Die ESAs benennen kritische IKT-Dienstleister im Rahmen des Digital Operational Resilience Act

veröffentlicht am 19.11.2025 | Lesezeit: ca. 1 Minute
Peter Hertlein
Peter Hertlein
Caroline Sieveritz
Caroline Sieveritz

Im November 2025 ist ein Meilenstein erreicht: Die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA – kurz ESAs) haben eine Liste der 19 als kritisch identifizierten IKT-Drittanbieter veröffentlicht. Damit beginnt die unmittelbare europäische Aufsicht über kritische IKT-Dienstleister im Rahmen des Digital Operational Resilience Act (DORA).

Die ESAs haben auf Basis eines zweistufigen Bewertungsmodells Anbieter identifiziert, die aufgrund ihrer Systemrelevanz, Substituierbarkeit, Konzentrationsrisiken und Dienstleistungsumfang als kritisch gelten. Dazu zählen insbesondere große Cloud- und Plattformanbieter, die zentrale Funktionen für viele Finanzunternehmen übernehmen.

Anforderungen an die CTPPs

Nach der offiziellen Benennung unterliegen die kritischen IKT-Dienstleister (critical ICT third-party providers, CTPPs) der direkten Aufsicht durch die ESAs. Zu ihren Pflichten gehören unter anderem:

  • jährliche Risikobewertungen,
  • strukturierte Risikoanalysen und Vor-Ort-Prüfungen
  • Erfüllung umfassender Berichtspflichten
  • aktive Beantwortung von Anfragen und Empfehlungen der ESAs

Die Aufsicht erfolgt durch sogenannte Joint Examination Teams (JETs), die sich aus ESA-Mitarbeitenden und nationalen Behörden zusammensetzen.

Auch wenn die Aufsicht direkt bei den Dienstleistern liegt, bleiben Finanzunternehmen gemäß DORA weiterhin verantwortlich – unter anderem für folgende Aufgaben:

  • Sie müssen ihre Abhängigkeiten gegenüber kritischen IKT-Dienstleistern transparent machen
  • die Risiken aus Drittbeziehungen aktiv steuern
  • und die Erkenntnisse aus der ESA-Aufsicht in ihr eigenes IKT-Risikomanagement integrieren

Das sind die nächsten Schritte der Aufsichtsbehörden

  • Ab 2026: Beginn der operativen Aufsicht durch die ESAs. Es wird davon ausgegangen, dass ca. 30 Personen die Überwachungstätigen durchführen.
  • JETs & Lead Overseer: Einrichtung von Prüfungsteams und Benennung eines Hauptverantwortlichen („Lead Overseer“) für jeden kritischen Anbieter
  • Opt-in-Verfahren: Anbieter, die nicht als kritisch eingestuft wurden, können freiwillig eine Einstufung beantragen, um unter das DORA-Aufsichtsregime zu fallen.