e:ndlich e:ndlich
NEWS

Finale RTS zu DORA

Finale Regulatory Technical Standards (RTS) zu DORA: Klare Leitplanken für Subcontracting in Finanzunternehmen

– Bericht von e:ndlich Consultant Robin Haak
Lesezeit: ca. 7 Minuten

Wie behalten Finanzinstitute die Kontrolle, wenn ausgelagerte IT-Dienstleister selbst wieder Dienste weitervergeben?

Die EU hat nun das finale Regulatory Technical Standards (RTS) zu Subcontracting unter der Digital Operational Resilience Act (DORA) veröffentlicht und damit das letzte Puzzlestück für klare Regeln geliefert. Mit dem finalen RTS setzt DORA konsequent auf einen risikobasierten Ansatz und sorgt e:ndlich für mehr Klarheit für Finanzunternehmen, insbesondere zu Pflichten bei der Unterauftragsvergabe von kritischen IT-Services.
00

Wichtigste Inhalte der finalen RTS (Subcontracting nach DORA)

Due Diligence & Risikobewertung

Bevor ein Finanzinstitut einem ICT-Drittanbieter erlaubt, einen kritischen oder wichtigen ICT-Service an ein Subunternehmen zu vergeben, muss es umfassende Vorab-Prüfungen durchführen (Artikel 3). Konkret sind zahlreiche Faktoren zu bewerten, u.a. die Leistungsfähigkeit und Prozesse des Haupt-Dienstleisters zur Auswahl und Steuerung von Subunternehmen, Transparenz über die wichtigsten Subprovider-Kette, weitergereichte Audit- und Sicherheitsauflagen entlang der Kette, Standort-Risiken (In-/Außerhalb EU) sowie potenzielle Auswirkungen eines Sub-Ausfalls auf die Betriebsstabilität. Diese Art von Vor-Assessment soll sicherstellen, dass Sicherheitsziele auch in der tieferen Lieferkette erfüllt werden können.

Vertragsbedingungen & Flow-Down-Pflichten

Der Dienstleistervertrag muss genaue Regelungen enthalten, ob und unter welchen Bedingungen der Dienstleister kritische ICT-Leistungen überhaupt an Subunternehmer weitergeben darf (Artikel 4). Wichtig: Der Haupt-Dienstleister bleibt verantwortlich für die Erfüllung der Leistung, auch wenn Subunternehmen eingebunden sind. Er muss alle weiterbeauftragten Leistungen fortlaufend überwachen und sicherstellen, dass sämtliche regulatorischen Pflichten eingehalten werden. Vertraglich sind Pflichtklauseln vorgegeben, z.B. dass wesentliche Auflagen wie Audit/Rechtszugriffsrechte, kontinuierliches Monitoring, Notfallpläne und Sicherheitsstandards auch für Subdienstleister gelten. Damit soll dafür gesorgt werden, dass angesetzte Sicherheitsmaßstäbe durch die Lieferkette hinweg über die Drittpartei geltend gemacht werden können, was durch eine direkte Verpflichtung der Subdienstleister vom Finanzinstitut aus regulatorisch und praktisch nicht möglich wäre.

Umgang mit Änderungen & Kündigungsrechte

Das RTS regelt auch, was passiert, wenn sich die Subcontracting-Vereinbarungen ändern (Artikel 5). Führt der IT-Anbieter z.B. einen neuen Subdienstleister ein oder ändert sich ein wichtiger Subvertrag wesentlich, muss das Finanzinstitut frühzeitig informiert werden. Der Vertrag muss dem Finanzinstitut das Recht einräumen, geplante Änderungen innerhalb einer Frist zu prüfen und zu genehmigen oder abzulehnen. Überschreiten geplante Subcontracting-Änderungen die Risikotoleranz, kann das Finanzinstitut Veto einlegen und Anpassungen fordern. Zusätzlich erweitert das RTS die Kündigungsrechte: Wenn kritische Risiken nicht anders beherrschbar sind (etwa weil ein unerwünschter Subunternehmer nicht entfernt werden kann), muss eine vertragliche Austrittsmöglichkeit bestehen. All das stellt sicher, dass Finanzunternehmen notfalls aussteigen können, bevor ein untragbares Risiko Realität wird.

Unterschiede zum ursprünglichen Entwurf

Die finalen Standards weichen in einem wichtigen Punkt vom Entwurf ab

Die EU-Kommission hatte den ersten RTS-Entwurf zurückgewiesen, weil einige Vorgaben über das DORA-Mandat hinausgingen. Insbesondere eine ursprünglich geplante Pflicht, die gesamte Kette aller Subdienstleister laufend zu erfassen und zu überwachen, stieß auf breite Kritik – zu bürokratisch und unverhältnismäßig. Dieser umstrittene Passus (Entwurf-Art. 5 inkl. Recital 5) wurde im finalen RTS gestrichen. Der Anwendungsbereich wurde also etwas eingegrenzt, was von der Branche begrüßt wurde.

In Zahlen ausgedrückt

Das finale RTS hat es trotzdem in sich. Es enthält rund 22 zusätzliche vertragliche Anforderungen, womit sich die Zahl der konkreten Klauselvorgaben gegenüber dem DORA-Grundtext beinahe verdoppelt. Dieser Zuwachs zeigt, dass Finanzunternehmen deutlich nachbessern müssen, selbst wenn viele Anforderungen aus DORA (oder z.B. EBA-Outsourcing-Guidelines) teilweise schon bekannt waren.

22
zusätzliche vertragliche Anforderungen

Mein Fazit

Das finale Subcontracting-RTS unter DORA bringt dringend benötigte Klarheit für die Finanz-IT-Branche und bleibt dabei praxisnäher als der ursprüngliche Entwurf. Die Überarbeitung durch die EU-Kommission hat überzogene Bürokratiepflichten (wie die lückenlose Kettenüberwachung) herausgefiltert, ohne die Kernverantwortung der Finanzunternehmen zu verwässern. Das Resultat und die Wirkung sind klar: Auch in tief verzweigten Outsourcing-Ketten trägt das Finanzinstitut letztendlich die Verantwortung für die operative Resilienz. Entsprechend anspruchsvoll, aber jetzt konkreter, sind die Vorgaben, um diese Verantwortung wahrnehmen zu können.

Handlungsempfehlung

Das RTS tritt am 22. Juli 2025 in Kraft. Viel Zeit bleibt also nicht. Jetzt ist der richtige Zeitpunkt für Finanzunternehmen und Dienstleister, gemeinsam die Umsetzung anzugehen. So stellt man sicher, dass alle relevanten Prozesse und Verträge DORA-konform aufgestellt sind – bevor die ersten Audits anklopfen.

Die finalen Vorgaben zum Subcontracting nach DORA bieten nun einen konkreten Kriterienrahmen, anhand dessen bestehende Prozesse, Vertragsstrukturen und Kontrollmechanismen überprüft und angepasst werden können.

Konkrete Empfehlungen für die Umsetzung

1

Kriterienbasierte Gap Analyse

Nutzen Sie die im RTS definierten Prüfpunkte (z. B. Due-Diligence-Anforderungen, Flow-Down-Klauseln, Governance-Mechanismen) zur Bewertung bestehender Auslagerungsverhältnisse. Besonders dort, wo Subdienstleister involviert sind. Diese Anforderungen sollten als Grundlage für neue oder aktualisierte Anforderungskataloge, Vertrags-Playbooks und Prozessrichtlinien dienen.

2

Verantwortlichkeiten gezielt verteilen

Verankern Sie die regulatorischen Anforderungen entlang der bestehenden Linienorganisation.
Beispiel: Vertragsmanagement, Lieferantensteuerung, IT-Security, Risikomanagement und Compliance benötigen jeweils spezifisch zugeordnete Handlungsschritte. Die DORA-Vorgaben sollten an die richtigen Stellen im Unternehmen verteilt und dort operationalisiert werden.

3

Spezifische Anforderungen operationalisieren

Bestimmte Anforderungen – etwa aus den Bereichen Informationssicherheit, Zugriffskontrolle, Business Continuity oder Auditfähigkeit – lassen sich effizient über ergänzende Richtlinien, technische Sicherheitsvorgaben oder strukturierte Vertragsanhänge (Annexes) adressieren. Diese können als standardisierte Bausteine in die Vertragsgestaltung mit Drittanbietern eingebunden werden. Damit wird sichergestellt, dass regulatorische Detailanforderungen einheitlich und revisionssicher umgesetzt werden, ohne jedes Mal individuell verhandeln zu müssen. Auch die interne Konsistenz zwischen Policy, Vertrag und tatsächlicher Umsetzung wird so deutlich erhöht.

00
Robin Haak

Consultant für IT Service Management und Spezialist für regulatorische Compliance

Vielen Dank für das Interesse an diesem wichtigen Thema!
Für Fragen, weiterführende Einblicke oder einen fachlichen Austausch rund um die Umsetzung des RTS, DORA insgesamt oder angrenzende regulatorische Anforderungen stehen wir jederzeit gerne zur Verfügung.
Ob es um konkrete Unterstützung bei Prozessanalysen oder strategischer Implementierung geht. Wir sind bereit, partnerschaftlich zu begleiten.

Weitere Berichte, Case Studies und News!

Allgemein, DORA , , , , , Von Lea Wagenhäuser
Zurück zu News