DORA: Die RTS zu den Prüfern für die Überwachung kritischer IKT-Drittanbieter

Am 24. März 2025 wurde im Amtsblatt der Europäischen Union die delegierte Verordnung (EU) 2025/420 vom 16. Dezember 2024 veröffentlicht. Diese ergänzt die DORA-Verordnung um technische Regulierungsstandards (RTS) zu den Kriterien für die Zusammensetzung der gemeinsamen Prüfergruppe der ESAs und der national zuständigen Behörden. Diese Gruppe ist für die Aufsicht über kritische Drittanbieter von IKT-Dienstleistungen einzurichten.

Die Verordnung gewährleistet insbesondere eine ausgewogene Beteiligung von Mitarbeitenden der ESAs und der zuständigen nationalen Behörden. Sie legt Kriterien für deren Ernennung, Aufgaben und Arbeitsweise fest.

Gemäß Artikel 40 von DORA wird die federführende Aufsichtsbehörde bei der Durchführung von Überwachungsmaßnahmen gegenüber kritischen IKT-Drittanbietern - insbesondere bei allgemeinen Untersuchungen oder Vor-Ort-Prüfungen - von einer gemeinsamen Prüfergruppe unterstützt. Für jeden kritischen IKT-Drittanbieter ist eine solche Gruppe einzurichten. Die Behörden müssen daher sicherstellen, dass die von ihnen benannten Mitarbeitenden, die Mitglieder dieser Gruppen sind, über die in Artikel 40 Absatz 2 geforderten fachlichen Kompetenzen in Bezug auf IKT und operationellen Risiken verfügen.

Zudem müssen die benannten Mitglieder der gemeinsamen Prüfergruppen weiterhin Beschäftigte der Behörde bleiben, die ihre Ernennung vorgenommen hat.

Damit die verfügbaren Ressourcen effizient eingesetzt werden können, sieht die delegierte Verordnung vor, dass die genannten Mitglieder mehreren gemeinsamen Prüfergruppen angehören und somit mehrere kritische IKT-Drittanbieter überwachen können. Die Anzahl der kritischen Drittanbieter, die einem einzelnen Mitglied zugewiesen werden, sowie der gesamte Personalbedarf innerhalb der Gruppen müssen dabei sowohl das Risikoprofil der Drittanbieter als auch den erwarteten Umfang der Aufsichtsaktivitäten berücksichtigen.

Nach Artikel 5 der delegierten Verordnung werden die ESAs zudem die Überwachungsverfahren festlegen, die die Mitglieder der gemeinsamen Prüfergruppen sowie der Koordinator der federführenden Aufsichtsbehörde bei der Aufsicht über kritische IKT-Drittanbieter gemäß DORA befolgen müssen. Ziel ist es, einheitliches Vorgehen, Kohärenz und Koordination zwischen den Gruppenmitgliedern sicherzustellen.

Die delegierte Verordnung tritt am 13. April 2025 in Kraft.