Compliance-Lexikon · DORA
Kritischer IKT-Anbieter
auch: Critical ICT Third-Party Provider (CTPP)
Ein kritischer IKT-Anbieter ist ein von den europaeischen Aufsichtsbehoerden (ESAs) nach Art. 31 DORA als systemrelevant eingestufter IKT-Dienstleister - typischerweise grosse Cloud-Anbieter oder Technologiekonzerne - der einer direkten europaeischen Aufsicht unterliegt, unabhaengig von vertraglichen Beziehungen zu einzelnen Finanzunternehmen.
Warum die Einstufung als kritischer IKT-Anbieter eine neue Aufsichtsdimension schafft
DORA fuehrt mit der Kategorie des kritischen IKT-Drittanbieters eine voellig neue Aufsichtsebene ein: Statt nur die einzelnen Finanzunternehmen zu beaufsichtigen, koennen die ESAs grosse, systemrelevante Technologieanbieter direkt pruefen - unabhaengig davon, mit welchem einzelnen Finanzunternehmen ein Vertrag besteht. Das betrifft vor allem die grossen Cloud-Hyperscaler.
Wo die Kritikalitaetseinstufung relevant ist
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 31 | Einstufung als kritischer IKT-Drittanbieter: Kriterien und Verfahren der ESA-Bewertung. |
| DORA | Art. 32-44 | Aufsichtsrahmen fuer kritische IKT-Drittanbieter: Direkte ESA-Aufsichtsbefugnisse. |
| DORA | Art. 33 | Aufsichtsmassnahmen: Empfehlungen und Sanktionen gegenueber kritischen Anbietern. |
| DORA | Art. 42 | Gebuehren: Kritische Anbieter tragen die Kosten der direkten ESA-Aufsicht. |
| ESAs | Erste Liste 2025 | Erste Veroeffentlichung der als kritisch eingestuften IKT-Drittanbieter durch die ESAs. |
BAM-Objektreferenz
Haeufige Fehler
- Finanzunternehmen pruefen nicht, ob genutzte Anbieter als kritisch eingestuft wurden
- Keine Anpassung der eigenen Risikobewertung bei Aenderung der Kritikalitaetseinstufung
- Annahme, die ESA-Aufsicht ersetze die eigene Sorgfaltspflicht - das ist falsch
- Konzentrationsrisiko durch Nutzung mehrerer Dienste desselben kritischen Anbieters nicht erkannt
Bedeutung fuer einzelne Finanzunternehmen
Auch wenn ein IKT-Anbieter als kritisch eingestuft und direkt von den ESAs beaufsichtigt wird, bleibt das einzelne Finanzunternehmen vollstaendig fuer sein eigenes IKT-Risikomanagement verantwortlich. Die Kritikalitaetseinstufung entbindet nicht von eigener Sorgfaltspflicht, Vertragspruefung und Konzentrationsrisikobewertung - sie ergaenzt diese durch eine zusaetzliche, europaweite Aufsichtsebene fuer die groessten und systemrelevantesten Anbieter.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur Drittanbieterbewertung.