Art. 1 Bedömningsmetod | Criteria for designating critical service providers | DORA

This is a foundational procedural article that establishes the two-step framework the European Supervisory Authorities (ESAs) must follow when deciding whether to designate an ICT third-party service provider as critical for financial entities.

It acts as the overarching methodology article, directing readers to the specific criteria contained in Articles 2 through 5.

The article also sets out the formal conditions under which the ESAs, acting through the Joint Committee on the recommendation of the Oversight Forum, can make a final designation — and includes a specific derogation for one of the four criteria drawn from Article 31(2) of DORA.

Important points:

The ESAs are required to apply a two-step assessment process: first checking whether quantitative threshold sub-criteria are met, then conducting a broader qualitative assessment.
A provider can only be formally designated as critical if it passes both steps, with the designation made through the Joint Committee upon recommendation from the Oversight Forum.
One criterion (criterion (c) of Article 31(2) of DORA) has no standalone first step — it is covered by the assessments conducted for the other three criteria.

1. När de europeiska tillsynsmyndigheterna beaktar de kriterier som anges i artikel 31.2 i förordning (EU) 2022/2554 för att klassificera en tredjepartsleverantör av IKT-tjänster som kritisk för finansiella entiteter ska de tillämpa följande metod:
  1. I ett första steg ska de europeiska tillsynsmyndigheterna bedöma om tredjepartsleverantören av IKT-tjänster uppfyller alla de steg 1-delkriterier som anges i artiklarna 2.1, 3.1 och 5.1.
  2. I ett andra steg ska de europeiska tillsynsmyndigheterna, för de tredjepartsleverantörer av IKT-tjänster som uppfyller alla steg 1-delkriterier enligt led a, göra sin bedömning mot bakgrund av de steg 2-delkriterier som anges i artiklarna 2.5, 3.4, 4.1 och 5.5.
2. Genom undantag från första stycket ska, vid bedömningen av kriterium c i artikel 31.2 i förordning (EU) 2022/2554, det första steget omfattas av den bedömning som ska göras för kriterierna a, b och d i artikel 31.2 i förordning (EU) 2022/2554.
1. När tiden har gått ut för att lämna in ett motiverat uttalande enligt vad som avses i artikel 31.5 första stycket i förordning (EU) 2022/2554 ska de europeiska tillsynsmyndigheterna, genom den gemensamma kommittén och på rekommendation av tillsynsforumet, klassificera en tredjepartsleverantör av IKT-tjänster som kritisk för finansiella entiteter om den uppfyller alla steg 1-delkriterierna i punkt 1 a, och om en positiv bedömning har gjorts med avseende på steg 2-delkriterierna i punkt 1 b.