Datum: 22.01.2025Werden Unternehmen als kritische IKT-Drittdienstleister überwacht, weil sie in der Vergangenheit negativ aufgefallen sind?
Der Begriff kritische IKT-Drittdienstleister steht in keinem Zusammenhang mit den Erfahrungen der Aufsicht mit diesem Dienstleister oder dessen Reputation in der Öffentlichkeit. Die Einstufung als kritischer IKT-Drittdienstleister erfolgt vielmehr in Bezug auf dessen Rolle für den Finanzmarkt. Sie wird auf Basis eines detaillierten Kriterienkatalogs der delegierten Verordnung der EU-Kommission bestimmt. Eine Rolle spielen dabei zum Beispiel systematische Auswirkungen der Zusammenarbeit mit einem IKT-Drittdienstleister auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der kritische IKT-Drittdienstleister einer umfassenden Betriebsstörung ausgesetzt wäre, dem systemischen Charakter oder der Bedeutung der Finanzunternehmen, die den IKT-Drittdienstleister nutzen oder die Abhängigkeit der Finanzindustrie vom IKT-Drittdienstleister und der Grad der Substituierbarkeit des IKT-Drittdienstleisters.
Bei der Einstufung nutzt die Aufsicht primär die Informationsregister der Finanzunternehmen als Datenquelle, die diese jährlich der Aufsicht übermitteln und Aufschluss über alle vertraglichen Vereinbarungen über IKT-Dienstleistungen geben.
