Der Digital Operational Resilience Act (DORA) etabliert ein sogenanntes Überwachungsrahmenwerk über kritische IKT-Drittdienstleister, nicht über alle IKT-Dienstleister. Vielmehr wird sich die Überwachung auf einzelne Dienstleister beschränken, die für die Resilienz des Finanzmarktes von besonderer Bedeutung sind, zum Beispiel, weil sie für Finanzunternehmen nur schwer ersetzbar sind oder eine Vielzahl von systemrelevanten Finanzunternehmen bedienen. Dabei ist die Überwachung klar von einer Aufsicht über Finanzunternehmen zu unterscheiden. Ebenso wie der Überwachungsbereich sind auch die aufsichtlichen Befugnisse beschränkt. So haben die Aufsichtsbehörden – anders als bei Finanzunternehmen – zum Beispiel keine Befugnis zur Abbestellung von Geschäftsleitern oder den Einsatz von Sonderbeauftragten.
Welche Befugnisse hat die Aufsicht gegenüber kritischen IKT-Drittdienstleistern?
Europäische Aufsichtsbehörden können unter anderem Informationen anfordern, Vor-Ort-Prüfungen durchführen und Empfehlungen aussprechen. Die Umsetzung der Empfehlung ist ratsam, wenn kritische IKT-Drittdienstleister weiterhin die Finanzunternehmen bedienen möchten. Andernfalls kann die Aufsicht von Finanzunternehmen verlangen, die Nutzung des kritischen IKT-Drittdienstleisters vorübergehend oder dauerhaft auszusetzen. Setzt der kritische IKT-Drittdienstleister Anordnungen der europäischen Aufsichtsbehörden nicht um, können diese auch Zwangsgelder verhängen und diese öffentlich machen. Diese Zwangsgelder können gerade bei Big-Techs schnell die Milliardengrenze erreichen. Auch können nicht umgesetzte Empfehlungen öffentlich gemacht werden. Sie können sich vorstellen, dass das nicht gerade positiv für die Reputation des Dienstleisters ist.
Müssen Finanzunternehmen künftig kritische IKT-Drittdienstleister nicht mehr überwachen, weil dies die europäischen Aufsichtsbehörden übernehmen?
Finanzunternehmen müssen die Nutzung von IKT-Drittdienstleistern mit Blick auf ihr eigenes Unternehmen stets überwachen. Die Überwachung von kritischen IKT-Drittdienstleistern durch die Aufsicht erfolgt hingegen mit Blick auf den gesamten Finanzmarkt. Daher entbindet die Überwachung eines als kritisch eingestuften IKT-Drittdienstleisters durch die Aufsicht die Finanzunternehmen nicht von ihren eigenen regulatorischen Verpflichtungen. Im Gegenteil: Finanzunternehmen bleiben vielmehr voll verantwortlich. Die Finanzunternehmen profitieren jedoch von der systemweiten Überwachung durch die Aufsicht – nämlich, indem sie beispielsweise die Übersicht über die nicht oder nicht vollständig umgesetzten Empfehlungen kritischer IKT-Drittdienstleister einsehen können.