Datum: 01.02.2024Werden Unternehmen als kritische IKT-Drittdienstleister in Zukunft überwacht, weil sie in der Vergangenheit negativ aufgefallen sind?
Der Begriff kritische IKT-Drittdienstleister steht in keinem Zusammenhang mit den Erfahrungen der Aufsicht mit diesem Dienstleister oder dessen Reputation in der Öffentlichkeit. Die Einstufung als kritischer IKT-Drittdienstleister erfolgt vielmehr in Bezug auf dessen Rolle für den Finanzmarkt. Sie wird auf Basis eines detaillierten Kriterienkatalogs der EU-Kommission bestimmt (dazu ESAs specify criticality criteria and oversight fees for critical ICT third-party providers under DORA (europa.eu)). Eine Rolle spielen dabei zum Beispiel
- systematische Auswirkungen der Zusammenarbeit mit einem IKT-Drittdienstleister auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der kritische IKT-Drittdienstleister einer umfassenden Betriebsstörung ausgesetzt wäre,
- dem systemischen Charakter oder der Bedeutung der Finanzunternehmen, die den IKT-Drittdienstleister nutzen
- oder die Abhängigkeit der Finanzindustrie vom IKT-Drittdienstleister und
- der Grad der Substituierbarkeit des IKT-Drittdienstleisters.
Bei der Einstufung nutzt die Aufsicht primär die Informationsregister der Finanzunternehmen als Datenquelle. Die Grundlage hierfür: Die ESAs haben auf Aufforderung der EU-Kommission Kriterien zur Bestimmung der Kritikalität erarbeitet und ihre gemeinsame Stellungnahme im September 2023 an die EU-Kommission übermittelt. Die EU-Kommission wird die finalen Kriterien in einem delegierten Rechtsakt veröffentlichen.
