Compliance-Lexikon · DORA
DORA Subunternehmer
auch: Sub-Outsourcing nach DORA
DORA Subunternehmer bezeichnet die Anforderung an Finanzunternehmen, die gesamte Subunternehmerkette ihrer IKT-Drittanbieter transparent zu machen und zu genehmigen - insbesondere bei kritischen Funktionen, bei denen jede Weitervergabe an Subunternehmer dem Finanzunternehmen offengelegt und vertraglich kontrolliert werden muss.
Warum Subunternehmerketten ein unterschaetztes Risiko sind
Ein scheinbar gut gemanagter IKT-Dienstleister kann seinerseits kritische Funktionen an Subunternehmer weitergeben - oft ohne dass das Finanzunternehmen vollstaendige Transparenz hat. DORA verlangt deshalb explizit, dass Vertraege mit IKT-Drittanbietern Regelungen zur Transparenz und Genehmigungspflicht von Sub-Outsourcing enthalten, besonders bei kritischen oder wichtigen Funktionen.
Wo Subunternehmer-Transparenz gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 30 Abs. 2 | Vertragliche Mindestanforderungen zu Subunternehmern bei kritischen oder wichtigen Funktionen. |
| DORA | Art. 28 Abs. 3 | Register-Pflicht umfasst auch Subunternehmer und deren Standorte. |
| EBA/ESMA/EIOPA | RTS Art. 30 | Technische Regulierungsstandards mit detaillierten Anforderungen an Sub-Outsourcing-Klauseln. |
| DORA | Art. 28 Abs. 2 | Konzentrationsrisikobewertung muss Subunternehmerketten einbeziehen. |
| BaFin BAIT | Kap. AT 9 | Vergleichbare nationale Anforderungen an die Transparenz von Unterauslagerungsketten. |
BAM-Objektreferenz
Haeufige Fehler
- Bestehende Vertraege enthalten keine Subunternehmer-Transparenzklauseln
- Keine systematische Nachverfolgung der gesamten Subunternehmerkette
- Genehmigungsprozess fuer neue Subunternehmer nicht definiert
- Konzentrationsrisiko durch gemeinsame Subunternehmer mehrerer Hauptdienstleister nicht erkannt
Vertragsgestaltung fuer Subunternehmer-Transparenz
Vertraege mit kritischen IKT-Dienstleistern sollten vorsehen: Pflicht zur vorherigen Information ueber geplante Sub-Outsourcing-Vereinbarungen, Widerspruchsrecht des Finanzunternehmens bei kritischen Funktionen, vollstaendige Offenlegung der Subunternehmerkette im DORA-Register und regelmaessige Aktualisierung bei Aenderungen. Diese Anforderungen muessen bei Vertragsneuverhandlungen systematisch eingefordert werden.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DORA-Lieferkettenbereitschaft.