Source: OJ L 333, 27.12.2022, p. 1–79Current language: DE
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 31 Einstufung kritischer IKT-Drittdienstleister
Summary What does Article 31 of the DORA regulation say?
This is a foundational article within DORA's Oversight Framework, establishing the mechanism by which ICT third-party service providers are designated as "critical" and subjected to formal supervision.
The ESAs, acting through the Joint Committee and on the recommendation of the Oversight Forum established under Article 32, are responsible for making these designations and appointing a Lead Overseer for each critical provider.
The designation criteria are substantive, covering factors such as systemic impact, the importance of the financial entities relying on the provider, the degree to which financial entities depend on it for critical or important functions, and how easily the provider could be substituted.
The article also sets out the procedural mechanics of designation, including notification rights, carve-outs for certain provider types, a Union-level public list, and a requirement that third-country critical providers establish a Union subsidiary within 12 months of designation.
Important points:
- The ESAs are responsible for designating critical ICT third-party service providers and appointing a Lead Overseer for each, based on criteria including systemic impact, the reliance of financial entities upon them, and their degree of substitutability.
- Only make use of the services of a third-country ICT provider designated as critical if that provider has established a subsidiary in the Union within 12 months of its designation.
- Certain providers are excluded from designation entirely, including ICT intra-group service providers and providers operating solely within a single Member State for financial entities active only in that Member State.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die ESA nehmen über den Gemeinsamen Ausschuss und auf Empfehlung des gemäß Artikel 32 Absatz 1 eingerichteten Überwachungsforums folgende Aufgaben wahr:
Einstufung der IKT-Drittdienstleister, die für Finanzunternehmen kritisch sind, nachdem eine entsprechende Bewertung unter Berücksichtigung der in Absatz 2 genannten Kriterien durchgeführt wurde;
Ernennung derjenigen Europäischen Aufsichtsbehörde zur federführenden Überwachungsbehörde für jeden kritischen IKT-Drittdienstleister, die gemäß den Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 bzw. (EU) Nr. 1095/2010 für diejenigen Finanzunternehmen zuständig ist, die nachweislich der Summe der einzelnen Bilanzen dieser Finanzunternehmen zusammen den größten Anteil des Gesamtvermögens am Gesamtwert der Aktiva aller Finanzunternehmen halten, die die Dienste des betreffenden kritischen IKT-Drittdienstleisters nutzen.
Die Einstufung nach Absatz 1 Buchstabe a basiert in Bezug auf IKT-Dienstleistungen, die vom IKT-Drittdienstleister bereitgestellt werden, auf den folgenden Kriterien:
den systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der betreffende IKT-Drittdienstleister bei der Erbringung seiner Dienste einer umfassenden Betriebsstörung ausgesetzt wäre, wobei die Zahl von Finanzunternehmen und der Gesamtwert der Aktiva derjenigen Finanzunternehmen zu berücksichtigen ist, für die der betreffende IKT-Drittdienstleister Dienstleistungen erbringt;
dem systemischen Charakter oder der Bedeutung der Finanzunternehmen, die auf den jeweiligen IKT-Drittdienstleister zurückgreifen, bewertet anhand der folgenden Parameter:
der Anzahl global systemrelevanter Institute (G-SRI) oder anderer systemrelevanter Institute (A-SRI), die auf den jeweiligen IKT-Drittdienstleister zurückgreifen;
der Interdependenz zwischen den unter Ziffer i genannten G-SRI oder A-SRI und anderen Finanzunternehmen, einschließlich der Fälle, in denen die G-SRI oder A-SRI Finanzinfrastrukturdienstleistungen für andere Finanzunternehmen erbringen;
der Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf kritische oder wichtige Funktionen von Finanzunternehmen, in die letztlich derselbe IKT-Drittdienstleister involviert ist — unabhängig davon, ob Finanzunternehmen diese Dienste direkt oder indirekt durch Vereinbarungen über die Unterauftragsvergabe in Anspruch nehmen;
dem Grad der Substituierbarkeit des IKT-Drittdienstleisters unter Berücksichtigung der folgenden Parameter:
des Mangels an echten, auch teilweisen Alternativen aufgrund der begrenzten Zahl von IKT-Drittdienstleistern, die auf einem bestimmten Markt tätig sind, oder des Marktanteils des betreffenden IKT-Drittdienstleisters oder der damit verbundenen technischen Komplexität oder Differenziertheit, auch in Bezug auf proprietäre Technologien, oder der besonderen Merkmale der Organisation oder Tätigkeit des IKT-Drittdienstleisters;
der Schwierigkeiten bei der teilweisen oder vollständigen Migration der einschlägigen Daten und Arbeitslasten vom jeweiligen IKT-Drittdienstleister zu einem anderen IKT-Drittdienstleister, die entweder auf erhebliche finanzielle Kosten, zeitliche oder sonstige Ressourcen, die der Migrationsprozess mit sich bringen kann, oder auf erhöhte IKT-Risiken oder sonstige operationelle Risiken zurückzuführen sind, denen das Finanzunternehmen durch eine solche Migration ausgesetzt sein könnte.
Gehört der IKT-Drittdienstleister zu einer Gruppe, so werden die in Absatz 2 genannten Kriterien in Bezug auf die von der Gruppe als Ganzes bereitgestellten IKT-Dienstleistungen berücksichtigt.
Kritische IKT-Drittdienstleister, die Teil einer Gruppe sind, benennen eine juristische Person als Koordinierungsstelle, um eine angemessene Vertretung und Kommunikation mit der federführenden Überwachungsbehörde sicherzustellen.
Die federführende Überwachungsbehörde unterrichtet den IKT-Drittdienstleister über das Ergebnis der Bewertung, die zu der in Absatz 1 Buchstabe a genannten Einstufung geführt hat. Innerhalb von sechs Wochen ab dem Datum der Unterrichtung kann der IKT-Drittdienstleister der federführenden Überwachungsbehörde eine begründete Erklärung mit allen für die Zwecke der Bewertung relevanten Informationen übermitteln. Die federführende Überwachungsbehörde prüft die begründete Erklärung und kann verlangen, dass innerhalb von 30 Kalendertagen nach Eingang der Erklärung zusätzliche Informationen übermittelt werden.
Nach der Einstufung eines IKT-Drittdienstleisters als kritisch, unterrichten die ESA den IKT-Drittdienstleister über den Gemeinsamen Ausschuss über diese Einstufung und das Anfangsdatum, ab dem er tatsächlich Überwachungstätigkeiten unterliegen wird. Dieses Anfangsdatum darf nicht mehr als einen Monat nach der Unterrichtung liegen. Der IKT-Drittdienstleister teilt den Finanzunternehmen, für die er Dienstleistungen erbringt, seine Einstufung als kritisch mit.
Der Kommission wird die Befugnis übertragen, gemäß Artikel 57 einen delegierten Rechtsakt zu erlassen, um diese Verordnung durch die weitere Präzisierung der in Absatz 2 genannten Kriterien bis 17. Juli 2024 zu ergänzen.
Die Einstufung nach Absatz 1 Buchstabe a darf erst angewendet werden, wenn die Kommission einen delegierten Rechtsakt gemäß Absatz 6 erlassen hat.
Die Einstufung nach Absatz 1 Buchstabe a gilt nicht für:
Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen bereitstellen;
IKT-Drittdienstleister, die Überwachungsrahmen unterliegen, die zur Unterstützung der in Artikel 127 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union genannten Aufgaben eingerichtet wurden;
gruppeninterne IKT-Dienstleister;
IKT-Drittdienstleister, die IKT-Dienstleistungen ausschließlich in einem Mitgliedstaat für Finanzunternehmen bereitstellen, die nur in diesem Mitgliedstaat tätig sind.
Die ESA erstellen, veröffentlichen und aktualisieren die Liste kritischer IKT-Drittdienstleister auf Unionsebene jährlich über den Gemeinsamen Ausschuss.
Die zuständigen Behörden übermitteln dem gemäß Artikel 32 eingerichteten Überwachungsforum für die Zwecke von Absatz 1 Buchstabe a die in Artikel 28 Absatz 3 Unterabsatz 3 genannten Berichte auf jährlicher und aggregierter Basis. Das Überwachungsforum bewertet die Abhängigkeiten von Finanzunternehmen gegenüber IKT-Drittdienstleistern auf der Grundlage der von den zuständigen Behörden übermittelten Informationen.
Diejenigen IKT-Drittdienstleister, die nicht in der in Absatz 9 genannten Liste aufgeführt sind, können beantragen, gemäß Absatz 1 Buchstabe a als kritisch eingestuft zu werden.
Für die Zwecke von Unterabsatz 1 reicht der IKT-Drittdienstleister bei der EBA, der ESMA oder der EIOPA einen begründeten Antrag ein, die über den Gemeinsamen Ausschuss entscheiden, ob dieser IKT-Drittdienstleister gemäß Absatz 1 Buchstabe a als kritisch eingestuft werden soll.
Die in Unterabsatz 2 genannte Entscheidung wird innerhalb von 6 Monaten nach Eingang des Antrags getroffen und dem IKT-Drittdienstleister mitgeteilt.
Finanzunternehmen dürfen nur dann die Dienstleistungen eines IKT-Drittdienstleisters mit Sitz in einem Drittland in Anspruch nehmen, der gemäß Absatz 1 Buchstabe a als kritisch eingestuft worden ist, wenn er innerhalb von zwölf Monaten nach der Einstufung ein Tochterunternehmen in der Union gegründet hat.
Der in Absatz 12 genannte kritische IKT-Drittdienstleister teilt der federführenden Überwachungsbehörde jede Änderung der Leitungsstruktur des in der Union niedergelassenen Tochterunternehmens mit.
Relevant recitals
Erwägungsgrund 77 Designation mechanism for critical ICT third-party providers
Der Überwachungsrahmen sollte nur für kritische IKT-Drittdienstleister gelten. Daher sollte es einen Einstufungsmechanismus geben, um dem Ausmaß und der Art der Abhängigkeit des Finanzsektors von solchen IKT-Drittdienstleistern Rechnung zu tragen. Dieser Mechanismus sollte eine Reihe quantitativer und qualitativer Kriterien umfassen, mit denen die Kritikalitätsparameter als Grundlage für die Einbeziehung in den Überwachungsrahmen festgelegt würden. Um eine akkurate Bewertung zu gewährleisten, sollten diese Kriterien unabhängig von der Unternehmensstruktur des IKT-Drittdienstleisters im Falle eines IKT-Drittdienstleisters, der Teil einer größeren Gruppe ist, die gesamte Gruppenstruktur des IKT-Drittdienstleisters berücksichtigen. Einerseits sollten kritische IKT-Drittdienstleister, die aufgrund der Anwendung der oben genannten Kriterien nicht automatisch eingestuft werden, die Möglichkeit haben, sich auf freiwilliger Basis für den Überwachungsrahmen zu entscheiden, andererseits sollten IKT-Drittdienstleister, die bereits Überwachungsmechanismen unterliegen, die die Erfüllung der in Artikel 127 Absatz 2 AEUV genannten Aufgaben des Europäischen Systems der Zentralbanken unterstützen, ausgenommen werden.
Erwägungsgrund 78 Exemptions from Oversight Framework
Ebenso sollten Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen bereitstellen, zugleich aber der von dieser Verordnung erfassten Kategorie von IKT-Drittdienstleistern angehören, ebenfalls von dem Überwachungsrahmen ausgenommen werden, da sie bereits den Aufsichtsmechanismen unterliegen, die durch das einschlägige Finanzdienstleistungsrecht der Union geschaffen wurden. Wenn zweckmäßig sollten die zuständigen Behörden im Rahmen ihrer Aufsichtstätigkeiten das IKT-Risiko berücksichtigen, das von den IKT-Dienstleistungen bereitstellenden Finanzunternehmen für andere Finanzunternehmen ausgeht. In gleicher Weise sollte aufgrund der auf Gruppenebene bestehenden Risikoüberwachungsmechanismen dieselbe Ausnahme für diejenigen IKT-Drittdienstleister vorgesehen werden, die Dienstleistungen vorwiegend für die ihrer eigenen Gruppe angehörenden Unternehmen erbringen. IKT-Drittdienstleister, die lediglich in einem Mitgliedstaat IKT-Dienstleistungen für Finanzunternehmen bereitstellen, die nur in diesem Mitgliedstaat tätig sind, sollten aufgrund ihrer begrenzten Tätigkeiten und der fehlenden grenzüberschreitenden Auswirkungen ebenfalls von dem Einstufungsmechanismus ausgenommen werden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-Drittdienstleister mit Sitz in einem Drittland
(En. ICT third-party service provider established in a third country)
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Gruppe
(En. group)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
kritischer IKT-Drittdienstleister
(En. critical ICT third-party service provider)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
Tochterunternehmen
(En. subsidiary)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
IKT-Risiko
(En. ICT risk)
Definition
federführende Überwachungsbehörde
(En. Lead Overseer)