Source: OJ L, 2024/1502, 30.5.2024Current language: DE
Criteria for designating critical service providers
DELEGIERTE VERORDNUNG (EU) 2024/1502 DER KOMMISSION
vom 22. Februar 2024
zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011(1), insbesondere auf Artikel 31 Absatz 6,
in Erwägung nachstehender Gründe:
Erwägungsgrund 1Designation procedure
Um zu beurteilen, ob ein IKT-Drittdienstleister für Finanzunternehmen kritisch ist, sollten die Europäischen Aufsichtsbehörden (ESA) unter Berücksichtigung der Kriterien in Artikel 31 Absatz 2 der Verordnung (EU) 2022/2554 im Rahmen eines zweistufigen Bewertungsansatzes Unterkriterien heranziehen. Angesichts der Vielzahl von IKT-Dienstleistungen und der Vielfalt und Zahl der Finanzinstitute, die diese Dienstleistungen nutzen, sollte ein solcher zweistufiger Ansatz zur Anwendung kommen, um die Population der IKT-Drittdienstleister zu filtern und jene IKT-Drittdienstleister zu ermitteln, die am kritischsten sind. Die in Stufe 1 der Bewertung anzulegenden quantitativen Unterkriterien sind notwendig, um eine erste Auswahl der IKT-Drittdienstleister zu treffen, bei denen eine weitere eingehende Analyse anhand der in Stufe 2 der Bewertung heranzuziehenden qualitativen Unterkriterien relevant ist.
Erwägungsgrund 2Importance of activities supported by ICT services
Inwieweit eine von einem IKT-Drittdienstleister bereitgestellte IKT-Dienstleistung kritische oder wichtige Funktionen des Finanzunternehmens unterstützt, wird generell als zentrales Element der Kritikalitätsbewertung erachtet. Daher sollte die Bedeutung der durch IKT-Dienstleistungen unterstützten Tätigkeiten der Finanzunternehmen in alle Unterkriterien der Stufe 1 einfließen. Folglich sollte in Stufe 1 der Bewertung keine gesonderte quantitative Beurteilung der Kritikalität der Funktionen der Finanzunternehmen vorgenommen werden. Stattdessen sollten die Europäischen Aufsichtsbehörden die Kritikalität und Bedeutung der durch IKT-Dienstleistungen unterstützten Funktionen der Finanzunternehmen in der qualitativen zweiten Bewertungsstufe berücksichtigen.
Erwägungsgrund 3Individual and group ICT third-party service providers and subcontractors
Die Bewertung sollte für jeden einzelnen IKT-Drittdienstleister oder, sofern anwendbar, für jede einzelne Gruppe von IKT-Drittdienstleistern vorgenommen werden, falls der IKT-Drittdienstleister im Sinne von Artikel 31 Absatz 3 der Verordnung (EU) 2022/2554 einer Gruppe angehört. Um eine umfassende Bewertung der potenziellen systemischen Auswirkungen auf den Finanzsektor der Union zu ermöglichen, sollten die IKT-Unterauftragnehmer von IKT-Drittdienstleistern ebenfalls der Bewertung durch die Europäischen Aufsichtsbehörden unterzogen und gegebenenfalls als kritische IKT-Drittdienstleister eingestuft werden.
Erwägungsgrund 4Systemic impact assessments
Um die systemischen Auswirkungen des IKT-Drittdienstleisters auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen zu ermitteln, ist es überaus wichtig, sich ein klares Bild von Ausmaß und Art der systemischen Auswirkungen zu verschaffen, die eine umfassende Betriebsstörung bei einem IKT-Drittdienstleister auf die Finanzunternehmen, die die von einem IKT-Drittdienstleister erbrachten Dienstleistungen in Anspruch nehmen, und auf das Finanzsystem hätte. Deshalb sollte berücksichtigt werden, wie viele Finanzunternehmen einer bestimmten Kategorie von Finanzunternehmen dieselben IKT-Dienste nutzen und auf welchen Wert sich ihre Vermögenswerte belaufen, damit beurteilt werden kann, ob ein IKT-Drittdienstleister, der die betreffenden IKT-Dienstleistungen erbringt, als kritisch eingestuft werden sollte. Darüber hinaus sollte eine qualitative Bewertung der systemischen Bedeutung und der Verflechtungen der IKT-Drittdienstleister sowie der Bedeutung der von einem IKT-Drittdienstleister erbrachten Dienstleistungen für die Erbringung von Finanzdienstleistungen durch Finanzunternehmen unter Berücksichtigung der Stabilität und Kontinuität der Dienstleistungen durchgeführt werden, um die systemischen Auswirkungen des IKT-Drittdienstleisters auf die Tätigkeiten der Finanzunternehmen zu ermitteln.
Erwägungsgrund 5Considering the nature of financial entities
Um den systemischen Charakter und die Bedeutung der Finanzunternehmen, die die IKT-Dienstleistungen in Anspruch nehmen, zu ermitteln, gilt es zu berücksichtigen, um welche Art von Finanzunternehmen es sich handelt. Nehmen als G-SRI und A-SRI oder als „systemrelevant“ eingestufte Finanzunternehmen zur Unterstützung kritischer oder wichtiger Funktionen ein und dieselben IKT-Dienstleistungen in Anspruch, sollte bewertet werden, ob der IKT-Drittdienstleister, der diese Dienstleistungen erbringt, für den Finanzsektor der Union als kritisch eingestuft werden sollte. Die Verflechtungen zwischen jenen Finanzunternehmen innerhalb des Finanzsektors der Union, die IKT-Dienstleistungen ein und desselben IKT-Drittdienstleisters in Anspruch nehmen, sollten ebenfalls bewertet werden, um die Abhängigkeit der Finanzunternehmen von diesem IKT-Drittdienstleister festzustellen.
Erwägungsgrund 6Critical or important functions
Die IKT-Dienstleistungen, die kritische oder wichtige Funktionen von Finanzunternehmen unterstützen, sollten mit Blick auf ihre Art und ihren kritischen Charakter dahin gehend bewertet werden, ob sie notwendig sind, damit die Finanzunternehmen ihre Tätigkeiten ohne Störungen ausüben können.
Erwägungsgrund 7Degree of substitutability
Um den Grad der Substituierbarkeit des IKT-Drittdienstleisters zu ermitteln, müssen bei der von den Europäischen Aufsichtsbehörden durchzuführenden Bewertung die Zahl der auf einem bestimmten Markt tätigen IKT-Drittdienstleister, die Existenz alternativer Lösungen für ein und dieselbe IKT-Dienstleistung sowie die Kosten einer Migration von Daten und IKT-Arbeitslasten zu einem anderen IKT-Drittdienstleister berücksichtigt werden.
Erwägungsgrund 8Sources of information for designation
Um die Solidität des Bewertungsprozesses zu gewährleisten, ist es wichtig, dass sich die Europäischen Aufsichtsbehörden bei der Bewertung, ob IKT-Drittdienstleister als kritisch eingestuft werden sollten, auf die Daten aus den in Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 genannten Informationsregistern sowie alle sonstigen leicht verfügbaren Informationen stützen —
HAT FOLGENDE VERORDNUNG ERLASSEN:
- Artikel 1Bewertungsansatz
- Artikel 2Systemische Auswirkungen von IKT-Drittdienstleistern auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen
- Artikel 3Systemischer Charakter und Bedeutung der IKT-Dienstleistungen für Finanzunternehmen
- Artikel 4Kritikalität oder Bedeutung der Funktionen
- Artikel 5Grad der Substituierbarkeit
- Artikel 6Informationsquellen für die Kritikalitätsbewertung
- Artikel 7Inkrafttreten und Geltungsbeginn
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 22. Februar 2024
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Gruppe
(En. group)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Dienstleistungen
(En. ICT services)
Footnote 1