Endgültige RTS zu Unteraufträgen gemäß DORA wurde veröffentlicht

Veröffentlicht

Jul 22 2025

Lesedauer

3 minutes

Geschrieben von

johannes wirtz Module
Johannes Wirtz, LL.M.

Partner
Deutschland

Als Partner in unserer Finance & Financial Regulation Gruppe in Frankfurt berate ich unsere nationalen und internationalen Mandanten in Fragen der Bankenregulierung und des Finanzrechts

pascal leitmann Module
Pascal Leitmann

Associate
Deutschland

Als Associate in unserer Finance & Financial Regulation Praxisgruppe berate ich nationale und internationale Mandanten in finanzaufsichtsrechtlichen Fragen und bei Fragen der Projektfinanzierung.

eleonora pavliouk Module
Eleonora Pavliouk

Senior Associate
Schweden

Verwandt

Rechtsbereiche

Trendthemen

Länder

Hintergrund

Der Entwurf der delegierten Verordnung über technische Regulierungsstandards für die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen („RTS“), wurde der Europäischen Kommission („EK“) am 17. Juli 2024 vorgelegt (wir haben darüber hier berichtet).

Die EK lehnte die Annahme der RTS mit der Begründung ab, dass die Bestimmungen in Artikel 5 des Entwurfs zur Überwachung von Unterauftragnehmern über die Befugnisse der ESA gemäß Artikel 30 Absatz 5 DORA hinausgingen. Die EK empfahl, Artikel 5 und den entsprechenden Erwägungsgrund 5 zu streichen, um die Übereinstimmung mit dem Mandat sicherzustellen. Daraufhin gaben die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die „ESAs“) am 7. März 2025 eine Stellungnahme zur Ablehnung des Entwurfs der RTS durch die EK ab, in der sie die Bewertung der EK anerkannten und bestätigten, dass die vorgeschlagenen Änderungen gewährleisten, dass der Entwurf der RTS mit dem in der DORA festgelegten Auftrag im Einklang steht. Aus diesem Grund empfahlen die ESAs keine weiteren Änderungen an den RTS zusätzlich zu den von der EK vorgeschlagenen Änderungen und forderten die EK auf, die Annahme der RTS ohne weitere Verzögerung in der den ESAs vorgelegten Form abzuschließen. Daraufhin verabschiedete die EK am 24. März 2025 einen entsprechenden Entwurf der RTS.

Am 2. Juli 2025 wurden die RTS im Amtsblatt unter dem Titel „Delegierte Verordnung (EU) 2025/532 der Kommission vom 24. März 2025 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss veröffentlicht. 

Wichtige Aspekte der RTS

Im Allgemeinen legen die RTS die Elemente fest, die von Finanzunternehmen bei der Vergabe von Unteraufträgen für Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zu bewerten sind. Die wichtigsten Aspekte sind: 

  • die Verhältnismäßigkeit der Anwendung der Vorschriften: Finanzunternehmen, einschließlich derjenigen innerhalb der Gruppe, müssen bei der Festlegung der Elemente, die ein Finanzunternehmen bei der Vergabe von IKT-Dienstleistungen an Dritte bestimmen und bewerten muss, deren Größe, Gesamtrisikoprofil und Art, Umfang, Elemente erhöhter oder verringerter Komplexität der Dienstleistungen, Tätigkeiten und Operationen, einschließlich bestimmter in Artikel 1 aufgeführter Elemente, berücksichtigen;
  • Sorgfaltspflicht und Risikobewertung: Die RTS legen das Verfahren für die Sorgfaltspflicht und die Risikobewertung bei Abschluss einer vertraglichen Vereinbarung mit einem IKT-TPSP fest. 
  • Bedingungen für die Vergabe von Unteraufträgen: Die RTS legen die Bedingungen fest, unter denen IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, an Unterauftragnehmer vergeben werden können.
  • Bedingungen für wesentliche Änderungen der Untervergabe: Die RTS regeln die Bedingungen für den Umgang mit Untervergabevereinbarungen.
  • Beendigung der vertraglichen Vereinbarungen: Die RTS legen fest, in welchen Fällen ein Finanzunternehmen die vertragliche Vereinbarung beenden kann. 

In der verabschiedeten Fassung der RTS wurde Artikel 5 im Wesentlichen gestrichen, was bedeutet, dass bestimmte Bestimmungen zur Untervergabe nicht mehr zwingend in die vertraglichen Vereinbarungen eines Finanzunternehmens mit einem externen IKT-Dienstleister („IKT-TPSP“) aufgenommen werden müssen, der kritische oder wichtige Funktionen des Finanzunternehmens unterstützt. Insbesondere ist es nicht zwingend erforderlich

  • die Lieferkette des Unterauftragnehmers in der vertraglichen Vereinbarung anzugeben und Verpflichtungen aufzunehmen, wonach die Lieferkette stets auf dem neuesten Stand gehalten werden muss, damit das Finanzunternehmen sein Informationsregister führen und aktualisieren kann, 
  • Verpflichtungen des ICT TPSP aufzunehmen, um die Überwachungsrechte des Finanzunternehmens sicherzustellen (bestimmte Überwachungspflichten bestehen jedoch weiterhin, siehe Artikel 4), 
  • Aufnahme von Verpflichtungen, die es dem Finanzunternehmen ermöglichen, vom IKT-TPSP Informationen über die Vertragsunterlagen zwischen dem IKT-TPSP und seinen Unterauftragnehmern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringen, zu erhalten. 

Dies ermöglicht es Finanzunternehmen, sich bis zu einem gewissen Grad von der Lieferkette zu distanzieren, jedoch bestehen weiterhin eine Reihe von Verpflichtungen. 

Nächste Schritte

Die RTS treten am 22. Juli 2025 in Kraft. 

Insights

Mehr
featured image

EU: Liste der Länder und Gebiete mit hohem Risiko für Geldwäsche und Terrorismusfinanzierung geändert

2 minutes Jul 22 2025

Mehr lesen
featured image

Deutschlands erste Entscheidung zur MiCAR: das VG Frankfurt zu Ethena

5 minutes Jul 14 2025

Mehr lesen
featured image

BFH: Wirtschaftliches Eigentum beim Aktienhandel um den Dividendenstichtag

4 minutes Jul 10 2025

Mehr lesen
Mehr