Die Europäische Kommission hat die technischen Regulierungsstandards (RTS) zur Unterauftragsvergabe von IKT-Dienstleistungen als delegierte Verordnung finalisiert. Diese neuen Regeln präzisieren die Anforderungen, die Finanzunternehmen bei der Vergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen beachten müssen.

Die Verordnung (EU) 2022/2554 zur digitalen operationalen Resilienz (DORA) verpflichtet Finanzunternehmen dazu, die Risiken ihrer IKT-Drittdienstleister und deren Unterauftragnehmer sorgfältig zu bewerten und zu überwachen. Die nun finalisierten RTS legen die genauen Bedingungen für eine Unterauftragsvergabe sowie die Sorgfaltspflichten der Finanzunternehmen fest.

Die Neufassung des RTS umfasst folgende Inhalte:

• Artikel 1: Gesamtrisikoprofil und Komplexität
• Artikel 2: Anwendung auf eine Gruppe
• Artikel 3: Sorgfaltspflicht und Risikobewertung in Bezug auf den Einsatz von Unterauftragnehmern, die kritische oder wichtige Funktionen unterstützen
• Artikel 4: Bedingungen, unter denen IKT-Dienstleistungen, die kritische oder wichtige Funktionen einen wesentlichen Teil davon unterstützen, an Unterauftragnehmer vergeben werden können
• Artikel 5: Wesentliche Änderungen an Unterauftragsvereinbarungen über IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen
• Artikel 6: Kündigung des Vertrags zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister

Hervorzuheben ist, dass ein Finanzunternehmen nur dann vertragliche Vereinbarungen abschließen darf, wenn alle Bedingungen gemäß Artikel 3 RTS SUB erfüllt sind. Außerdem wurde der ursprüngliche Artikel 5 RTS E-SUB gestrichen, der vertragliche Bedingungen für die Vergabe und die Überwachung in Bezug auf die Kette von IKT-Unterauftragnehmern formulierte.

Mit den finalisierten RTS schafft die Europäische Kommission mehr Klarheit über die regulatorischen Anforderungen an die Unterauftragsvergabe von IKT-Dienstleistungen. Die neuen Standards stärken die digitale Resilienz des Finanzsektors, ohne zusätzliche bürokratische Hürden zu schaffen. Finanzunternehmen sollten nun ihre Due-Diligence-Prozesse, Vertragsbestandteile und Risikobewertungen anpassen, um den neuen Anforderungen gerecht zu werden.