Art. 6 Sorgfaltspflicht | RTS on ICT third-party service provider policy | DORA

This article sets out the due diligence requirements that must be embedded in the policy when selecting and assessing prospective ICT third-party service providers before entering into a contractual arrangement.

It builds directly on Article 5, which requires a risk assessment to be conducted before a contractual arrangement is concluded, and moves into the practical mechanics of vendor selection.

The article covers a broad range of assessment criteria, from the provider's technical capabilities, financial resources, and security standards, to considerations around sub-contracting, third-country data storage, audit access rights, and even ethical conduct.

It also requires the policy to define how the financial entity will achieve the necessary level of assurance over a provider's performance, drawing on a menu of tools such as audits, certifications, and third-party reports.

Important points:

Assess ICT third-party service providers against a comprehensive set of criteria before entering any contractual arrangement, covering capability, sub-contracting practices, third-country risks, audit rights, and ethical standards.
Define in the policy the required level of assurance over a provider's risk management framework, including an assessment of risk mitigation and business continuity measures.
Use one or more specified assurance tools — such as independent audits, third-party certifications, or provider-supplied reports — to validate ICT third-party service provider performance.

1. In der Leitlinie wird ein angemessenes und verhältnismäßiges Verfahren für die Auswahl und Bewertung der künftigen IKT-Drittdienstleister festgelegt, wobei zu berücksichtigen ist, ob es sich bei dem IKT-Drittdienstleister um einen gruppeninternen IKT-Dienstleister handelt, und verlangt wird, dass das Finanzunternehmen vor Abschluss einer vertraglichen Vereinbarung bewertet, ob der IKT-Drittdienstleister
  1. über die geschäftliche Reputation, hinreichende Fähigkeiten, Fachkenntnisse und angemessene finanzielle, personelle und technische Ressourcen, Informationssicherheitsstandards, eine angemessene Organisationsstruktur, ein angemessenes Risikomanagement und angemessene interne Kontrollen sowie gegebenenfalls über die erforderlichen Zulassungen oder Registrierungen verfügt, um die IKT-Dienstleistungen zur Unterstützung der kritischen oder wichtigen Funktion zuverlässig und professionell erbringen zu können;
  2. in der Lage ist, einschlägige technologische Entwicklungen zu überwachen und führende Praktiken im Bereich der IKT-Sicherheit zu ermitteln und sie gegebenenfalls zu implementieren, damit er über einen wirksamen und soliden Rahmen für die digitale operationale Resilienz verfügt;
  3. IKT-Unterauftragnehmer nutzt oder zu nutzen gedenkt, um IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon zu erbringen;
  4. in einem Drittstaat lokalisiert ist oder die Daten in einem Drittstaat verarbeitet oder speichert und, falls dies der Fall ist, ob diese Praxis die operationellen Risiken, Reputationsrisiken oder das Risiko erhöht, von restriktiven Maßnahmen, einschließlich Embargos und Sanktionen, betroffen zu sein, die sich auf die Fähigkeit des IKT-Drittdienstleisters, die IKT-Dienstleistungen zu erbringen, oder die Fähigkeit des Finanzunternehmens, diese IKT-Dienstleistungen zu empfangen, auswirken können;
  5. vertraglichen Vereinbarungen zustimmt, mit denen effektiv die Möglichkeit sichergestellt wird, dass das Finanzunternehmen selbst, beauftragte Dritte und zuständige Behörden Audits beim IKT-Drittdienstleister, auch in dessen Räumlichkeiten, durchführen;
  6. in ethischer und sozial verantwortlicher Weise handelt, die Menschenrechte und die Rechte des Kindes achtet, einschließlich des Verbots der Kinderarbeit, die geltenden Grundsätze des Umweltschutzes einhält und angemessene Arbeitsbedingungen gewährleistet.
1. In der Leitlinie wird festgelegt, welches Maß an Sicherheit hinsichtlich der Wirksamkeit des Risikomanagementrahmens von IKT-Drittdienstleistern für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von einem IKT-Drittdienstleister bereitgestellt werden sollen, gegeben sein muss. In der Leitlinie ist vorzusehen, dass im Rahmen des Verfahrens zur Erfüllung der Sorgfaltspflicht bewertet wird, ob Maßnahmen zur Risikominderung und zur Geschäftsfortführung bestehen und wie deren Funktionsfähigkeit innerhalb des IKT-Drittdienstleisters sichergestellt wird.
1. In der Leitlinie wird das Verfahren zur Erfüllung der Sorgfaltspflicht festgelegt, anhand dessen die künftigen IKT-Drittdienstleister ausgewählt und bewertet werden, und es wird angegeben, welche der folgenden Elemente mit Blick auf das erforderliche Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters zu berücksichtigen sind:
  1. Audits oder unabhängige Bewertungen, die vom Finanzunternehmen selbst oder in seinem Auftrag durchgeführt werden;
  2. Berichte über unabhängige Audits, die auf Verlangen des IKT-Drittdienstleisters erstellt werden;
  3. Auditberichte der internen Revisionsfunktion des IKT-Drittdienstleisters;
  4. geeignete Zertifizierungen Dritter;
  5. andere relevante Informationen, die dem Finanzunternehmen zur Verfügung stehen, oder andere vom IKT-Drittdienstleister bereitgestellte Informationen.
1. Die Finanzunternehmen gewährleisten unter Berücksichtigung der in Absatz 3 Buchstaben a bis e aufgeführten Elemente ein angemessenes Maß an Sicherheit für die Leistungsfähigkeit des IKT-Drittdienstleisters. Gegebenenfalls ist mehr als eines der unter diesen Buchstaben aufgeführten Elemente zu berücksichtigen.