DORA RTS zum Subcontracting: Neue Pflichten für Finanzunternehmen 2025
Delegierte Verordnung (EU) 2025/532 - Kompletter Leitfaden für Führungskräfte
Management Summary
Die Delegierte Verordnung (EU) 2025/532 vervollständigt seit dem 02. Juli 2025 den Digital Operational Resilience Act:
Finanzunternehmen müssen komplette Transparenz über die gesamte IKT-Unterauftragskette herstellen, gruppenweite Subcontracting-Policies verankern und belastbare Exit-Szenarien testen. Schlüssel-KPIs sind ≥ 95 % End-to-End-Sicht auf kritische Services, quartalsweises Cloud-Risk-Review und SIEM-gestütztes Live-Monitoring. Eine sofortige Gap-Analyse, Vertrags-Updates und Dashboard-Rollout sichern Compliance, senken Third-Party-Risiken und stärken digitale Resilienz.
1. Was seit Jahresbeginn 2025 passiert ist
21. Januar 2025: Die EU-Kommission weist den ersten RTS-Entwurf der ESAs zurück, weil Teile zur Überwachung der IKT-Unterauftragskette ihre Befugnis überschritten hätten. Dies signalisiert, dass Brüssel überbordende Pflichten vermeiden wollte und Nachschärfungen verlangte.
24. März 2025: Überarbeitete Fassung des RTS als Delegierte Verordnung (EU) 2025/532 verabschiedet. Kernforderungen bleiben erhalten, aber die strittige „Artikel-5-Kettenkontrolle" wird gestrichen.
02. Juli 2025: Veröffentlichung im Amtsblatt (L 2025/532); 20 Tage später gilt der RTS unmittelbar. Dies markiert den Startschuss für Anpassungs-/Review-Projekte in allen Finanzunternehmen.
2. Die neuen Pflichten in Kurzform
Kernbestimmungen der Delegierten Verordnung (EU) 2025/532 zur Unterauftragsvergabe
Die neuen Regulierungsbestimmungen für Subcontracting etablieren ein umfassendes Regelwerk, das verschiedene Aspekte der Unterauftragsvergabe abdeckt. Der Grundsatz der Proportionalität steht dabei im Mittelpunkt, wonach Finanzinstitute den Risiko- und Komplexitätsgrad der gesamten Unterauftragskette in ihre Governance-Strukturen integrieren müssen. Hierbei sind insbesondere Faktoren wie Standort, Datenart, Kettenlänge und Gruppenkontext zu berücksichtigen.
Auf konzernweiter Ebene wird von Mutterunternehmen eine konsistente Subcontracting-Policy für alle Konzerngesellschaften gefordert, um einheitliche Standards zu gewährleisten. Diese gruppenweite Umsetzung soll Diskrepanzen zwischen verschiedenen Unternehmenseinheiten vermeiden und eine kohärente Risikostrategie sicherstellen.
Die Regulierung legt besonderen Wert auf präventive Maßnahmen durch umfassende Due-Diligence-Prozesse und Risikoanalysen. Verträge sind nur dann zulässig, wenn vorab nachgewiesen werden kann, dass Drittanbieter über die notwendigen Kapazitäten zur Auswahl und Überwachung von Subunternehmen verfügen. Gleichzeitig müssen Finanzunternehmen eigene Ressourcen für das Monitoring der Auftragsketten vorhalten und verschiedene Exit-Szenarien bewerten, die geopolitische Risiken, Konzentrationseffekte und Datenspeicherorte berücksichtigen.
Die vertraglichen Mindestanforderungen umfassen detaillierte Regelungen zu Überwachungspflichten, Standort-Risiken, der Weitergabe von Audit-Rechten sowie Exit-Klauseln bei Verstößen gegen die Risikotoleranz. Diese Bestimmungen sollen sicherstellen, dass Finanzinstitute auch in komplexen Auftragsketten ihre Kontroll- und Überwachungsfunktionen effektiv ausüben können.
Besondere Aufmerksamkeit gilt der Behandlung wesentlicher Änderungen in bestehenden Vertragsbeziehungen. Provider sind verpflichtet, geplante Änderungen frühzeitig zu melden, während Institute das Recht haben, diese abzulehnen. Diese Regelung wird durch weitreichende Kündigungsrechte ergänzt, die ein automatisches Sonderkündigungsrecht bei unerlaubter Weiterverlagerung oder bei wesentlichen Änderungen gegen den Willen des Instituts vorsehen.
Tabelle: Kernbestimmungen des DORA-RTS zum Subcontracting
3. Strategische Implikationen für das Top-Management
Lieferketten-Transparenz wird zum KPI
Ohne vollständige Sicht auf Fourth- und Fifth-Party-Provider kann keine DORA-Konformität nachgewiesen werden. CIOs sollten daher ein zentrales Subcontracting-Register im GRC- oder CMDB-System verankern.
Risikobasierte Provider-Diversifizierung
Vorstände müssen entscheiden, welche kritischen Funktionen nur von mehrfach getesteten Providern oder in Multi-Cloud-Architekturen betrieben werden dürfen, um Konzentrationsrisiken zu senken.
Vertragliche "Fail-Safe-Mechanismen"
Kündigungs- und Exit-Klauseln greifen jetzt tiefer. Procurement-Teams brauchen Templates, die Standort-/Jurisdiktions-Risiken, Datenportabilität und Business-Continuity-Pläne verpflichtend adressieren.
Board-Reporting & Metriken
- Anteil kritischer Services mit vollständiger Ketten-Sicht (≥ 95 %)
- Median-Zeit zwischen Provider-Änderungsankündigung und interner Risikoentscheidung
- Anzahl getesteter Exit-Szenarien pro Jahr
(Diese Metriken unterstützen eine faktenbasierte Diskussion, ohne haftungsrechtliche Aspekte zu berühren.)
4. Best-Practice-Maßnahmen (Quick Wins)
Sofort umsetzbare Maßnahmen für DORA-Compliance
Governance: Vorstandsbeschluss zu Zero-Blind-Spot-Policy: Keine kritische Funktion ohne 100 % Subcontracting-Transparenz. Nutzen: Klare Erwartung an alle Einheiten; erleichtert interne Audits.
Risikobewertung: Quarterly Cloud Dependency Review (IT + Risk + Legal) mit Scoring für Lock-In-, Geo- und Konzentrationsrisiken. Nutzen: Frühwarnsystem für monopolartige Abhängigkeiten.
Contract Management: Checkliste mit Pflichtklauseln (z.B. Audit-Rechte, Mitteilungsfristen, Daten-Standort, Exit-Testing, BCM-Verpflichtungen). Nutzen: Einheitliche Verhandlungsbasis; minimiert Nachverhandlungen.
Kontinuierliches Monitoring: SIEM-/SOAR-Integration von Provider-Telemetry; Auto-Ticket bei SLA-Verstoß. Nutzen: Echtzeit-Überwachung statt punktueller Audits.
Training & Awareness: „DORA-Bootcamp" für Einkaufs-, Legal- und TPRM-Teams; Fokus auf neue Kündigungs-Trigger. Nutzen: Beschleunigt Umsetzungs-Roadmap, verringert Fehlkonfigurationen.
Krisenübungen: Halbjährliche Exit-Drills mit Cloud-Anbietern (Daten-Portabilität, DNS-Umschaltung). Nutzen: Belegbare Resilienz gegenüber Aufsicht & Abschlussprüfern.
Hier finden Sie weitere Informationen, wie ADVISORI Sie im Bereich Third-Party Risk Management unterstützen kann.
5. Nächste Schritte bis Ende 2025
Implementierungs-Roadmap
- Gap-Analyse gegen RTS-Artikel 1–6
- Roadmap zur Anpassung von Verträgen & Registern
- Live-Schaltung Monitoring-Dashboard inkl. IKT-Unterauftragsketten-KPIs (Q4 2025)
- Board-Update über Fortschritt & Rest-Risiken in jeder Quartals-Sitzung
Fazit
Mit dieser strukturierten Vorgehensweise setzen Sie den neuen RTS nicht nur compliant, sondern auch effizient um – und schaffen gleichzeitig die Grundlage für eine robustere, datenbasierte Steuerung Ihres Third-Party Managements.
ADVISORI unterstützt Sie mit maßgeschneiderten Lösungen zum Third-Party Management unter DORA.
Bereit, Ihr Wissen in Aktion umzusetzen?
Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich DORA Third-Party Risk Management Ihr Projekt zum Erfolg führen kann.
Unverbindlich informieren & Potenziale entdecken.