Datum: 21.11.2023Werden Cloud-Dienstleister künftig als kritische IKT-Drittdienstleister überwacht?
Anbieter von Cloud-Dienstleistungen stehen klar im Fokus von DORA (vgl. Erwägungsgrund 20 zu DORA), jedoch unterfällt nicht jeder Cloud-Anbieter automatisch dem Überwachungsrahmenwerk der europäischen Aufsichtsbehörden. Vielmehr wird die Auswertung der Informationsregister der Finanzunternehmen im Jahr 2025 zeigen, ob der Einstufungsprozess zur Bestimmung kritischer IKT-Drittdienstleister auch dazu führt, dass künftig Cloud-Dienstleister überwacht werden. Denn dabei handelt es sich immer um Entscheidungen im Einzelfall. Die ESAs haben auf Aufforderung der EU-Kommission Kriterien zur Bestimmung der Kritikalität erarbeitet und ihre gemeinsame Stellungnahme im September 2023 an die EU-Kommission übermittelt (s. dazu ESAs specify criticality criteria and oversight fees for critical ICT third-party providers under DORA (europa.eu)). Die EU-Kommission wird die finalen Kriterien in einem delegierten Rechtsakt veröffentlichen.