Die europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – kurz ESAs) treiben die Umsetzung eines europaweiten Überwachungsrahmens für kritische IKT-Drittdienstleister voran. Ziel ist es, eine einheitliche Überwachung und Regulierung dieser kritischen IKT-Drittdienstleister sicherzustellen, um die digitale operationale Resilienz des Finanzsektors zu erhöhen.

Im Rahmen des Digital Operational Resilience Act (DORA) sind folgende Schritte geplant:

1. Sammlung von Informationsregistern: Nationale Behörden sollen bis zum 30. April 2025 die Informationsregister der IKT-Drittdienstleister an die ESAs übermitteln.
2. Bewertung der Kritikalität: Die ESAs bewerten bis Juli 2025, welche IKT-Drittdienstleister als kritisch einzustufen sind, und informieren diese über die geplante Einstufung und die damit verbundene Überwachung. Anschließend haben die IKT-Drittdienstleister sechs Wochen Zeit, um Einwände mit entsprechender Begründung vorzubringen.
3. Endgültige Benennung: Die finale Einstufung der kritischen IKT-Drittdienstleister und damit auch der Beginn der Überwachung durch die ESAs soll bis Ende 2025 erfolgen.

IKT-Drittdienstleister, die nicht als kritisch eingestuft wurden, können nach Veröffentlichung der Liste eine freiwillige Benennung beantragen. Weitere Details hierzu werden in Kürze von den ESAs bereitgestellt. Zudem wird es im zweiten Quartal 2025 einen Online-Workshop für IKT-Drittdienstleister geben.

Parallel dazu bereiten die ESAs die notwendigen Governance-Strukturen und Verfahren für die Überwachung vor. Um Synergien zu maximieren und eine konsistente Überwachung zu gewährleisten, wurde bereits eine gemeinsame DORA-Überwachungsfunktion eingerichtet.

Mit der Implementierung dieses Überwachungsrahmens stärken die ESAs die digitale operationale Resilienz des europäischen Finanzsektors. Die Regulierung kritischer IKT-Drittdienstleister ist dabei ein entscheidender Schritt, um die Stabilität und Sicherheit der Finanzinfrastruktur in der EU langfristig zu gewährleisten.