Art. 1 Approche à respecter pour l’évaluation | Criteria for designating critical service providers | DORA

This is a foundational procedural article that establishes the two-step framework the European Supervisory Authorities (ESAs) must follow when deciding whether to designate an ICT third-party service provider as critical for financial entities.

It acts as the overarching methodology article, directing readers to the specific criteria contained in Articles 2 through 5.

The article also sets out the formal conditions under which the ESAs, acting through the Joint Committee on the recommendation of the Oversight Forum, can make a final designation — and includes a specific derogation for one of the four criteria drawn from Article 31(2) of DORA.

Important points:

The ESAs are required to apply a two-step assessment process: first checking whether quantitative threshold sub-criteria are met, then conducting a broader qualitative assessment.
A provider can only be formally designated as critical if it passes both steps, with the designation made through the Joint Committee upon recommendation from the Oversight Forum.
One criterion (criterion (c) of Article 31(2) of DORA) has no standalone first step — it is covered by the assessments conducted for the other three criteria.

1. Lorsqu’elles appliquent les critères prévus à l’article 31, paragraphe 2, du règlement (UE) 2022/2554 pour désigner les prestataires tiers de services TIC qui sont critiques pour les entités financières, les AES suivent l’approche suivante:
  1. lors d’une première étape, les AES évaluent si le prestataire tiers de services TIC remplit tous les sous-critères «étape 1» définis à l’article 2, paragraphe 1, à l’article 3, paragraphe 1, et à l’article 5, paragraphe 1;
  2. lors d’une seconde étape, les AES soumettent les prestataires tiers de services TIC qui remplissent tous les sous-critères «étape 1» visés au point a) à une évaluation à l’aune des sous-critères «étape 2» définis à l’article 2, paragraphe 5, à l’article 3, paragraphe 4, à l’article 4, paragraphe 1, et à l’article 5, paragraphe 5.
2. Par dérogation au premier alinéa, pour l’évaluation du critère c) de l’article 31, paragraphe 2, du règlement (UE) 2022/2554, la première étape est couverte par l’évaluation à effectuer pour les critères a), b) et d) de l’article 31, paragraphe 2, du règlement (UE) 2022/2554.
1. Après la fin du délai de remise d’une déclaration motivée en vertu de l’article 31, paragraphe 5, premier alinéa, du règlement (UE) 2022/2554, les AES, par l’intermédiaire du comité mixte, et sur recommandation du forum de supervision, désignent comme critique pour les entités financières tout prestataire tiers de services TIC qui remplit tous les sous-critères «étape 1» visés au paragraphe 1, point a), et pour lequel l’évaluation réalisée à l’aune des sous-critères «étape 2» visés au paragraphe 1, point b), a donné un résultat positif.