Art. 1 Bewertungsansatz | Criteria for designating critical service providers | DORA

This is a foundational procedural article that establishes the two-step framework the European Supervisory Authorities (ESAs) must follow when deciding whether to designate an ICT third-party service provider as critical for financial entities.

It acts as the overarching methodology article, directing readers to the specific criteria contained in Articles 2 through 5.

The article also sets out the formal conditions under which the ESAs, acting through the Joint Committee on the recommendation of the Oversight Forum, can make a final designation — and includes a specific derogation for one of the four criteria drawn from Article 31(2) of DORA.

Important points:

The ESAs are required to apply a two-step assessment process: first checking whether quantitative threshold sub-criteria are met, then conducting a broader qualitative assessment.
A provider can only be formally designated as critical if it passes both steps, with the designation made through the Joint Committee upon recommendation from the Oversight Forum.
One criterion (criterion (c) of Article 31(2) of DORA) has no standalone first step — it is covered by the assessments conducted for the other three criteria.

1. Bei der Prüfung der in Artikel 31 Absatz 2 der Verordnung (EU) 2022/2554 festgelegten Kriterien für die Einstufung eines IKT-Drittdienstleisters als für Finanzunternehmen kritisch, gehen die Europäischen Aufsichtsbehörden nach folgendem Ansatz vor:
  1. In der ersten Stufe bewerten die Europäischen Aufsichtsbehörden, ob der IKT-Drittdienstleister alle in Artikel 2 Absatz 1, Artikel 3 Absatz 1 und Artikel 5 Absatz 1 genannten Unterkriterien der „Stufe 1“ erfüllt.
  2. In der zweiten Stufe führen die Europäischen Aufsichtsbehörden für jene IKT-Drittdienstleister, die sämtliche unter Buchstabe a genannten Unterkriterien der „Stufe 1“ erfüllen, ihre Bewertung anhand der in Artikel 2 Absatz 5, Artikel 3 Absatz 4, Artikel 4 Absatz 1 und Artikel 5 Absatz 5 genannten Unterkriterien der „Stufe 2“ durch.
2. Abweichend von Unterabsatz 1 wird bei der Bewertung des in Artikel 31 Absatz 2 Buchstabe c der Verordnung (EU) 2022/2554 genannten Kriteriums die erste Stufe durch die Bewertung der Kriterien in Artikel 31 Absatz 2 Buchstaben a, b und d der Verordnung (EU) 2022/2554 abgedeckt.
1. Nach Ablauf der Frist für die Übermittlung einer begründeten Erklärung nach Artikel 31 Absatz 5 Unterabsatz 1 der Verordnung (EU) 2022/2554 stufen die Europäischen Aufsichtsbehörden einen IKT-Drittdienstleister im Wege des Gemeinsamen Ausschusses und auf Empfehlung des Überwachungsforums als für Finanzunternehmen kritisch ein, wenn er alle in Absatz 1 Buchstabe a genannten Unterkriterien der „Stufe 1“ erfüllt und die Bewertung der in Absatz 1 Buchstabe b genannten Unterkriterien der „Stufe 2“ positiv ausfällt.