Am 19.11.2025 haben die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) erstmals 19 kritische IKT-Drittanbieter im Sinne von Art. 32 Abs. 1 DORA benannt – ein zentraler Schritt für die direkte europäische Aufsicht nach DORA.
Die Auswahl erfolgte anhand eines zweistufigen Modells, das Systemrelevanz, Substituierbarkeit, Konzentrationsrisiken und den Umfang der erbrachten Dienstleistungen bewertet. Unter den kritischen Anbietern finden sich vor allem große Cloud- und Plattformdienstleister wie AWS, Google Cloud, Deutsche Telekom und Microsoft sowie Oracle und SAP.
Mit ihrer offiziellen Einstufung unterliegen diese „critical ICT third-party providers“ (CTPPs) nun der direkten Kontrolle der ESAs. Dazu gehören jährliche Risikoanalysen, umfassende Berichtspflichten, Vor-Ort-Prüfungen sowie die aktive Zusammenarbeit mit den Behörden. Die Aufsicht wird durch Joint Examination Teams (JETs) ausgeübt, die aus Mitarbeitenden der ESAs und nationalen Behörden bestehen.
Was bedeutet das für Finanzunternehmen?
Für Finanzunternehmen ändert sich trotz der neuen Aufsichtsstruktur nichts an der eigenen Verantwortung: Sie müssen Abhängigkeiten transparent halten, Risiken aus Drittbeziehungen steuern und Erkenntnisse aus der ESA-Aufsicht in ihr IKT-Risikomanagement integrieren.
Nächste Schritte der Aufsicht:
- Ab 2026: Start der operativen Aufsicht durch die ESAs (ca. 30 Aufseher).
- JETs & Lead Overseer: Einrichtung der Prüfungsteams und Benennung eines Hauptverantwortlichen pro CTPP.
- Opt-in: Nicht benannte Anbieter können eine freiwillige Einstufung beantragen.
Hier finden Sie die Liste der Kritischen IKT-Dienstleister
Die Liste ist unter folgendem Link als PDF veröffentlicht: The European Supervisory Authorities designate critical ICT third-party providers under the Digital Operational Resilience Act | European Banking Authority
