Europäische Kommission lehnt DORA-RTS zur Unterauftragsvergabe ab

Hintergrund

Die europäische Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act – „DORA“) trat am 16. Januar 2023 in Kraft und findet seit dem 17. Januar 2025 Anwendung auf Finanzunternehmen. DORA überträgt den Europäischen Aufsichtsbehörden (European Supervisory Authorities – „ESAs“) die Aufgabe, mehrere Level-2-Rechtsakte (technische Regulierungs- und Durchführungsstandards (Regulatory Technical Standards – „RTS“) zu entwerfen.
Am 17. Juli 2024 übermittelten die ESAs der Europäischen Kommission einen Entwurf zur Spezifizierung von Elementen bei der Unterauftragsvergabe von kritischen oder wichtigen Funktionen („RTS zur Unterauftragsvergabe“). Diese sollten die Anforderungen festlegen, die ein Finanzunternehmen bei der Unterauftragsvergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss. 

Ablehnung durch die Europäische Kommission

Nach langen Diskussionen lehnte die Europäische Kommission den Entwurf des RTS zur Unterauftragsvergabe in einem Schreiben vom 21. Januar 2025 ab – vier Tage nachdem alle Finanzunternehmen die DORA-Vorgaben erfüllen mussten.
Als Hauptgrund für die Ablehnung nannte die Europäische Kommission, dass die Bestimmungen in Artikel 5 des RTS zur Unterauftragsvergabe über die in Artikel 30 Abs. 5 DORA vorgesehene Ermächtigung der ESAs hinausgehen. Insbesondere seien diese Anforderungen nicht direkt mit den Bedingungen der Unterauftragsvergabe verknüpft. Daher müsse Artikel 5 sowie der dazugehörige Erwägungsgrund 5 entfernt werden, um die Konformität mit der Ermächtigungsgrundlage sicherzustellen. Zudem enthalte der Entwurf gezielte redaktionelle Änderungen, die den Inhalt der Verordnung materiell nicht verändern, sondern lediglich deren Qualität verbessern.

Kritikpunkte der Kommission:

• Der Entwurf der RTS zu Unterauftragsvergabe überschreitet das in Artikel 30 Abs. 5 DORA festgelegte Mandat.
• Insbesondere die Bestimmungen über die Überwachung der Unterauftragsvergabekette fallen nicht in den Anwendungsbereich des Mandats.

Nächste Schritte

Die ESAs haben nun sechs Wochen Zeit, den Entwurf gemäß den Anforderungen der Europäischen Kommission zu überarbeiten und erneut einzureichen. Sollte der überarbeitete Entwurf nicht fristgerecht vorgelegt oder nicht entsprechend den geforderten Änderungen angepasst werden, kann die Europäische Kommission die RTS zur Unterauftragsvergabe mit eigenen Änderungen annehmen oder den Entwurf endgültig ablehnen.
IKT-Drittdienstleiter (ICT third-party service providers – „TPSPs“), die bereits Verträge auf Basis des veröffentlichten Entwurfs der RTS zu Unterauftragsvergabe abgeschlossen haben und Artikel 5 berücksichtigt haben, müssen nun die entsprechenden Verpflichtungen im Einklang mit der überarbeiteten RTS zur Unterauftragsvergabe zu korrigieren.
Für diejenigen, die bisher noch nicht aktiv geworden sind, dürfte es unbedenklich sein, die Anforderungen des RTS in der von der Europäischen Kommission vorgeschlagenen Form zu erfüllen und Artikel 5 außer Acht zu lassen, da es sehr wahrscheinlich ist, dass der überarbeitete Entwurf entsprechend den Kommentaren angepasst wird und Artikel 5 sowie der dazugehörige Erwägungsgrund 5 entfernt werden.

Mit freundlicher Unterstützung von Anna Maria Volz (Wissenschaftliche Mitarbeiterin, Frankfurt).