DORA: BVI kritisiert zu hohe Hürden bei der Identifizierung kritischer IT-Dienstleister

Wir haben eine Stellungnahme an die europäischen Aufsichtsbehörden (ESAs) zum neuen EU-Regelwerk DORA (Digital Operational Resilience Act) abgegeben. Darin positionieren wir uns zu den Indikatoren, nach denen künftig kritische Anbieter von Informations- und Kommunikationstechnik (IKT) für eine weitere Überwachung auf EU-Ebene identifiziert werden sollen. Die ESAs hatten hierfür neue quantitative und qualitative Indikatoren nebst Mindest-Relevanzschwellen vorgeschlagen. Diese sollen auf Daten beruhen, die die europäischen Finanzunternehmen über ihre neu einzurichtenden Informationsregister erheben werden. Wir kritisieren diesen Ansatz, weil dies zu einem zusätzlichen Dokumentationsaufwand bei den Finanzunternehmen führen wird, der in der DORA-Verordnung nicht angelegt ist. Die Indikatoren sollten daher so einfach wie möglich gestaltet sein. 

Unabhängig davon sehen wir einen zeitlichen Konflikt: Geplant ist, dass die Finanzunternehmen die Inhalte der Informationsregister nur einmal jährlich an die Aufsichtsbehörden melden, d. h. frühestens im Verlaufe des Jahres 2025. Aber bereits Anfang 2025 sollen die kritischen Anbieter identifiziert sein. Wir fordern, dass dieser Konflikt nicht zu Lasten der Finanzunternehmen aufgelöst wird, indem diese die Informationen bereits früher an die Aufsichtsbehörden übermitteln müssen.

Inhaltlich halten wir es nicht für zielführend, die jährlichen Ausgaben oder geschätzten Kosten der vertraglichen Vereinbarungen mit den IKT-Anbietern als Indikator heranzuziehen. Daran lässt sich lediglich der Wert der Dienstleistung, jedoch nicht der Kostenaufwand für den möglichen Ausfall der Dienstleistung bewerten. Wir schlagen daher vor, den Fokus darauf zu setzen, ob die IKT-Dienstleistung, die kritische und wichtige Funktionen unterstützt, ersetzbar ist oder nicht. 

Unabhängig davon teilen wir die Einschätzung der ESAs, bei Verträgen von IKT-Anbietern mit Fondsgesellschaften nach Möglichkeit den Gesamtbetrag der verwalteten Vermögenswerte („assets under management“) statt den Gesamtwert ihres Vermögens („total value of their assets“) heranzuziehen. Der Wert sollte jedoch nur als allgemeine Schätzgröße dienen und um weitere qualitative Aspekte ergänzt werden. 

Die Frage, ob auch Untervergaben von Dienstleistungen („sub-contracting“) berücksichtigt werden sollen, sollten die ESAs nochmals umfassend prüfen und solange zurückstellen, bis die weiteren Level-2-Maßnahmen für die Finanzunternehmen dafür feststehen. In jedem Fall sollten Angaben zu den Untervergaben – wenn überhaupt – nur für solche Dienstleistungen herangezogen werden, die kritische und wichtige Funktionen bei den Finanzunternehmen unterstützen. 

Die ESAs müssen ihre Empfehlungen bis zum 30. September 2023 an die EU-Kommission übermitteln. Die delegierten Rechtsakte sollen dann bereits nach Annahme durch die EU-Kommission und Abstimmung mit dem EU-Parlament und dem Rat am 17. Juli 2024 erlassen werden.