Informationssicherheit

DORA: ESAs designieren kritische IKT-Drittanbieter

Michael Mrak

Michael Mrak

2 Min. Lesezeit
DORA: ESAs designieren kritische IKT-Drittanbieter
Photo by Christian Lue / Unsplash

Am 18. November 2025 haben die Europäischen Aufsichtsbehörden EBA, EIOPA und ESMA (gemeinsam als ESAs bezeichnet) eine Meilensteinentscheidung im Rahmen des Digital Operational Resilience Act (DORA) veröffentlicht: die offizielle Liste der designierten kritischen IKT-Drittanbieter (Critical ICT Third-Party Providers, CTPPs) auf EU-Ebene.

Wer steht auf der Liste?

Gemäß Artikel 31(9) DORA umfasst die Liste folgende 19 Anbieter:

  • Accenture plc
  • Amazon Web Services EMEA Sarl
  • Bloomberg L.P.
  • Capgemini SE
  • Colt Technology Services
  • Deutsche Telekom AG
  • Equinix (EMEA) B.V.
  • Fidelity National Information Services, Inc.
  • Google Cloud EMEA Limited
  • International Business Machines Corporation (IBM)
  • InterXion HeadQuarters B.V.
  • Kyndryl Inc.
  • LSEG Data and Risk Limited
  • Microsoft Ireland Operations Limited
  • NTT DATA Inc.
  • Oracle Nederland B.V.
  • Orange SA
  • SAP SE
  • Tata Consultancy Services Limited

Die Liste liest sich wie ein Who's who der globalen IKT-Infrastruktur. Von Hyperscalern wie AWS, Google Cloud und Microsoft über Datenzentren-Betreiber bis hin zu IT-Dienstleistern und Finanzdaten-Anbietern.

Wie lief der Designierungsprozess ab?

Der Prozess folgte der von DORA vorgeschriebenen Methodik und verlief in drei Schritten.

  • Zunächst sammelten die ESAs Daten aus den von Finanzunternehmen geführten Informationsregistern, die deren vertragliche IKT-Vereinbarungen dokumentieren.
  • Danach führten sie gemeinsam mit den nationalen Aufsichtsbehörden aus den Bereichen Banken, Versicherungen, Pensionen sowie Wertpapiere und Märkte eine detaillierte Kritikalitätsbewertung durch – auf Basis der in DORA festgelegten Kriterien: systemische Bedeutung, Rolle bei kritischen oder wichtigen Funktionen von Finanzunternehmen sowie Ersetzbarkeit der Dienste.
  • Im dritten Schritt wurden die als kritisch eingestuften Anbieter formell benachrichtigt und erhielten die Möglichkeit zur Stellungnahme. Die endgültigen Designierungsentscheidungen wurden nach sorgfältiger Prüfung aller relevanten Informationen getroffen.

Was bedeutet die Designation konkret?

Die designierten CTPPs erbringen ein breites Spektrum an IKT-Diensten von Kerninfrastruktur bis hin zu Geschäfts- und Datendiensten für Finanzunternehmen aller Typen und Größen in der gesamten EU.

Das Ziel des DORA-Aufsichtsrahmens ist die Förderung eines soliden IKT-Risikomanagements bei kritischen Anbietern. Durch direkte Aufsichtseingriffe werden die ESAs prüfen, ob die CTPPs über angemessene Risikomanagement- und Governance-Strukturen verfügen, um die Resilienz der von ihnen erbrachten Dienste sicherzustellen.

Für die betroffenen Anbieter beginnt damit eine neue Phase intensiverer regulatorischer Prüfung. Die ESAs werden Untersuchungsmaßnahmen einleiten, die konkrete Nachweise über Steuerung, Risikomanagement und Ausfallsicherheit einfordern.

Warum ist auch für österreichische Finanzunternehmen relevant?

DORA gilt seit dem 17. Januar 2025 unmittelbar für Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und viele weitere Finanzunternehmen in der EU. Wer einen oder mehrere der nun designierten CTPPs als wesentlichen Dienstleister nutzt, muss das im Kontext seiner DORA-Pflichten besonders im Blick behalten:

  • Konzentrationsrisiko: Nutzen viele Institute denselben kritischen Anbieter, steigt das systemische Risiko. DORA verlangt, dass Finanzunternehmen Konzentrationsrisiken bei IKT-Drittanbietern aktiv managen.
  • Vertragliche Anforderungen: Die in DORA vorgeschriebenen Mindestklauseln in IKT-Verträgen mit wesentlichen Drittanbietern sind einzuhalten und müssen ggf. nachgeschärft werden.
  • Exit-Strategien: Für jede Abhängigkeit von einem CTPP braucht es eine realistische Ausstiegsstrategie – auch wenn die Ersetzbarkeit bei Hyperscalern naturgemäß komplex ist.

Fazit

Die Veröffentlichung der CTPP-Liste ist mehr als eine formale Bekanntmachung – sie markiert den Beginn der direkten europäischen Aufsicht über die digitale Lieferkette des Finanzsektors. Für Compliance- und Risikoverantwortliche bedeutet das: Vertragsinventare prüfen, Abhängigkeiten dokumentieren und Risikobewertungen aktualisieren.

DORA ist längst keine Theorie mehr.

Quelle

Weiterlesen