Art. 3 Caractère systémique et importance des services TIC fournis aux entités financières | Criteria for designating critical service providers | DORA

This article sets out the specific sub-criteria the ESAs must apply when assessing an ICT third-party service provider against the systemic importance criterion of Article 31(2)(b) of DORA.

Following the two-step framework established in Article 1, it focuses on whether a provider serves systemically important financial institutions — namely G-SIIs, O-SIIs, and other financial entities identified as systemic by competent authorities.

The step 1 sub-criteria establish precise numerical thresholds that trigger further scrutiny, while the step 2 sub-criterion looks at whether those systemically important clients are interdependent with one another through their shared reliance on the same ICT provider.

Important points:

The ESAs are required to assess whether an ICT third-party service provider crosses defined thresholds of exposure to systemically important institutions, such as serving at least one G-SII, at least three O-SIIs, or one O-SII with a score above 3,000.
The step 1 thresholds also extend beyond credit institutions to other categories of systemic financial entities identified by competent authorities, ensuring broader coverage across the financial sector.
If step 1 thresholds are met, the ESAs must then assess the interdependence of those systemic clients, including where they provide financial infrastructure services to other financial entities using the same ICT provider.

1. Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point b), du règlement (UE) 2022/2554, les AES évaluent si le prestataire tiers de services TIC remplit les sous-critères «étape 1» suivants:
  1. sous-critère 2.1: nombre d’établissements d’importance systémique mondiale (EISm) et d’autres établissements d’importance systémique (autres EIS) qui sont des établissements de crédit auxquels ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes;
  2. sous-critère 2.2: nombre d’entités financières, autres que des établissements de crédit et autres que les EISm ou autres EIS visés au point a) supra, identifiées comme systémiques par les autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554, auxquelles ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes.
1. Un prestataire tiers de services TIC est considéré comme remplissant le sous-critère du paragraphe 1, point a), si les services TIC qu’il fournit sont utilisés:
  1. soit par au moins un EISm;
  2. soit par au moins trois autres EIS;
  3. soit par au moins un autre EIS dont le score d’importance systémique calculé conformément à l’article 131, paragraphe 3, de la directive 2013/36/UE du Parlement européen et du Conseil(²) est supérieur à 3 000.
1. Un prestataire tiers de services TIC est considéré comme remplissant le sous-critère du paragraphe 1, point b), si les services TIC qu’il fournit sont utilisés:
  1. soit par au moins une entité financière visée à l’article 2, paragraphe 1, point g), h), i) ou j), du règlement (UE) 2022/2554, qui est identifiée comme «systémique» par les autorités compétentes;
  2. soit par au moins trois entités financières, autres que des établissements de crédit ou que des entités financières visées à l’article 2, paragraphe 1, point g), h), i) ou j), du règlement (UE) 2022/2554, qui sont identifiées comme «systémiques» par les autorités compétentes.
1. Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point b), du règlement (UE) 2022/2554 et que le prestataire tiers de services TIC remplit les sous-critères «étape 1» visés au paragraphe 1 du présent article, les AES effectuent leur évaluation à l’aune du sous-critère «étape 2» suivant:
  1. sous-critère 2.3: les EISm ou autres EIS et les autres entités financières inclus dans l’évaluation à l’aune des sous-critères «étape 1» visés au paragraphe 1 du présent article qui dépendent d’un service TIC fourni par ce même prestataire tiers, notamment lorsque ces EISm ou autres EIS fournissent des services d’infrastructure financière à d’autres entités financières, sont interdépendants.