Art. 3 Systemischer Charakter und Bedeutung der IKT-Dienstleistungen für Finanzunternehmen | Criteria for designating critical service providers | DORA

This article sets out the specific sub-criteria the ESAs must apply when assessing an ICT third-party service provider against the systemic importance criterion of Article 31(2)(b) of DORA.

Following the two-step framework established in Article 1, it focuses on whether a provider serves systemically important financial institutions — namely G-SIIs, O-SIIs, and other financial entities identified as systemic by competent authorities.

The step 1 sub-criteria establish precise numerical thresholds that trigger further scrutiny, while the step 2 sub-criterion looks at whether those systemically important clients are interdependent with one another through their shared reliance on the same ICT provider.

Important points:

The ESAs are required to assess whether an ICT third-party service provider crosses defined thresholds of exposure to systemically important institutions, such as serving at least one G-SII, at least three O-SIIs, or one O-SII with a score above 3,000.
The step 1 thresholds also extend beyond credit institutions to other categories of systemic financial entities identified by competent authorities, ensuring broader coverage across the financial sector.
If step 1 thresholds are met, the ESAs must then assess the interdependence of those systemic clients, including where they provide financial infrastructure services to other financial entities using the same ICT provider.

1. Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Kriteriums bewerten die Europäischen Aufsichtsbehörden, ob der IKT-Drittdienstleister die folgenden Unterkriterien der „Stufe 1“ erfüllt:
  1. Unterkriterium 2.1: Zahl der global systemrelevanten Institute (G-SRI) und anderer systemrelevanter Institute (A-SRI), bei denen es sich um Kreditinstitute handelt, für die ein und derselbe IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringt;
  2. Unterkriterium 2.2: Zahl der Finanzunternehmen, bei denen es sich nicht um Kreditinstitute und nicht um G-SRI und A-SRI im Sinne von Buchstabe a handelt, die von den in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden als systemrelevant eingestuft wurden und für die ein und derselbe IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringt.
1. Bei einem IKT-Drittdienstleister gilt das in Absatz 1 Buchstabe a genannte Unterkriterium als erfüllt, wenn die von ihm bereitgestellten IKT-Dienstleistungen mindestens in Anspruch genommen werden von:
  1. einem G-SRI oder
  2. mindestens drei A-SRI oder
  3. mindestens einem A-SRI mit einem A-SRI-Bewertungsergebnis von über 3 000, berechnet nach Artikel 131 Absatz 3 der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates(²).
1. Bei einem IKT-Drittdienstleister gilt das in Absatz 1 Buchstabe b genannte Unterkriterium als erfüllt, wenn die von ihm bereitgestellten IKT-Dienstleistungen mindestens in Anspruch genommen werden von:
  1. einem Finanzunternehmen, bei dem es sich um ein in Artikel 2 Absatz 1 Buchstaben g, h, i oder j der Verordnung (EU) 2022/2554 genanntes Finanzunternehmen handelt und das von den zuständigen Behörden als „systemrelevant“ eingestuft wird, oder
  2. mindestens drei Finanzunternehmen, bei denen es sich nicht um Kreditinstitute und nicht um die in Artikel 2 Absatz 1 Buchstaben g, h, i oder j der Verordnung (EU) 2022/2554 genannten Finanzunternehmen handelt und die von den zuständigen Behörden als „systemrelevant“ eingestuft werden.
1. Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Kriteriums und sofern der IKT-Drittdienstleister die in Absatz 1 des vorliegenden Artikels genannten Unterkriterien in „Stufe 1“ erfüllt, führen die Europäischen Aufsichtsbehörden ihre Bewertung anhand des folgenden Unterkriteriums der „Stufe 2“ durch:
  1. Unterkriterium 2.3: Die in die Bewertung der in Absatz 1 genannten Unterkriterien der „Stufe 1“ einbezogenen G-SRI oder A-SRI und anderen Finanzunternehmen, die IKT-Dienstleistungen desselben IKT-Drittdienstleisters in Anspruch nehmen, insbesondere auch, wenn diese G-SRI oder A-SRI Finanzinfrastrukturdienstleistungen für andere Finanzunternehmen erbringen, sind interdependent.