DORA-Vertragskonformität: Auswirkungen der finalen RTS Untervergabe auf bestehende und zukünftige IKT-Vereinbarungen

Am 17. und 26. Juli 2024 haben die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) den zweiten Teil der finalen Entwürfe der Technischen Regulierungsstandards (engl. Regulatory Technical Standards, „RTS“) zum Digital Operational Resilience Act (Verordnung (EU) 2022/2554, „DORA“) veröffentlicht. Unsere Kollegen haben bereits hier einen detaillierten Überblick über alle im zweiten Teil veröffentlichten RTS gegeben.

In diesem Beitrag werden wir uns gezielt auf eine dieser RTS konzentrieren – den finalen Entwurf der RTS „zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen“ („RTS Untervergabe“), veröffentlicht am 26. Juli 2024 und basierend auf Artikel 30(5) DORA.

Ähnlich wie DORA selbst enthält die RTS Untervergabe Bestimmungen, die sowohl die interne Governance von Finanzunternehmen (z.B. Risikomanagement) betreffen als auch solche, die direkt in vertragliche Vereinbarungen mit IKT-Drittdienstleistern („IKT-Vereinbarung“) aufgenommen werden müssen. Dieser Beitrag wird sich ausschließlich auf den letztgenannten Aspekt konzentrieren und die spezifischen Anforderungen in Bezug auf Untervergabe untersuchen, die in IKT-Vereinbarungen abgebildet werden müssen.

Vertragliche Anforderungen nach DORA und den RTS im Allgemeinen

Der Wortlaut der DORA enthält ungefähr 25 Anforderungen, die in den jeweiligen IKT-Vereinbarungen abgebildet werden müssen, hauptsächlich in Artikel 30 DORA. Wir verwenden den Begriff „ungefähr“, da bei einigen Anforderungen nicht ganz klar ist, ob sie andere Anforderungen ergänzen oder als eigenständige Anforderungen gelten.

Zusätzliche Anforderungen können durch delegierte Rechtsakte (Artikel 57 DORA), wie die RTS, hinzukommen. Die meisten Bestimmungen der RTS konzentrieren sich jedoch auf die interne Governance von Finanzunternehmen oder wiederholen lediglich bestehende Anforderungen an IKT-Vereinbarungen aus der DORA. Dies trifft insbesondere auf die RTS „zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden“ zu, die am 17. Januar 2024 finalisiert wurde (engl. kurz RTS Policy). Bei genauerer Betrachtung stellt diese RTS keine eigenständigen Anforderungen auf, sondern wiederholt bestehende Anforderungen oder hebt zusätzliche vertragliche Optionen hervor – oft, um die Integration in die IKT-Vereinbarungen zu erleichtern.

Spezifische vertragliche Anforderungen nach der RTS Untervergabe

Die Situation ist bei der RTS Untervergabe deutlich anders. Im Gegensatz zur DORA selbst, die in Artikel 30(2)(a) DORA nur eine vage Anforderung in Bezug auf Untervergabe („welche Bedingungen für diese Unterauftragsvergabe gelten“) stellt, führt die RTS Untervergabe eine erhebliche Anzahl eigenständiger und spezifischer Anforderungen ein, die aufgrund ihres Charakters als delegierte Rechtsakte in IKT-Vereinbarungen aufgenommen werden müssen.

Die Entwurfsversion der RTS Untervergabe vom 27. November 2023 enthielt bereits ungefähr 15 zusätzliche Anforderungen an IKT-Vereinbarungen. Die Änderungen zwischen diesem Entwurf und dem finalen Text sind jedoch erheblich. Um nur zwei bedeutende Änderungen hervorzuheben:

• Artikel 4 RTS Untervergabe: Es wurden mehrere Änderungen und Ergänzungen am Kernanforderungskatalog der RTS vorgenommen – beispielsweise eine neue Verpflichtung für IKT-Drittdienstleister, das Finanzunternehmen über wesentliche Änderungen bei Untervergaben zu informieren (Artikel 4(1)(j)), oder die explizite Aufnahme einer Bestimmung, die besagt, dass der IKT-Drittdienstleister weiterhin für die Erbringung der IKT-Dienstleistungen verantwortlich bleibt, einschließlich derer, die von Subunternehmern erbracht werden (Artikel 4(1)(a)).
• Artikel 5 RTS Untervergabe: Im Vergleich zur vorherigen Entwurfsversion wurden mehrere neue vertragliche Anforderungen hinzugefügt – zum Beispiel die Verpflichtung, die gesamte Kette der IKT-Subunternehmer zu identifizieren und auf dem neuesten Stand zu halten (Artikel 5(1)(a)/(b)), oder die Aufnahme von Elementen, die es dem Finanzunternehmen ermöglichen, die Risiken im Zusammenhang mit einer langen oder komplexen Subunternehmerkette besser zu bewerten und zu managen (Artikel 5(3)).

In ihrer finalen Version enthält die RTS Untervergabe nun ungefähr 22 Anforderungen, die in IKT-Vereinbarungen aufgenommen werden müssen. Dies beinhaltet die Hinzufügung von ungefähr sieben neuen Anforderungen und die Anpassung mehrerer anderer im Vergleich zum Entwurf. Dies bedeutet, dass die durch die RTS Untervergabe auferlegten Anforderungen nun die Anzahl der von DORA selbst auferlegten Anforderungen nahezu verdoppeln (von 25 auf 47).

Vergleich mit bestehenden Auslagerungsregulierungen

Die Bedeutung der RTS Untervergabe – und die im finalen Entwurf eingeführten Änderungen – wird noch deutlicher, wenn man sie mit bestehenden Auslagerungsregulierungen vergleicht, wie etwa den Leitlinien der Europäischen Bankenaufsichtsbehörde zu Auslagerungen („EBA Leitlinien“). Obwohl DORA und die EBA Leitlinien unterschiedliche Schwellen für die Anwendbarkeit haben (wobei die Schwelle für „IKT-Dienstleistungen“ bei DORA deutlich niedriger ist) und beide unterschiedliche Zielsetzungen verfolgen, gibt es einen erheblichen Überschneidungsbereich zwischen den vertraglichen Anforderungen der beiden Regelwerke, insbesondere da die EBA Leitlinien auch Aspekte der Cybersicherheit und Resilienz behandeln.

Für Finanzunternehmen oder IKT-Drittdienstleister, die bereits über einen vertraglichen Auslagerungsanhang verfügen, der alle Anforderungen der EBA Leitlinien abdeckt (bei IKT-Drittdienstleistern oft als „Financial Services Addendum“ bezeichnet), sind die meisten der 25 direkt aus DORA stammenden vertraglichen Anforderungen wahrscheinlich bereits berücksichtigt. Eine detaillierte Gap-Analyse zeigt in der Regel nur einen minimalen Überhang an Anforderungen, die durch DORA eingeführt werden und nicht bereits abgebildet sind – regelmäßig weniger als eine Handvoll zusätzlicher Verpflichtungen. Zum Beispiel die Verpflichtung, an den IKT-Sicherheitsprogrammen und Schulungen des Finanzunternehmens teilzunehmen, wie in Artikel 30(2)(i) DORA festgelegt; oder die Unterstützung, die dem Finanzunternehmen während IKT-Vorfällen zu leisten ist, wie in Artikel 30(2)(f) DORA festgelegt.

Diese Einschätzung ändert sich jedoch drastisch mit der Veröffentlichung des finalen Entwurfs der RTS Untervergabe. Während die EBA Leitlinien einige Anforderungen an Untervergaben enthalten (insbesondere in den Randziffern 76 bis 80), übertreffen die ungefähr 22 Anforderungen aus der RTS Untervergabe die Dichte dieser Regeln bei weitem. Infolgedessen hat sich der ursprünglich relativ überschaubare Überhang an DORA Anforderungen gegenüber den EBA Leitlinien bis Ende Juli in ein umfangreiches Set an Verpflichtungen verwandelt, die nun einer gesonderten vertraglichen Abbildung bedürfen.

Auswirkungen auf Finanzunternehmen und IKT-Drittdienstleister

Zum jetzigen Zeitpunkt haben sich nur wenige Finanzunternehmen oder IKT-Drittdienstleister noch nicht intensiv mit DORA auseinandergesetzt, die in nur sechs Monaten in Kraft treten wird. In vielen betroffenen Organisationen sind DORA Compliance-Projekte bereits in vollem Gange – dies umfasst nicht nur Anpassungen der internen Governance-Strukturen innerhalb von Finanzunternehmen, sondern auch die Überarbeitung von Standardvertragsvorlagen für neue Vereinbarungen und die Vorbereitung von Änderungsvereinbarungen, um bestehende Verträge DORA-konform zu gestalten. Mit der kürzlichen Veröffentlichung der finalen RTS Untervergabe müssen diese laufenden Projekte – insbesondere jene, die den früheren Entwurf des RTS Untervergabe bereits berücksichtigt haben – jedoch neu bewertet werden.

Jede der neuen Anforderungen aus der RTS Untervergabe muss sorgfältig geprüft werden, um festzustellen, ob sie bereits in bestehenden (Muster- oder Bestands-)Verträgen abgedeckt ist. Der Teufel steckt oft im Detail, da viele Anforderungen bereits grundsätzlich adressiert sein könnten, und es nun darauf ankommt, ob weitere Anpassungen erforderlich sind. Für völlig neue Anforderungen wird das Erstellen neuer Klauseln notwendig sein. Diese neuen Klauseln müssen spezifische Überlegungen einbeziehen, wie z.B. strategische Vertragsmanagementziele oder Vorgaben der bestehenden internen Governance der Organisation.

Mögliche Überlegungen umfassen unter anderem:

• Ein Finanzunternehmen muss möglicherweise berücksichtigen, dass ein (großer) IKT-Drittdienstleister möglicherweise nur einen vertraglichen DORA-Standard für alle Kunden nach dem Prinzip „take it or leave it“ anbietet.
• Umgekehrt müssen IKT-Drittdienstleister möglicherweise flexibel reagieren, wenn Finanzunternehmen darauf bestehen, ihren eigenen vorab festgelegten DORA-Standard für ihre zahlreichen IKT-Drittdienstleister durchzusetzen.
• In Verhandlungen müssen sowohl Finanzunternehmen als auch IKT-Dienstleister entscheiden, inwieweit sie bereit und in der Lage sind, den Forderungen der anderen Partei entgegenzukommen.

In jedem Fall ist es entscheidend, dass sowohl Finanzunternehmen als auch IKT-Drittdienstleister diese neuen Anforderungen mit einem ausgewogenen Blick angehen – und idealerweise mit ausreichender Erfahrung in der angrenzenden Auslagerungsregulierung. Das Ziel sollte ein maßgeschneiderter Kompromiss sein, der die Einhaltung regulatorischer Vorgaben und die Interessen der eigenen Organisation in Einklang bringt.