DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken

Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

[datensicherheit.de, 31.07.2025] IKT-Dienstleistungs-Lieferketten sind oft sehr komplex – eine Herausforderung für Finanzunternehmen, die unter DORA fallen, da eine adäquate Risikokontrolle anspruchsvoll ist. Aus diesem Grund legt die EU-Kommission auf knapp sieben Seiten in der sogenannten „delegierten Verordnung über technische Regulierungsstandards für die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen” – kurz RTS – dar, wie Finanzunternehmen mit ihren kritischen IKT-Dienstleistern und Unterdienstleistern umgehen müssen. Das am 2. Juli 2025 im Amtsblatt der Compliance AuditsEuropäischen Union veröffentlichte Dokument ist seit dem 22. Juli voll inkraftgetreten.
„Die Europäische Kommission erkennt an, dass Dienstleistungsketten im Bereich IKT schwer durchschaubar sein können. Für ein robustes Cyber-Resilienzniveau im Finanzsektor ist es jedoch unerlässlich, auch ausgelagerte kritische Funktionen und deren Risiken zu verstehen und zu steuern“, erklärt Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Die RTS bieten hierfür einen verbindlichen Rahmen, der durch Best Practices ergänzt werden sollte, insbesondere wenn Transparenz und vertragliche Klarheit in Lieferketten fehlen. TÜV SÜD unterstützt Finanzunternehmen bei der Risikobeurteilung und IKT-Dienstleister bei der Nachweiserbringung.“

Vorgaben für den durch DORA regulierten Bereich

Die wichtigsten Vorgaben im Überblick:

• Vertragliche Regelungen: Verträge spielen eine zentrale Rolle in der Umsetzung der DORA-Anforderungen. So sollten vertragliche Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern insbesondere Regelungen zur Planung und Genehmigung von Unterauftragsvereinbarungen, zur Durchführung von Risikobewertungen sowie zur Erfüllung der Sorgfaltspflichten enthalten. Zudem empfielt es sich vertraglich festzulegen, ob entweder der weitervergebene Dienstleister oder das Finanzunternehmen selbst, die Fachkenntnisse, die Organisationsstruktur und das Risikomanagement potenzieller Unterauftragnehmer bewerten kann.
• Leistungsüberwachung und Informationsweitergabe: Um Sicherheitsrisiken in mehrstufigen IT-Lieferketten frühzeitig zu erkennen und zu minimieren, sollten Finanzunternehmen Vorkehrungen treffen, um über alle relevanten Änderungen rechtzeitig informiert zu werden bevor diese wirksam werden. Das gilt besonders bei neuen Untervergaben oder wesentlicher Anpassung bestehender Vereinbarungen. Stellt sich dabei heraus, dass diese Änderungen die Risikotoleranz des Unternehmens überschreiten, sollten Unternehmen das Recht auf Kündigung oder Anpassung des Vertrages sichern.
• Risikobasierte Analyse und Steuerung: Wer kritische IT-Dienstleistungen auslagert, muss über ausreichende Fachkenntnisse, Ressourcen und interne Prozesse verfügen, um damit verbundene Risiken wirksam zu überwachen. Dazu zählen etwa Maßnahmen zur Informationssicherheit, Notfallmanagement und interne Kontrollmechanismen. Unternehmen müssen außerdem bewerten, welche Auswirkungen ein Ausfall eines IT- Unterauftragnehmers sowohl auf ihre digitale Stabilität als auch auf ihre finanzielle Lage hätte. Zudem ist zu prüfen, ob der Standort des Dienstleisters oder seiner Muttergesellschaft zusätzliche Risiken birgt, die in die Bewertung einbezogen werden sollten.
• Bedingungen für Untervergaben: IT-Drittdienstleister, die Aufträge weitervergeben, sind angehalten, die damit verbundenen Risikensorgfältig zu bewerten. Dazu gehört insbesondere eine Analyse der Standortbedingungen, der Konzernstrukturen sowie der tatsächlichen Erbringungsorte der Leistungen. Auch wenn nicht alle Aspekte zwingend vertraglich geregelt werden müssen, empfiehlt es sich, Klarheit über diese Risiken herzustellen und gegebenenfalls vertraglich abzusichern.

Zukünftig werden die zuständigen Aufsichtsbehörden die Prüfung und Bewertung von kritischen Drittanbietern unter anderem durch Risikoanalysen und Vor-Ort-Prüfungen koordinieren. Orientierung bietet der ebenfalls kürzlich veröffentlichte DORA Oversight Guide der Europäischen Aufsichtsbehörden. Das Dokument liefert eine praxisorientierte Übersicht über das Aufsichtsverfahren für kritische IKT-Drittdienstleister im Rahmen des Digital Operational Resilience Act (DORA).

Risk Assessments und Compliance Audits

Finanzunternehmen, die vor dem Hintergrund der neuesten EU-Veröffentlichungen ihre bestehenden Verträge und bisher ergriffenen Maßnahmen von einem neutralen Dritten überprüfen lassen möchten, können mithilfe von Compliance Audits durch TÜV SÜD mögliche Lücken in der Umsetzung der Verordnung aufdecken und einen klaren Fahrplan zu deren Schließung entwickeln.

„Wir helfen sowohl bei der Identifikation von Umsetzungs- oder Dokumentationslücken als auch bei der Entwicklung eines praxisnahen Maßnahmenplans“, so Skalt. „Auch IKT-Dienstleister von Finanzunternehmen, die künftig im Rahmen ihrer vertraglichen Pflichten gegenüber ihren Auftraggebern die Einhaltung bestimmter Vorgaben nachweisen müssen, kann TÜV SÜD mit Risk Assessments unterstützen.“

Weitere Informationen zum Thema:

TÜV SÜD
Digital Operational Resilience Act (DORA)

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen