Artikel 29 Vorläufige Bewertung des IKT-Konzentrationsrisikos auf Unternehmensebene

Summary What does Article 29 of the DORA regulation say?

This article extends the risk assessment obligations established in Article 28, focusing specifically on ICT concentration risk and the complexities of subcontracting chains.

It requires financial entities, when assessing a prospective ICT arrangement for critical or important functions, to consider whether that arrangement could create problematic dependencies — such as relying on a provider that cannot easily be replaced, or accumulating multiple arrangements with the same provider or closely connected providers.

The article then broadens its scope to address subcontracting scenarios, requiring financial entities to weigh the risks of further subcontracting, consider insolvency implications, and account for the additional complications that arise when providers or subcontractors are established in third countries.

Important points:

Assess whether a new ICT arrangement for critical or important functions would create concentration risk through non-substitutable or closely connected providers, and weigh the benefits and costs of alternative solutions.
Where subcontracting of critical or important functions is permitted, assess the risks of subcontracting chains — including third-country subcontractors — and consider the insolvency law provisions that would apply if the provider went bankrupt.
Where a provider supporting critical or important functions is established in a third country, also consider compliance with Union data protection rules and the effective enforcement of law in that country.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Bei der Ermittlung und Bewertung der in Artikel 28 Absatz 4 Buchstabe c genannten Risiken berücksichtigen Finanzunternehmen zudem, ob der geplante Abschluss einer vertraglichen Vereinbarung in Bezug auf IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, Folgendes herbeiführen würde:
  1. Verträge mit einem IKT-Drittdienstleister, der nicht ohne Weiteres ersetzbar ist; oder
  2. mehrfache vertragliche Vereinbarungen über die Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen mit demselben IKT-Drittdienstleister oder mit eng verbundenen IKT-Drittdienstleistern.
2. Finanzunternehmen wägen Nutzen und Kosten alternativer Lösungen ab, z. B. die Nutzung verschiedener IKT-Drittdienstleister, und berücksichtigen, ob und wie geplante Lösungen den geschäftlichen Erfordernissen und Zielen entsprechen, die in ihrer Strategie für digitale Resilienz festgelegt sind.
1. Ist in der vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen die Möglichkeit vorgesehen, dass ein IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion per Unterauftrag an andere IKT-Drittdienstleister vergibt, wägen Finanzunternehmen die Vorteile und Risiken ab, die im Zusammenhang mit einer solchen Unterauftragsvergabe entstehen können, insbesondere sofern der IKT-Unterauftragnehmer in einem Drittland niedergelassen ist.
2. Betreffen vertragliche Vereinbarungen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, berücksichtigen die Finanzunternehmen gebührend die Bestimmungen des Insolvenzrechts, die im Falle der Insolvenz des IKT-Drittdienstleisters anwendbar wären, sowie jede Einschränkung, die sich im Zusammenhang mit der dringenden Wiederherstellung der Daten des Finanzunternehmens ergeben könnte.
3. Werden mit einem IKT-Drittdienstleister mit Sitz in einem Drittland vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen geschlossen, so beachten Finanzunternehmen neben den in Unterabsatz 2 genannten Umständen auch, dass die Datenschutzvorschriften der Union eingehalten und die Rechtsvorschriften in diesem Drittland wirksam durchgesetzt werden.
4. Ist in den vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen die Unterauftragsvergabe vorgesehen, so bewerten die Finanzunternehmen, ob und wie sich potenziell lange oder komplexe Ketten der Unterauftragsvergabe auf ihre Fähigkeit auswirken können, die vertraglich vereinbarten Funktionen vollständig zu überwachen, und ob die zuständige Behörde in dieser Hinsicht in der Lage ist, das Finanzunternehmen wirksam zu beaufsichtigen.

Relevant recitals

Erwägungsgrund 62 Guiding rules for monitoring ICT third-party risk

Um eine solide Überwachung des IKT-Drittparteienrisikos im Finanzsektor zu gewährleisten, sind eine Reihe grundsatzbasierter Regeln festzulegen, um Finanzunternehmen bei der Überwachung der Risiken anzuleiten, die im Zusammenhang mit an IKT-Drittdienstleister ausgelagerten Funktionen — insbesondere mit IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen — sowie ganz allgemein im Zusammenhang mit jeglichen Abhängigkeiten von IKT-Drittdienstleistern entstehen.

Erwägungsgrund 66 Thorough pre-contracting analysis for ICT third-party services

Dem förmlichen Abschluss vertraglicher Vereinbarungen sollte eine gründliche Analyse vor Vertragsabschluss zugrunde liegen und diesem vorausgehen, insbesondere indem der Fokus auf Aspekte wie die Kritikalität oder Bedeutung der durch den geplanten IKT-Vertrag unterstützten Dienste, die erforderlichen aufsichtlichen Genehmigungen oder sonstigen Bedingungen, das damit verbundene mögliche Konzentrationsrisiko sowie die Anwendung der Sorgfaltspflicht bei der Auswahl und Bewertung von IKT-Drittdienstleistern gelegt wird, und indem potenzielle Interessenkonflikte bewertet werden. Betreffen vertragliche Vereinbarungen kritische oder wichtige Funktionen, so sollten Finanzunternehmen darauf achten, dass IKT-Drittdienstleister die aktuellsten und höchsten Standards für die Informationssicherheit anwenden. Die Kündigung vertraglicher Vereinbarungen könnte zumindest durch eine Reihe von Umständen ausgelöst werden, die Unzulänglichkeiten auf Ebene des IKT-Drittdienstleister erkennen lassen, insbesondere erhebliche Verstöße gegen Rechtsvorschriften oder Vertragsbestimmungen, Umstände, die auf eine potenzielle Änderung der Wahrnehmung der im Rahmen der vertraglichen Vereinbarung vorgesehenen Funktionen hindeuten, Hinweise auf Schwachstellen beim allgemeinen IKT-Risikomanagement des IKT-Drittdienstleisters oder Umstände, die darauf hinweisen, dass die jeweils zuständige Behörde nicht zu einer wirksamen Beaufsichtigung des Finanzunternehmens in der Lage sind.

Erwägungsgrund 67 Gradual approach to ICT third-party concentration risk

Um die systemischen Auswirkungen des Konzentrationsrisikos von IKT-Drittdienstleistern zu anzugehen, wird mit dieser Verordnung eine ausgewogene Lösung angestrebt, indem bei solchen Konzentrationsrisiken ein flexibler und schrittweiser Ansatz verfolgt wird, da jegliche vorgeschriebene starre Obergrenzen oder strenge Beschränkungen die Geschäftstätigkeit behindern und die Vertragsfreiheit beeinträchtigen können. Finanzunternehmen sollten ihre geplanten vertraglichen Vereinbarungen gründlich prüfen, um die Wahrscheinlichkeit des Auftretens eines solchen Risikos zu ermitteln, unter anderem durch fundierte Analysen von Unterauftragsvereinbarungen, insbesondere wenn diese mit IKT-Drittdienstleistern geschlossen werden, die in einem Drittland niedergelassen sind. Um ein ausgewogenes Verhältnis zwischen dem Sachzwang, zum einen die Vertragsfreiheit zu wahren und zum anderen die Finanzstabilität zu gewährleisten, wird es zum gegenwärtigen Zeitpunkt nicht als zweckmäßig erachtet, strenge Obergrenzen und Beschränkungen für die Exposition gegenüber IKT-Drittdienstleistern festzulegen. Was kritische IKT-Drittdienstleister anbelangt, so sollte eine nach dieser Verordnung ernannte federführende Überwachungsbehörde bei der Wahrnehmung ihrer Aufsichtsaufgaben im Kontext des Überwachungsrahmens besonders darauf achten, das Ausmaß der Interdependenzen voll zu erfassen, spezifische Fälle zu ermitteln, in deren Rahmen eine hohe Konzentration kritischer IKT-Drittdienstleister in der Union die Stabilität und Integrität des Finanzsystems der Union belasten dürfte, sowie einen Dialog mit kritischen IKT-Drittdienstleistern zu führen, bei denen dieses spezifische Risiko ermittelt wird.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.