Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 in Kraft und hat das Ziel, die digitale Widerstandsfähigkeit des EU-Finanzsektors zu stärken. Ein zentraler Fokus liegt auf den Risiken, die durch die Abhängigkeit von großen IKT-Dienstleistern (Critical ICT Third-Party Providers, CTPPs) entstehen. Am 18.November 2025 wurde auf Grundlage von Art 31 Abs 9 DORA erstmals die jährlich aktualisierte Liste der kritischen IKT-Dienstleister veröffentlicht.

Die Liste der CTPPs

Die Liste umfasst 19 Unternehmen, die nach einem zweistufigen Bewertungsmodell der europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA, European Supervisory Authorities, ESAs) als kritisch eingestuft wurden. Für die Bewertung waren die Systemrelevanz, Substituierbarkeit, Konzentrationsrisiken und der Dienstleistungsumfang der Anbieter entscheidend. Die Unternehmen stellen insbesondere geschäftskritische IKT-Services bereit, darunter Kerninfrastruktur, Daten- und Geschäftsapplikationen für Finanzinstitute jeder Größe in der EU. Im Rahmen von DORA unterliegen sie künftig der direkten europäischen Aufsicht. Andere Anbieter können durch das Opt-In-Verfahren freiwillig eine Einstufung beantragen. Die Liste wird jährlich aktualisiert. 

Die Aufsicht der kritischen Dienstleister:

Abhängig vom Geschäftsprofil des CTPP fungiert eine der drei europäischen Aufsichtsbehörden (EBA, ESMA oder EIOPA) als federführende Überwachungsbehörde (Lead Overseer, LO). Die LO wird bei der Durchführung ihrer Aufsicht durch gemeinsame Untersuchungsteams (Joint Examination Teams, JETs), die sich aus Mitarbeitern der ESAs sowie nationalen Behörden zusammensetzen, unterstützt. Die Behörden sind ermächtigt, Informationen anzufordern, allgemeine Untersuchungen sowie Vor-Ort-Prüfungen durchzuführen, Empfehlungen abzugeben sowie auf Basis dieser Empfehlungen gesetzte Maßnahmen von den CPPTs anzufordern.

Die Aufsicht über CTPPs umfasst folgende Kernaktivitäten:

1. Benennung: jährliche Bewertung und Benennung kritischer Drittanbieter basierend auf systemischen Kriterien wie Stabilität und Substituierbarkeit

2. Risikobewertung und Planung: Jährliche Risikobewertung zur Festlegung der Aufsichtsprioritäten und Erstellung individueller sowie strategischer Mehrjahrespläne

3. Untersuchungen: Durchführung von Untersuchungen, einschließlich Inspektionen und allgemeiner Überprüfungen, um Risiken zu bewerten

4. Empfehlungen: Herausgabe von Empfehlungen zur Risikominderung und Überwachung ihrer Umsetzung

Im Überwachungsnetz (Joint Oversight Network, JON) werden Abstimmungen zwischen den federführenden Überwachungsbehörden koordiniert. Ergänzend dazu wird ein Überwachungsforum (Oversight Forum, OF) als Unterkomitee eingerichtet, um die europäischen Aufsichtsbehörden zu unterstützen. Zu den wesentlichen Aufgaben des Forums gehören insbesondere die Vorbereitung von Maßnahmen, die sich an CTPPs richten, die Erstellung von Entwürfen gemeinsamer Positionen und Maßnahmen sowie die jährliche Bewertung der Überwachungstätigkeiten.

Trotz alldem bleiben die Finanzunternehmen vollumfänglich für die Überwachung der CTPPs verantwortlich. Damit schafft der neue DORA-Aufsichtsrahmen ein EU-einheitliches Aufsichtssystem, ohne jedoch den Finanzinstituten die Verantwortung zu entziehen. Unter anderem müssen sie ihre Abhängigkeiten gegenüber den CTPPS transparent machen und die Erkenntnisse der ESAs- in ihr eigenes IKT-Risikomanagement integrieren. 

 

Gerne steht Ihnen das Financial Services Regulatory Team von Binder Grösswang zur Verfügung, um Sie bei den aufsichtsrechtlichen Herausforderungen zu unterstützen!

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.