Leitfaden zur Überwachung kritischer IKT-Dienstleister – Juli 2025

Am 15. Juli 2025 veröffentlichten die Europäischen Aufsichtsbehörden (ESAs: EBA, EIOPA, ESMA) einen Leitfaden zur Überwachung kritischer IKT-Drittanbieter im Rahmen des Digital Operational Resilience Act (DORA). Er richtet sich an IKT-Dienstleister, Finanzunternehmen und nationale Behörden und bietet einen praktischen Orientierungsrahmen zur bevorstehenden Aufsichtstätigkeit der ESAs.

Mit dem Leitfaden wird das Ziel verfolgt, Klarheit und Transparenz über den Ablauf und die Organisation der Aufsichtstätigkeit der ESAs zu schaffen, eine risikobasierte, koordinierte und verhältnismäßige Überwachung kritischer digitaler Dienstleister sicherzustellen und eine Stärkung der digitalen Resilienz des Finanzsektors in der EU zu gewährleisten.

Der Fokus des Leitfadens liegt dabei auf der Sicherstellung einer strukturierten Aufsicht über IKT-Dienstleister, die als „kritisch“ nach DORA eingestuft wurden, dem Aufbau von Joint Examination Teams (JETs), also gemischten Prüfteams der ESAs und nationaler Behörden, sowie der Nutzung von Instrumenten wie Risikoanalysen, Vor-Ort-Prüfungen und Anordnungen. Des Weiteren soll die Koordination auf EU- und nationaler Ebene erfolgen, um Doppelstrukturen zu vermeiden und auf Themen wie Cyber-Resilienz, Outsourcing, Business Continuity und Datenmanagement priorisiert werden.

Der Leitfaden gliedert sich in mehrere Abschnitte / Kernelemente mit folgenden Inhalten:

1. Zweck und rechtlicher Rahmen

Er erläutert den Anwendungsbereich im Kontext von DORA (Art. 31–44), insbesondere die Zuständigkeit der ESAs gegenüber IKT-Dienstleistern, die als kritisch eingestuft wurden.

2. Governance und Zuständigkeiten

Es wird beschrieben, wie die ESAs ihre neue Aufsichtsrolle intern organisieren und koordinieren, einschließlich der Zusammensetzung relevanter Gremien.

3. Aufsichtsinstrumente

Der Leitfaden nennt konkrete Werkzeuge wie Risiko- und Reifegradanalysen, Informationsanfragen, Vor-Ort-Prüfungen, strukturierte Dialogformate mit Dienstleistern sowie formelle Empfehlungen oder Anordnungen bei Mängeln.

4. Joint Examination Teams (JETs)

JETs sind zentrale operative Einheiten der Überwachung. Sie bestehen aus Mitarbeitenden der ESAs und werden je nach Bedarf durch Fachleute der nationalen Aufsicht ergänzt. Der Leitfaden legt deren Aufbau, Methodik und Aufgaben fest.

5. Risikobasierte Überwachung

Die ESAs verfolgen einen priorisierten Ansatz: Besonders gefährdete oder systemrelevante Bereiche werden stärker beaufsichtigt. Die Analyse erfolgt kontinuierlich und unter Berücksichtigung von Ereignissen wie Cyber-Angriffen oder Systemausfällen.

6. Interaktion mit Dienstleistern

Der Leitfaden regelt den Austausch mit IKT-Dienstleistern, einschließlich den Berichtspflichten, den Rückmeldungen zu geplanten Maßnahmen und Verfahren zur Streitbeilegung bei Meinungsverschiedenheiten.

7. Kooperation mit nationalen Behörden

Es wird erläutert, wie Ergebnisse der Aufsichtstätigkeit geteilt und mit den zuständigen nationalen Behörden abgestimmt werden, um ein effektives Zusammenspiel sicherzustellen.

Fazit:

Der Leitfaden bietet eine strukturierte Grundlage für die neue EU-weite Aufsicht über digitale Dienstleister. Obwohl er nicht rechtsverbindlich ist, stellt er ein zentrales Umsetzungsinstrument zur Sicherstellung der digitalen Widerstandsfähigkeit im Finanzsektor dar – im Einklang mit DORA.