Dienstleistungen der Informations- und Kommunikationstechnologie (IKT) werden im Finanzsektor mehr und mehr genutzt. Warum sind diese Dienste so wichtig? Dr.Sibel Kocatepe: IKT -Dienste sind im Finanzsektor mittlerweile unverzichtbar. Moderne Finanzdienstleistungen sind ohne sie kaum möglich. Die Finanzunternehmen nutzen eine Vielzahl solcher Dienste. Vor allem Cloud-Computing – beispielsweise in der Risikomodellierung, zur Kontrolle von Geldwäsche oder für Anwendungen Künstlicher Intelligenz. Beliebt sind auch spezialisierte Plattformen für den Zahlungsverkehr und Kernbanksysteme, also die zentralen IT -Anwendungspakete, die das Kerngeschäft einer Bank steuern. Dass IKT -Dienste so stark genutzt werden, überrascht uns nicht. Kosten- und Personalersparnisse spielen hier eine tragende Rolle, ebenso Sicherheitsaspekte. Es geht häufig aber auch um Skalierbarkeit: IKT -Dienste machen schnelles Wachstum möglich, da Ressourcen flexibel angepasst werden können. Und sie bereiten den schnellen Zugang zu Innovationen wie Künstlicher Intelligenz, was die Wettbewerbsfähigkeit steigert. Aber? Dr. Sibel Kocatepe: Es gibt in der Tat ein dickes Aber. In einigen Bereichen haben wir auf dem Markt eine kleine Zahl sehr großer IKT -Dienstleister, die nahezu den gesamten europäischen Finanzmarkt bedienen. Diese Anbieter sitzen oft in Staaten außerhalb der europäischen Union. Das macht es schwer, europäische Anforderungen umzusetzen. Alternativangebote sind schwer zu finden. Da entstehen Abhängigkeiten und Konzentrationen, die zum Risiko werden können. Das müssen wir als Aufsicht im Blick behalten. Im Sommer 2024 zeigte der Ausfall beimIKT-Dienstleister Crowdstrike, wie anfällig unser Finanzsystem sein kann. Welche Lehren zieht die Aufsicht daraus und wie sollDORAsolche Ausfälle verhindern? Jens Obermöller: Die Ereignisse im Sommer 2024 haben uns allen vor Augen geführt, wie verwundbar unser digitales Finanzsystem eigentlich ist. Unsere zentrale Lehre daraus: Die Konzentration auf wenige Anbieter auf der einen Seite und eine fragmentierte Wertschöpfungskette auf der anderen Seite erschweren die Kontrolle über kritische Prozesse. Und das birgt ein enormes Risiko. Zum Beispiel kann ein Vorfall bei einem systemrelevanten IT -Dienstleister einen Dominoeffekt auslösen, der den gesamten Finanzmarkt betrifft. Damals war die unmittelbare Relevanz für den Finanzmarkt vielleicht noch gering. Aber wir wissen: Das kann sich jederzeit ändern. Wir müssen uns auf einen echten systemischen Schock vorbereiten. Genau deshalb ist DORA so wichtig, der Digital Operational Resilience Act. Er soll die Widerstandsfähigkeit des Sektors ganz gezielt stärken. Dazu gehören mittelbar auch die kritischenIKT-Drittdienstleister, die genau wegen ihrer Systemrelevanz ebenfalls von der europäischen Verordnung betroffen sind. Was sind die zentralen Neuerungen vonDORAim Bereich derIKT-Drittdienstleister? Dr. Sibel Kocatepe: Wirft man in der DORA einen Blick in das Kapitel zum Drittparteienrisikomanagement, findet man dort nicht nur Aufgaben für die Finanzunternehmen. Auch die europäischen Aufsichtsbehörden sollen aktiv werden: Kritische IKT -Drittdienstleister sollen überwacht werden, um den europäischen Finanzmarkt resilienter zu machen. Dazu gehören beispielsweise führende Cloud-Hyperscaler, Softwarekonzerne, Telekommunikationsanbieter und Rechenzentrumsbetreiber. Der europäische Gesetzgeber legt den europäischen Aufsichtsbehörden damit eine zentrale Aufgabe als Drittparteienrisikomanager auf. In den vergangenen Jahren war der Fokus der Regulierung ein anderer. Da ging es vor allem um ein solides Drittparteienrisikomanagement der Finanzunternehmen. Das ist und bleibt auch richtig und wichtig. Aber es reicht nicht. Die europaweit, ja sogar weltweit zunehmende Konzentration auf wenige IKT -Dienstleister hat dazu geführt, dass wir als Aufseherinnen und Aufseher da selbst aktiv werden und die Dienstleister überwachen müssen. Das ist ein Paradigmenwechsel, denn diese systemrelevanten Akteure stehen dann unter unserer direkten Überwachung. Damit können wir als Aufsicht unserer makroprudenziellen Aufgabe besser nachkommen und die Stabilität des gesamten Finanzsystems sichern. Wir steuern damit Risiken, die nicht nur einzelne Finanzunternehmen bedrohen, sondern das gesamte System. Die Europäischen Aufsichtsbehörden haben gerade die Liste derIKT-Drittdienstleister veröffentlicht, die nachDORAals kritisch eingestuft werden. Wer sind diese Dienstleister und nach welchen Kriterien wurden sie als kritisch eingestuft? Jens Obermöller: Konkret handelt es sich um 19 kritischeIKT-Drittdienstleister, die ihren Sitz in Europa haben, aber auch in Drittstaaten wie den USA , Indien oder Japan. Das Angebot der Dienstleister ist vielfältig: Zum Beispiel Cloud-Lösungen, Telekommunikation, Software oder auch Datenanalyse. Bei allen handelt es sich um Dienstleister, die für den europäischen Finanzmarkt von systemischer Bedeutung sind. Im Kern wurden sie als kritisch eingestuft, weil sie von einer Vielzahl von Finanzunternehmen genutzt werden und eine bedeutende Relevanz für den europäischen Finanzmarkt haben. Viele europäische Finanzunternehmen sind bei kritischen oder wichtigen Funktionen von diesen IKT -Drittdienstleistern abhängig. Sie können die IKT -Dienstleistungen weder durch interne Lösungen ersetzen noch ohne Weiteres zu einem Alternativanbieter wechseln. Ein Ausfall dieser Dienstleister hat damit potentiell systemische Auswirkungen für die Stabilität des Finanzmarktes. Genau deshalb ist hier eine Überwachung erforderlich. Wer trifft im Einzelfall die Entscheidung über die Einstufung? Jens Obermöller: Die Federführung liegt bei den europäischen Aufsichtsbehörden, konkret der Europäischen Bankenaufsicht ( EBA ), der Europäischen Wertpapieraufsicht ( ESMA ) und der Europäische Aufsichtsbehörde für das Versicherungswesen ( EIOPA ). Sie treffen die Entscheidung. Aber sie treffen sie nicht allein. Beteiligt ist auch das Überwachungsforum, in dem ich die BaFin vertrete. Dort haben wir die Einstufung der Dienstleister erwogen und den drei Aufsichtsbehörden empfohlen. Das Überwachungsforum dient als zentrales Steuerungsgremium. Neben Vertreterinnen und Vertretern der europäischen Behörden sind dort auch alle zuständigen nationalen Behörden vertreten. Auf diese Weise sind wir eng in alle bedeutenden Entscheidungen zur Überwachung der kritischen Dienstleister involviert. Was bedeutet diese direkte Überwachung für die Anbieter selbst? Dr. Sibel Kocatepe: Wie gesagt: Die direkte Überwachung international agierender Unternehmen ist ein Paradigmenwechsel. Für uns, aber natürlich auch für die betroffenen kritischen IKT -Drittdienstleister. Es bricht eine neue Ära der Regulierung an. In Deutschland überwachen wir unsere nationalen IKT -Dienstleister schon seit einigen Jahren. Jetzt gehen wir einen Schritt weiter und arbeiten mit den europäischen Kolleginnen und Kollegen koordiniert zusammen. Es werden europaweite Überwachungsteams gebildet, die unter der Leitung einer der Europäischen Aufsichtsbehörden stehen und von Kolleginnen und Kollegen aus den nationalen Mitgliedstaaten besetzt werden. Die BaFin gehört auch dazu. Diese Teams erstellen detaillierte Überwachungspläne. Darin legen sie fest, welche Bereiche des kritischen IKT -Drittdienstleisters wie oft und wie intensiv geprüft werden, welche Dokumentationen bereitgestellt werden müssen und welche Tests durchgeführt werden. Jens Obermöller: Das ist ein wichtiger Schritt, der unseren bisherigen nationalen Überwachungsansatz sehr gut ergänzt. Denn bei großen, international agierenden Dienstleistern ist es wichtig, dass die Aufsichtsbehörden in Europa Ressourcen und Expertise bündeln. Nur so können wir vertiefte Einblicke in die europaweit systemrelevanten Dienstleister erhalten. So können wir Schwachstellen, operative Fehler oder Konzentrationsrisiken, die den gesamten Finanzmarkt betreffen, viel früher erkennen und die Finanzunternehmen darauf hinweisen. Und wir können aktiv auf den Dienstleister einwirken, um Risiken zu minimieren. Das kann bedeuten, dass Anbieter ihre Prozesse anpassen, ihre Resilienz verbessern oder redundante Kapazitäten aufbauen müssen. Wie stark sind die gemeinsamen Untersuchungsteams? Dr. Sibel Kocatepe: Die Europäischen Aufsichtsbehörden, die die Überwachungsteams koordinieren, haben weitreichende Befugnisse. Sie können umfassende Informationen anfordern, aber auch Vor-Ort-Prüfungen und allgemeine Untersuchungen zu speziellen Themen durchführen. Wenn ein kritischer IKT -Drittdienstleister dabei nicht kooperiert, können sie seine Mitwirkung erzwingen. Und zwar mit einem Zwangsgeld von bis zu einem Prozent des weltweiten täglichen Umsatzes. Pro Tag. Und für bis zu 180 Tage. Gerade bei Big Techs kann da schnell die Milliardengrenze überschritten werden. Diese Summe sollte auch große Konzerne zur Mitwirkung bewegen. Und genau darauf kommt es an. Identifizieren wir bei den Überwachungstätigkeiten Risiken bei einem kritischen IKT -Drittdienstleister, können die europäischen Aufsichtsbehörden auch eine Empfehlung aussprechen. Sie können zum Beispiel sagen: Ihr solltet Eure Prozesse zu spezifischen IKT -Sicherheits- und Qualitätsanforderungen verbessern. Die zuständigen Behörden kommunizieren diese Empfehlungen auch an die Finanzunternehmen. Denn die müssen mit diesen Risiken umgehen. Was passiert, wenn ein kritischer ITK-Drittdienstleister den Empfehlungen nicht nachkommt? Jens Obermöller: Wir gehen davon aus, dass das nicht der Regelfall sein wird. Sollte es doch dazu kommen, dass ein kritischer IKT -Drittdienstleister den Empfehlungen nicht folgt oder gar nicht darauf reagiert, können ihm empfindliche Konsequenzen drohen: Die europäischen Aufsichtsbehörden haben die Möglichkeit, dies auf ihren Internetseiten zu veröffentlichen. Eine solche Veröffentlichung ist nach unserer Erfahrung die schmerzlichste Konsequenz. Denn sie geht mit Reputationsverlust einher und kann sich negativ auf das Unternehmen auswirken. Was bedeutet diese direkte Überwachung für die Finanzunternehmen, die diese Dienste nutzen? Jens Obermöller: Mit der direkten Überwachung der kritischen IKT -Drittdienstleister durch uns unterstützen wir die Finanzunternehmen beim Drittparteienrisikomanagement. Wir entlassen sie damit aber keineswegs aus ihrer Verantwortung. Man kann sagen, dass wir den gesamten Finanzmarkt im Blick haben und die Finanzunternehmen ihre eigenen Risiken managen müssen. DORA setzt da mit neuen, strengeren Anforderungen an: Die Finanzunternehmen müssen weiterhin genau prüfen, mit wem sie zusammenarbeiten, und ihre Risiken identifizieren. Und sie müssen diese Risiken mit den passenden Maßnahmen mindern. Das kann im Worst Case auch mal bedeuten, dass sie die Zusammenarbeit mit einem Dienstleister beenden müssen. Finanzunternehmen müssen gerade bei kritischen Prozessen unternehmensinterne Konzentrationen im Blick behalten und sie gegebenenfalls abbauen. Sie sollen schauen, ob sie mit einzelnen IKT -Dienstleistern eine große Anzahl von Verträgen geschlossen haben. Kann dieser Anbieter nur schwer ersetzt werden, ist das ein Risiko. Das ist unabhängig davon, ob noch weitere Finanzunternehmen von diesem Dienstleister abhängig sind. Bestehen keine Alternativen und können die Finanzunternehmen die Dienstleistung auch nicht selbst erbringen, müssen sie Maßnahmen ergreifen, um das Risiko zu mindern. Sie müssen dafür sorgen, dass sie ihr Geschäft im Ernstfall fortführen können. Finanzdienstleistungen ohne externeIT-Dienstleister sind heute kaum noch denkbar. Wie nutzen wir die Chancen der Digitalisierung, ohne die Finanzstabilität zu gefährden? Jens Obermöller: Der Schlüssel liegt in einem risikobewussten Umgang mit neuen Technologien. Es klingt banal, aber es ist exakt so: Wir müssen die Vorteile der Digitalisierung nutzen, ohne die Risiken aus dem Blick zu verlieren. Es geht also nicht um Verhinderung, sondern um Risikobewusstsein. Wir müssen die Risiken, die mit der Nutzung von neuen Technologien einhergehen, kennen und managen. Dazu will DORA die Finanzunternehmen befähigen. Dr. Sibel Kocatepe: Die Herausforderung geht über den Finanzmarkt hinaus und betrifft im Prinzip alle Unternehmen in ganz Europa und darüber hinaus. Daher ist ein koordiniertes Vorgehen auf nationaler und europäischer Ebene erforderlich, um die digitale Resilienz des gesamten Systems zu gewährleisten. Wir tauschen uns deshalb in europäischen und internationalen Arbeitsgruppen zu diesen Themen aus und entwickeln gemeinsame Strategien. Aber auch in Deutschland brauchen wir ein gemeinsames Verständnis und einen einheitlichen Ansatz im Umgang mit den Risiken neuer Technologien. Mit dem Digital Cluster Bonn haben wir ein Format, das wir dazu bereits erfolgreich nutzen. FrauDr.Kocatepe, Herr Obermöller, vielen Dank für das Gespräch!