Sicherheitsvorkehrungen und bestehenden Auslagerungsverhältnissen. Diese Daten bilden die Grundlage für die Risikobewertung und dienen zur Vorbereitung weiterer Prüfungsschritte.

Auf Basis der erhaltenen Informationen können die Behörden Untersuchungen einleiten und Inspektionen - auch vor Ort - durchführen, um sich ein umfassendes Bild über die operative Resilienz und die Einhaltung regulatorischer Anforderungen zu verschaffen. Werden dabei Schwächen oder Verstöße festgestellt, können die ESAs Empfehlungen aussprechen, die auf konkrete Verbesserungen abzielen, beispielsweise im Bereich der Cybersicherheit oder der Notfallplanung.

Die Umsetzung dieser Empfehlungen wird von den Aufsichtsbehörden überwacht, wobei bei unzureichender Reaktion auch stärkere Maßnahmen zur Verfügung stehen. Zu diesen gehören insbesondere die Verhängung von periodischen Zwangsgeldern oder Geldbußen, wenn ein Anbieter seinen Pflichten nicht nachkommt oder systemrelevante Risiken nicht angemessen adressiert. Auf diese Weise soll ein wirksames, verhältnismäßiges und einheitliches Aufsichtssystem gewährleistet werden, das den Schutz der Finanzmarktstabilität und der Kundeninteressen sicherstellt.

Grundprinzipien der Aufsicht

Die Aufsicht über kritische IKT-Drittanbieter durch die europäischen Aufsichtsbehörden folgt klar definierten Leitprinzipien, die sicherstellen sollen, dass das neue Aufsichtsmodell wirksam, kohärent und angemessen ausgestaltet ist. Ein zentrales Prinzip ist dabei die Verhältnismäßigkeit: Die Intensität und Tiefe der Aufsicht richten sich nach dem Risiko, das von einem Anbieter ausgeht, sowie nach dessen Größe, Komplexität und systemischer Bedeutung. Kleine oder weniger risikorelevante Anbieter sollen dadurch nicht unverhältnismäßig belastet werden, während bei großen, stark genutzten Dienstleistern eine entsprechend engmaschige Aufsicht erfolgt.

Ein weiteres tragendes Element ist die Tranpsarenz. Der gesamte Entscheidungsprozess innerhalb des Aufsichtsrahmens ist darauf ausgerichtet, nachvollziehbar und klar strukturiert zu sein. Dies betrifft sowohl die Auswahl der Maßnahmen als auch die Kommunikation mit den betroffenen Anbietern und den nationalen Behörden.

Darüber hinaus spielt die Koordination eine zentrale Rolle. Da viele IKT-Dienstleister grenzüberschreitend tätig sind und mehreren Finanzsektoren gleichzeitig Dienste bereitstellen, ist ein einheitlicher und abgestimmter EU-weiter Ansatz unerlässlich. Die ESAs gewährleisten dies durch gemeinsame Prozesse, Abstimmungsgremien und eine sektorübergreifende Governance-Struktur.

Schließlich ist auch die Verantwortlichkeit ein zentraler Pfeiler des Aufsichtsmodells. Die Rollen und Zuständigkeiten innerhalb der Aufsichtsstruktur - insbesondere zwischen den ESAs, den zuständigen nationalen Behörden und den beteiligten Prüfugnsteams - sind klar definiert, um Effizienz, Konsistenz und eine wirksame Durchsetzung der Vorgaben aus DORA sicherzustellen. Diese Prinzipien bilden die Grundlage für eine moderne, risikobasierte und sektorübergreifende Aufsicht über die digitale Infrastruktur des europäischen Finanzsystems.

Ziel der Leitlinie und nächste Schritte

Die von den ESAs veröffentlichte Leitlinie zur Aufsicht über kritische IKT-Drittanbieter erfüllt mehrere Funktionen und richtet sich an unterschiedliche Zielgruppen innerhalb des Finanzsektors - insbesondere Finanzsinstitute, Drittanbieter sowie interessierte Fachöffentlichkeit. Nachfolgend werden die drei zentralen Adressaten und ihre jeweiligen Nutzen im Detail erläutert:

Orientierung für Finanzinstitute: Wie groß ist meine Abhängigkeit von kritischen Drittanbietern?

Für beaufsichtigte Finanzinstitute - etwa Banken, Versicherungen, Wertpapierfirmen oder Zahlungsdienstleister - liefert die Leitlinie wichtige Hinweise zur Einschätzung ihrer eigenen Risikosituation. Dabei geht es nicht nur um die Frage, ob ein einzelner Dienstleister als "kritisch" im Sinne von DORA eingestuft wird, sondern auch darum, in welchem Maße das Institut geschäftsrelevante Prozesse ausgelagert hat, wie stark diese mit der digitalen Betriebsfähigkeit verknüpft sind und ob Konzentrationsrisiken bestehen.

Die Leitlinie fördert somit ein besseres Verständnis der systemischen Bedeutung bestimmter Dienstleister und bietet indirekt Unterstützung beim Outsourcing-Risikomanagement. Darüber hinaus können sich Institute frühzeitig auf mögliche aufsichtsrechtliche Anforderungen vorbereiten, etwa im Hinblick auf Informationspflichten gegenüber Behörden oder Anpassungen bestehender Verträge.

Hilfestellung für IKT-Dienstleister: Vorbereitung auf die neue Form der Aufsicht

Für Drittanbieter, die IKT-Dienste an Finanzinstitute erbringen - insbesondere Cloud-Anbieter, Rechenzentren oder spezialisierte Softwaredienstleister -, liefert die Leitlinie konkrete Anhaltspunkte, welche aufsichtlichen Anforderungen, Prozesse und Prüfmechanismen künftig auf sie zukommen können. Da DORA erstmals eine direkte Aufsicht über diese Unternehmen vorsieht, stellt der Übergang eine erhebliche Veränderung dar - sowohl organisatorisch als auch regulatorisch.

Die Anbieter erhalten mit der Leitlinie einen Einblick in die geplante Prüfungsstruktur, die Governance-Prozesse der Aufsichtsbehörden, die Verantwortungsaufteilung innerhalb der EU sowie die aufsichtlichen Instrumente, die potenziell eingesetzt werden können. Dies ermöglicht es ihnen, frühzeitig Compliance-Strukturen aufzubauen, interne Prozesse anzupassen, etwa im Bereich Informationssicherheit, und sich auf Vor-Ort-Prüfungen durch gemeinsame Prüfungsteams (JET) vorzubereiten.

Transparenz für die Öffentlichkeit: Legitimität und Vertrauen stärken

Schließlich richtet sich die Leitlinie auch an die breitere Fachöffentlichkeit - darunter Regulierungsinteressierte, Forschungseinrichtungen oder Nutzer:innen digitaler Finanzdienstleistungen. Sie schafft Transparenz über das Ziel, die Struktur und die Arbeitsweise des neuen Aufsichtsmodells unter DORA und leistet damit einen Beitrag zur öffentlichen Legitimation und Akzeptanz.

In einem Umfeld, in dem große Technologieanbieter zunehmende kritische Infrastrukturen des Finanzsystems betreiben, ist es wesentlich, dass die Aufsicht über diese Akteure nachvollziehbar, verhältnismäßig und effektiv erfolgt. Die Veröffentlichung der Leitlinie dokumentiert, dass die ESAs nicht nur auf einheitliche Regeln setzen, sondern auch einen kooperativen, dialogorientierten Ansatz verfolgen - mit dem Ziel, die digitale Resilienz Europas nachhaltig zu stärken.

Fazit

Die neue Aufsichtsarchitketur der ESAs markiert einen bedeutenden Schritt in der Umsetzung von DORA. Sie schafft erstmals ein klares und einheitliches Regelwerk für die Kontrolle systemrelevanter IKT-Dienstleister im europäischen Finanzsektor. Für Finanzinstitute bedeutet dies: Stärkeres Augenmerk auf Auslagerungsrisiken, eine engere Zusammenarbeit mit den IKT-Anbietern und gegebenenfalls Anpassungen im Vertrags- und Risikomanagment.

Quelle / Eckdaten