DORA: Behandlung von IKT-Subunternehmern im Informationsregister

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 29. August 2025 mit der Q&A 7089/2025 wichtige Klarstellungen zur Behandlung von IKT-Subunternehmern im DORA-Informationsregister veröffentlicht. Diese Stellungnahme betrifft insbesondere die Dokumentationspflichten für IKT-Subunternehmer von Anbietern, die selbst keine IKT-Dienstleistungen erbringen.

Ausgangslage: Komplexe Subunternehmer-Ketten bei nicht-IKT-Anbietern

DORA verpflichtet Finanzunternehmen zur Führung eines Registers über Vereinbarungen mit IKT-Drittanbietern. Dabei entsteht häufig die Frage, wie mit Subunternehmern umzugehen ist, wenn der direkte Vertragspartner selbst kein IKT-Anbieter ist, aber seinerseits IKT-Dienstleistungen von Subunternehmern bezieht. Die EBA adressiert diese Problematik durch eine klare Abgrenzung der Registrierungspflichten.

Die Antwort basiert auf dem Erwägungsgrund 7 der Durchführungsverordnung (ITS) zum Informationsregister, der darauf hinweist, dass Finanzunternehmen prüfen sollten, ob nicht-IKT-Anbieter auf IKT-Dienstleistungen zurückgreifen. Diese Prüfung kann unter Umständen zur Einstufung als IKT-Anbieter führen.

Drei-Stufen-Ansatz für die Registrierungspflicht

Stufe 1: Nicht-IKT-Dienstleistung bleibt außerhalb des Registers

Erbringt ein direkter Drittanbieter eines Finanzunternehmens keine IKT-Dienstleistung, fällt diese Dienstleistung grundsätzlich nicht in den Anwendungsbereich des DORA-Informationsregisters. Dies gilt unabhängig davon, ob der Anbieter intern IKT-Systeme nutzt, um seine nicht-IKT-Dienstleistung zu erbringen.

Praktische Folgen für Banken:

• Keine automatische Registrierungspflicht für Anbieter wie Reinigungsunternehmen, Beratungsdienstleister oder Facility-Management

• Bestandsschutz für etablierte Geschäftsbeziehungen mit traditionellen Dienstleistern

• Reduzierter Dokumentationsaufwand bei reinen Sachdienstleistungen

Stufe 2: IKT-Subunternehmer bleiben grundsätzlich unberücksichtigt

Nutzt ein nicht-IKT-Anbieter zur Erfüllung seiner vertraglichen Verpflichtungen IKT-Subunternehmer, bleiben diese nach Artikel 28 Absatz 3 DORA außerhalb des Anwendungsbereichs des Informationsregisters. Die bloße Nutzung von IKT-Dienstleistungen durch Subunternehmer löst keine Dokumentationspflicht aus.

Entlastung für Institute:

• Keine Pflicht zur Durchleuchtung der IKT-Landschaft aller Vertragspartner

• Fokussierung auf direkte IKT-Beziehungen

• Vermeidung unverhältnismäßiger Due-Diligence-Anforderungen

Stufe 3: Ausnahme bei funktionskritischen IKT-Subdienstleistungen

Eine Registrierungspflicht entsteht nur dann, wenn das Finanzunternehmen im Rahmen seiner Risikobeurteilung feststellt, dass die IKT-Dienstleistung des Subunternehmers eine kritische oder wichtige Funktion oder wesentliche Teile davon in einem solchen Maße unterstützt, dass sie als gleichwertig mit einer direkt erbrachten IKT-Dienstleistung eingestuft werden kann. In diesem Fall greifen die Anforderungen von Kapitel V der DORA-Verordnung.

Risikoorientierte Betrachtung erforderlich:

• Einzelfallprüfung der tatsächlichen Bedeutung für kritische Funktionen

• Beurteilung der Ausfallrisiken und Abhängigkeiten

• Proportionale Anwendung der DORA-Anforderungen

Weitere Compliance-Verpflichtungen bleiben bestehen

Die EBA stellt ausdrücklich klar, dass Finanzunternehmen weiterhin alle relevanten Anforderungen aus anderen anwendbaren Finanzvorschriften einhalten müssen, insbesondere die EBA-Leitlinien zum Outsourcing. Die DORA-Klarstellung entbindet nicht von den bestehenden Aufsichtspflichten außerhalb des IKT-Bereichs.

Die Regelung schafft somit eine sinnvolle Balance zwischen notwendiger Transparenz bei IKT-Risiken und praktischer Umsetzbarkeit für Finanzinstitute verschiedener Größenordnungen.

💡 Praktische Hinweise:

Führen Sie eine strukturierte Bestandsaufnahme Ihrer Drittanbieter-Beziehungen durch und klassifizieren Sie diese in IKT- und nicht-IKT-Dienstleistungen. Entwickeln Sie ein einfaches Bewertungsraster für die Einschätzung, wann IKT-Subdienstleistungen von nicht-IKT-Anbietern kritische Funktionen unterstützen könnten. Dokumentieren Sie diese Bewertungen nachvollziehbar, um gegenüber der Aufsicht die Einhaltung der risikoorientierten Betrachtung belegen zu können. Nutzen Sie die Klarstellung als Chance, Ihre Ressourcen auf die tatsächlich relevanten IKT-Risiken zu fokussieren, ohne unnötige Dokumentationspflichten zu schaffen.

Quelle / Eckdaten