Die Verordnung (EU) 2022/2554, auch bekannt als DORA, ist in Kraft getreten und stellt Finanzunternehmen vor neue Herausforderungen. Diese Verordnung zielt darauf ab, die Risiken zu minimieren, die aus der digitalen Transformation und der zunehmenden Vernetzung in der Finanz- und Versicherungsbranche resultieren. DORA legt den Fokus auf die Bewältigung von Bedrohungen wie Cyberangriffen und Betriebsunterbrechungen, um die operationale Resilienz zu stärken. Die Anforderungen, die DORA an Finanzunternehmen stellt, sind komplex und bringen einen erheblichen bürokratischen Aufwand mit sich. Dennoch fördert die Verordnung wichtige Mindeststandards im Bereich der digitalen operativen Resilienz. DORA wird durch technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) ergänzt, die von den Europäischen Aufsichtsbehörden ESA (EBA, EIOPA und ESMA) in Zusammenarbeit mit nationalen Aufsichtsbehörden entwickelt und von der Kommission erlassen werden. Viele dieser RTS sind bereits in Kraft getreten und bieten Finanzunternehmen konkrete Vorgaben zur Umsetzung der DORA-Anforderungen. Trotz der weitgehenden Anwendbarkeit von DORA und den RTS bleiben jedoch Unklarheiten in der Auslegung und Umsetzung im Einzelfall bestehen. Fehlende verbindliche Auslegungshinweise erschweren es den Finanzunternehmen, die zahlreichen neuen Pflichten zu erfüllen. In vielen Bereichen ist die Unsicherheit bei den Finanzunternehmen noch groß. Ein konkretes Beispiel für die bestehenden Schwierigkeiten, denen die Finanzunternehmen begegnen, findet sich bereits bei der vermeintlich simplen Aufgabe, ein Informationsregister zu erstellen, es korrekt auszufüllen und es sodann der BaFin rechtzeitig zur Verfügung zu stellen. Abseits der technischen Schwierigkeiten ist hier das größte Problem, dass die vorangestellte Frage beantwortet werden muss, ob eine Funktion, die von einem IKT-Drittdienstleister bereitgestellt wird, wichtig oder kritisch ist.
Wichtige oder kritische Funktion – Warum ist Einordnung praktisch relevant?
Was sind also kritische oder wichtige Funktionen im Sinne der DORA-Verordnung? Was eine Funktion im Sinne der DORA ist, definiert die Verordnung nicht. Möglicherweise hielt der europäische Gesetzgeber für selbstverständlich, was hiermit gemeint sein soll, und hat deshalb auf eine Definition verzichtet. Aus dem Kontext und den Zielsetzungen der Verordnung – nämlich die digitale operationale Resilienz des Geschäftsbetriebs zu stärken – lässt sich schließen, dass Funktionen im Sinne der DORA operative und geschäftliche Funktionen eines Finanzunternehmens meint. DORA definiert in Art. 3 Nr. 22 eine kritische oder wichtige Funktion als eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde. Kurzgesagt sind dies Funktionen, deren Ausfall eine erhebliche Beeinträchtigung verursachen würde in Bezug auf: die finanzielle Leistungsfähigkeit, die Geschäftsfortführung oder regulatorische Vorgaben. Praktische Relevanz erlangt die Einordnung für IKT-Drittdienstleister, die eine solche kritische oder wichtige Funktion bereitstellen oder wesentliche Teile davon unterstützen. Hier gelten unter anderem wesentlich umfangreichere Anforderungen an die Vertragsgestaltung. Außerdem muss für nicht-kritische Funktionen im Informationsregister nur der direkte IKT-Drittdienstleister angegeben werden. Bei kritischen oder wichtigen Funktionen sind hingegen auch alle Unterauftragnehmer in der IKT-Dienstleistungskette zu erfassen.
Das Informationsregister und erste Hinweise der BaFin
Nach Art. 28 Abs. 3 DORA müssen Finanzunternehmen ein Informationsregister (Register of Information, abgekürzt „RoI“) führen, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht. Das Register soll den zuständigen Behörden jährlich zur Verfügung gestellt werden. Initial sind die Register am 11. April 2025 bei der BaFin einzureichen. Die Anforderungen an die Informationsregister werden durch die Durchführungsverordnung (EU) 2024/2956 der Kommission (RTS RoI) festgelegt. Die BaFin hat am 6. März 2025 einen Workshop zur Einreichung der Informationsregister veranstaltet, um den betroffenen Finanzunternehmen Hinweise und Hilfestellungen zu geben. Die BaFin ist sichtlich bemüht, die Finanzunternehmen bei der Umsetzung der DORA zu unterstützen. Die Informationsregister müssen als strukturierte Datei nach der Taxonomie der ESAs erstellt werden. Dagegen stellt die BaFin eine Excel-Vorlage zur Verfügung und akzeptiert auch Register, die mit dieser Vorlage erstellt wurden. Um insbesondere kleineren Finanzunternehmen die Einreichung zu erleichtern, übernimmt die BaFin die Konvertierung der ausgefüllten Excel-Vorlagen ins Zielformat. Auch zu der Frage, wie festgestellt werden kann, ob ein Unterauftragnehmer in der IKT-Dienstleistungskette im Informationsregister zu erfassen ist, hat sich die BaFin in dem Workshop geäußert. Die BaFin hat hierfür drei Orientierungsfragen vorgeschlagen:
- Besteht eine direkte Abhängigkeit zwischen der IKT-Dienstleistung und dem Unterauftragnehmer?
- Stellt der Unterauftragnehmer die Erbringung wesentlicher Teile der IKT-Dienstleistung zur Unterstützung einer kritischen oder wichtigen Funktion sicher?
- Könnte eine Störung beim Unterauftragnehmer die Sicherheit oder Kontinuität der IKT-Dienstleistung beeinträchtigen?
Die BaFin wies auch darauf hin, dass das Proportionalitätsprinzip sowie ein risikobasierter Ansatz zu berücksichtigen sind. Die von der BaFin vorgeschlagene Auslegung soll vorbehaltlich späterer widersprechender Interpretationen durch die ESAs gelten. Trotz der vorgeschlagenen systematischen Fragen bleiben Unsicherheiten für Finanzunternehmen. Schließlich müssen diese im Einzelfall entscheiden, ob ein Unterauftragnehmer in der Kette der Subunternehmer noch aufzunehmen ist oder nicht. Allein der Aufwand, alle Subunternehmer in der Kette ausfindig zu machen, ist schon ein Kraftakt. Hinzu kommt dann noch eine Abwägung für jeden Unterauftragnehmer.
Rechtsanwalt Anton Schröder
Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.
Newsletter abonnieren-
Gelungener Booklaunch bei FIN LAW für das neue MiCAR Handbuch von Dr. Johannes Meier
Vorstellung des neuen MiCAR Handbuchs von Dr. Johannes Meier auf der Booklaunch Veranstaltung von FIN LAW. -
Die neue FIN LAW Website – Gewohnte Qualität im neuen Gewand
Wir freuen uns die neue Website von FIN LAW präsentieren zu können. Unsere Website ist nun schneller und moderner als jemals zuvor. -
Erneute WiWO Auszeichnung für Lutz Auffenberg und FIN LAW
Die WirtschaftsWoche (WiWO) zeichnet erneut Rechtsanwalt Lutz Auffenberg, LL.M. als Top Anwalt und FIN LAW als Top Kanzlei aus.
