Art. 1 Informationen, die IKT-Drittdrittdienstleister im Antrag auf Einstufung als kritisch bereitstellen müssen | RTS on harmonisation for oversight conduct | DORA

This article establishes the information requirements for an ICT third-party service provider that voluntarily applies to be designated as critical under DORA (Regulation (EU) 2022/2554).

It is a detailed, prescriptive article that directly supports the voluntary designation mechanism provided in Article 31(11) of DORA, setting out exactly what must be included in the reasoned application.

The required information covers the applicant's identity and corporate structure, its market presence in the Union financial sector, the nature of the ICT services it provides, the financial entities it serves, and notably a self-assessment of how substitutable its services are.

Where the provider belongs to a group, the information must reflect the group's ICT services as a whole.

Important points:

ICT third-party service providers voluntarily seeking critical designation must submit a comprehensive application covering identity, corporate structure, services, client base, market share, and a self-assessment of substitutability.
Include a self-assessment of how easily your ICT services could be replaced, covering market share, known competitors, and any proprietary or unique characteristics of your services.
Where the applicant is part of a group, all required information must be provided at group level, not just for the individual legal entity.

1. Nach Artikel 31 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 übermittelt der Drittdienstleister der Informations- und Kommunikationstechnologie (im Folgenden „IKT-Drittdienstleister“) in einem begründeten Antrag auf freiwillige Einstufung als kritisch gemäß Artikel 31 Absatz 11 der genannten Verordnung folgende Informationen:
  1. Name der juristischen Person,
  2. Rechtsträgerkennung der juristischen Person,
  3. Name der Kontaktperson und Kontaktdaten des kritischen IKT-Drittdienstleisters,
  4. Land, in dem die juristische Person ihren Sitz hat,
  5. eine Beschreibung der Unternehmensstruktur, die mindestens Angaben zu seinem Mutterunternehmen und anderen verbundenen Unternehmen enthält, die IKT-Dienstleistungen für Finanzunternehmen der Union erbringen. Diese Informationen umfassen gegebenenfalls:
    Name der juristischen Personen,
    Rechtsträgerkennung der juristischen Person,
    Land, in dem die juristische Person ihren Sitz hat,
  6. geschätzter Marktanteil des IKT-Drittdienstleisters im Finanzsektor der Union und geschätzter Marktanteil nach Art des Finanzunternehmens gemäß Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 ab dem Jahr des Antrags auf Einstufung als kritisch und für das Vorjahr der Antragstellung,
  7. eine Beschreibung aller IKT-Dienstleistungen, die für Finanzunternehmen der Union erbracht werden, einschließlich:
    einer Beschreibung der Art der Geschäftstätigkeit und der Art der IKT-Dienstleistungen, die für Finanzunternehmen erbracht werden,
    einer Liste der durch IKT-Dienstleistungen unterstützten Funktionen der Finanzunternehmen, sofern verfügbar,
    Angaben darüber, ob die für Finanzunternehmen erbrachten IKT-Dienstleistungen kritische oder wichtige Funktionen unterstützen, sofern verfügbar,
  8. eine Liste der Finanzunternehmen, die die IKT-Dienstleistungen des IKT-Drittdienstleisters in Anspruch nehmen, einschließlich der folgenden Informationen für jedes einzelne Finanzunternehmen, sofern verfügbar:
    Name der juristischen Person,
    Rechtsträgerkennung der juristischen Person, sofern dem IKT-Drittdienstleister bekannt,
    Art des Finanzunternehmens gemäß Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554,
    geografischer Standort, von dem aus die IKT-Dienstleistungen für die betreffende juristische Person erbracht werden,
  9. eine Liste der kritischen IKT-Drittdienstleister, die in der aktuellsten verfügbaren Fassung der von den ESA gemäß Artikel 31 Absatz 9 der Verordnung (EU) 2022/2554 veröffentlichten Liste dieser Dienstleister aufgeführt werden und die vom Antragsteller erbrachten Dienstleistungen in Anspruch nehmen, sofern verfügbar,
  10. eine Selbstbewertung in Bezug auf die folgenden Aspekte:
    Grad der Substituierbarkeit für alle vom Antragsteller erbrachten IKT-Dienstleistungen unter Berücksichtigung der folgenden Punkte:
    Marktanteil des IKT-Drittdienstleisters im Finanzsektor der Union,
    Anzahl der bekannten relevanten Wettbewerber für jede Art von IKT-Dienstleistung oder Gruppe von IKT-Dienstleistungen,
    einer Beschreibung der Besonderheiten der angebotenen IKT-Dienstleistungen, auch in Bezug auf alle proprietären Technologien, oder der besonderen Merkmale der Organisation oder Geschäftstätigkeit des IKT-Drittdienstleisters,
    Kenntnis von gleichen IKT-Dienstleistungen, die durch andere als den antragstellenden IKT-Drittdienstleister erbracht werden,
  11. Informationen über die künftige Geschäftsstrategie hinsichtlich der Bereitstellung von IKT-Dienstleistungen und -Infrastruktur für Finanzunternehmen in der Union, einschließlich aller geplanten Änderungen in Bezug auf die Gruppen- oder Managementstruktur, die Erschließung neuer Märkte oder Geschäftstätigkeiten,
  12. Angaben zu den Unterauftragnehmern des IKT-Drittdienstleisters, die als kritische IKT-Drittdienstleister eingestuft wurden,
  13. alle sonstigen Gründe, die für den Antrag des IKT-Drittdienstleisters auf Einstufung als kritisch relevant sind.
1. Gehört der IKT-Drittdienstleister zu einer Gruppe, so werden die in Absatz 1 genannten Informationen in Bezug auf die von der Gruppe als Ganzes erbrachten IKT-Dienstleistungen zur Verfügung gestellt.