Art. 3 Governance-Regelungen | RTS on ICT third-party service provider policy | DORA

Article 3 is a substantive and detailed article that sets out the core content requirements for the policy introduced in Article 1.

It covers the governance, maintenance, and structural obligations that the policy must embed, spanning everything from how the policy is kept current, to how responsibilities are assigned internally, to how contractual arrangements with ICT third-party service providers must align with DORA's broader framework.

A key theme running throughout is accountability: the management body owns the policy, senior management is named as responsible for oversight, and the financial entity retains ultimate responsibility regardless of what is outsourced.

Important points:

Ensure your policy is reviewed by the management body at least once a year, updated where necessary, and that any changes are implemented in a timely manner with a documented timeline.
Embed clear internal governance into the policy, including named senior management responsibility for monitoring contractual arrangements, defined reporting lines to the management body, and assigned responsibilities for approval, management, control, and documentation.
Contractual arrangements with ICT third-party service providers must not relieve the financial entity of its regulatory obligations, must not obstruct supervisory access, and must align with DORA's ICT risk management, information security, business continuity, and incident reporting requirements.

1. Das Leitungsorgan überprüft die Leitlinie mindestens einmal jährlich und aktualisiert sie erforderlichenfalls. Die an der Leitlinie vorgenommenen Änderungen werden zeitnah und sobald dies im Rahmen der einschlägigen vertraglichen Vereinbarungen möglich ist umgesetzt. Das Finanzunternehmen dokumentiert den geplanten zeitlichen Ablauf der Umsetzung.
1. In der Leitlinie wird eine Methode festgelegt, mit der bestimmt wird, welche IKT-Dienstleistungen kritische oder wichtige Funktionen unterstützen, oder es wird auf eine solche Methode verwiesen. In der Leitlinie ist auch anzugeben, wann eine solche Bewertung vorgenommen und überprüft werden soll.
1. In der Leitlinie werden die internen Zuständigkeiten für die Genehmigung, das Management, die Kontrolle und die Dokumentation einschlägiger vertraglicher Vereinbarungen eindeutig zugewiesen, und es wird sichergestellt, dass innerhalb des Finanzunternehmens angemessene Fähigkeiten, Erfahrung und Kenntnisse aufrechterhalten werden, damit die einschlägigen vertraglichen Vereinbarungen, einschließlich der im Rahmen dieser Vereinbarungen erbrachten IKT-Dienstleistungen, wirksam überwacht werden können.
1. Unbeschadet der letztlichen Verantwortung des Finanzunternehmens für die wirksame Beaufsichtigung der einschlägigen vertraglichen Vereinbarungen wird in der Leitlinie vorgeschrieben, dass der IKT-Drittdienstleister laut der Bewertung über ausreichende Ressourcen verfügen muss, um sicherzustellen, dass das Finanzunternehmen alle seine rechtlichen und regulatorischen Anforderungen hinsichtlich der zur Unterstützung kritischer oder wichtiger Funktionen bereitgestellten IKT-Dienstleistungen erfüllt.
1. In der Leitlinie wird eindeutig angegeben, bei welcher Funktion oder bei welchem Mitglied der Geschäftsleitung die Zuständigkeit für die Überwachung der einschlägigen vertraglichen Vereinbarungen liegt. In der Leitlinie wird festgelegt, wie diese Funktion oder dieses Mitglied der Geschäftsleitung mit den Kontrollfunktionen zusammenarbeitet, es sei denn, die Funktion oder das Mitglied ist Teil der Kontrollfunktionen, und es werden die Berichtspflichten gegenüber dem Leitungsorgan festgelegt, einschließlich der Art der zu meldenden Informationen und der vorzulegenden Dokumentation. Darüber hinaus wird festgelegt, wie häufig diese Berichterstattung erfolgt.
1. Die Leitlinie gewährleistet, dass die vertraglichen Vereinbarungen mit Folgendem im Einklang stehen:
  1. dem in Artikel 6 der Verordnung (EU) 2022/2554 genannten IKT-Risikomanagementrahmen;
  2. der in Artikel 9 Absatz 4 der Verordnung (EU) 2022/2554 genannten Informationssicherheitsleitlinie;
  3. der in Artikel 11 der Verordnung (EU) 2022/2554 genannten IKT-Geschäftsfortführungsleitlinie;
  4. den in Artikel 19 der Verordnung (EU) 2022/2554 festgelegten Anforderungen für die Meldung von Vorfällen.
1. In der Leitlinie ist vorzusehen, dass IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden, einer unabhängigen Überprüfung unterzogen und in den Auditplan aufgenommen werden.
1. In der Leitlinie ist ausdrücklich festzulegen, dass die vertraglichen Vereinbarungen
  1. das Finanzunternehmen und sein Leitungsorgan nicht von ihren aufsichtlichen Pflichten und Verantwortlichkeiten gegenüber ihren Kunden entbinden;
  2. die wirksame Beaufsichtigung eines Finanzunternehmens nicht verhindern und nicht gegen aufsichtliche Einschränkungen für Dienstleistungen und Tätigkeiten verstoßen dürfen;
  3. vorschreiben müssen, dass die IKT-Drittdienstleister mit den zuständigen Behörden zusammenarbeiten;
  4. vorschreiben müssen, dass das Finanzunternehmen, seine Revisoren und die zuständigen Behörden wirksam Zugang zu Daten und Räumlichkeiten haben müssen, die mit der Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen zusammenhängen.