Frage
Stehen IKT-Drittdienstleister durch DORA künftig unter der Finanzdienstleistungsaufsicht?
Antwort
Kritische IKT-Drittdienstleister unterstehen der Überwachung europäischer Aufsichtsbehörden. Die Überwachung beschränkt sich auf IKT-Risiken gemäß DORA, nicht das gesamte Unternehmen.
To-Dos
Finanzunternehmen müssen weiterhin ihre IKT-Drittparteienrisiken selbstständig überwachen und sicherstellen, dass die regulatorischen Anforderungen erfüllt sind.
Frage
Wieso hat die EU eine Überwachung von kritischen IKT-Drittdienstleistern etabliert?
Antwort
Einheitliche Regeln zur Reduktion systemischer Risiken und Konzentrationsrisiken grenzüberschreitend tätiger IKT-Drittdienstleister im europäischen Finanzmarkt.
To-Dos
Finanzunternehmen sollten sicherstellen, dass Verträge mit Drittanbietern klare Regelungen zur Einhaltung der IKT-Risiken enthalten.
Frage
Welche Rechte erhalten Aufsichtsbehörden bei der Überwachung?
Antwort
Rechte umfassen u.a. die Anforderung von Informationen, Durchführung von Prüfungen, Abgabe von Empfehlungen und, als Ultima Ratio, die Forderung nach Aussetzung von Dienstleistungen.
To-Dos
Finanzunternehmen sollten regelmäßige Compliance-Prüfungen durchführen und Empfehlungen der Aufsichtsbehörden zur Risikominderung beachten.
Frage
Müssen Finanzunternehmen kritische IKT-Drittdienstleister weiterhin selbst prüfen?
Antwort
Ja, Finanzunternehmen bleiben verantwortlich für das Management der IKT-Drittparteienrisiken. Die Aufsicht berücksichtigt jedoch auch systemische Risiken.
To-Dos
Eigenständige Prüfung von Drittanbietern bleibt Pflicht; regelmäßige Überprüfung der Umsetzung regulatorischer Anforderungen ist notwendig.
Frage
Werden Unternehmen als kritische IKT-Drittdienstleister überwacht, weil sie negativ auffielen?
Antwort
Nein, die Einstufung basiert auf der systemischen Bedeutung und der Abhängigkeit der Finanzunternehmen. Erfahrungen der Aufsicht mit dem Dienstleister spielen keine Rolle.
To-Dos
Finanzunternehmen sollten prüfen, ob ihre Dienstleister Kriterien erfüllen, die eine Einstufung als kritisch rechtfertigen könnten.
Frage
Werden Cloud-Dienstleister künftig als kritische IKT-Drittdienstleister überwacht?
Antwort
Die Einstufung als kritisch hängt von systemischer Bedeutung und Abhängigkeiten ab. Eine Entscheidung erfolgt fallweise, basierend auf den Informationsregistern der Finanzunternehmen.
To-Dos
Cloud-Dienstleister-Verträge regelmäßig prüfen und sicherstellen, dass sie den Anforderungen der DORA entsprechen.
Frage
Wer trägt die Kosten für die Überwachung kritischer IKT-Drittdienstleister?
Antwort
Die Kosten werden von den kritischen IKT-Drittdienstleistern selbst getragen, nicht von Finanzunternehmen.
To-Dos
Finanzunternehmen sollten Verträge überprüfen, ob Dienstleister Überwachungskosten weiterreichen.
Frage
Was geschieht, wenn ein kritischer IKT-Drittdienstleister keine Tochtergesellschaft in der EU gründet?
Antwort
Kritische IKT-Drittdienstleister müssen binnen 12 Monaten eine EU-Tochter gründen. Bei Nichteinhaltung dürfen Finanzunternehmen keine Dienste mehr von diesen Anbietern beziehen.
To-Dos
Finanzunternehmen müssen sicherstellen, dass Vertragsverhältnisse beendet werden, falls die Anforderungen durch den Dienstleister nicht erfüllt werden.
Frage
Wie erfahre ich von Empfehlungen der Aufsicht an meinen IKT-Drittdienstleister?
Antwort
Nationale Behörden informieren Finanzunternehmen über Empfehlungen, die an kritische IKT-Drittdienstleister gerichtet sind, mit denen sie in Vertragsverhältnissen stehen.
To-Dos
Empfehlungen der Aufsicht prüfen und in das eigene Risikomanagement einbinden.
Frage
Müssen alle IKT-Drittdienstleister in der EU eine Niederlassung haben?
Antwort
Nein, nur kritische IKT-Drittdienstleister müssen innerhalb von 12 Monaten nach Einstufung eine Niederlassung in der EU gründen.
To-Dos
Sicherstellen, dass alle kritischen Anbieter mit EU-Niederlassung Verträge eingehalten werden.
Frage
Haben kritische IKT-Drittdienstleister zusätzliche Anforderungen an Verträge?
Antwort
Finanzunternehmen müssen sicherstellen, dass alle Vertragsbestandteile, die für kritische Funktionen erforderlich sind, gemäß DORA spezifiziert sind.
To-Dos
Verträge prüfen und gegebenenfalls anpassen, um DORA-Anforderungen zu erfüllen.
Frage
Wie oft erfolgt die Einstufung eines kritischen IKT-Drittdienstleisters?
Antwort
Jährliche Prüfung der Kriterien anhand der Informationsregister der Finanzunternehmen. Änderungen können dazu führen, dass Anbieter hinzugefügt oder entfernt werden.
To-Dos
Regelmäßige Aktualisierung der Informationsregister und Überprüfung auf Änderungen der Einstufung.