Am 18. November 2025 haben die europäischen Aufsichtsbehörden European Banking Authority (EBA), European Securities and Markets Authority (ESMA) und European Insurance and Occupational Pensions Authority (EIOPA), gemeinsam die „ESAs“, erstmals eine offizielle Liste sogenannter kritischer IKT-Drittdienstleister (englisch: Critical ICT Third-Party Providers, CTPPs) gemäß Art. 31 Abs. 9 DORA veröffentlicht. Diese Maßnahme erfolgt im Rahmen der europäischen Regulierung zur digitalen operationalen Resilienz, dem Digital Operational Resilience Act (DORA). Durch die Aufnahme in diese Liste wird eine direkte Kontrolle der kritischen IKT-Drittdienstleister durch die ESAs ermöglicht.

Die ESAs sammelten zunächst über nationale Behörden („Competent Authorities“) Daten aus sogenannten „Registers of Information“, in denen Finanzinstitute ihre vertraglichen Beziehungen zu externen IKT-Drittdienstleistern offenlegen mussten. Anschließend führten sie eine umfassende Bewertung durch. Dabei waren Kriterien wie die systemische Bedeutung des Anbieters, seine Rolle bei zentralen Funktionen für Finanzinstitute sowie die Frage der Substituierbarkeit der Dienste maßgeblich. Nach dieser Prüfung wurden ausgewählte Anbieter informiert und konnten innerhalb eines formal geregelten Verfahrens eine Stellungnahme abgeben. Danach erfolgte die finale offizielle Einstufung als CTPP.

In der ersten Runde wurden 19 Unternehmen als CTPPs benannt. Dazu gehören große Cloud- und IT-Dienstleister und Infrastruktur-Anbieter wie Amazon Web Services EMEA Sarl, Google Cloud EMEA Limited, Microsoft Ireland Operations Limited, International Business Machines Corporation (IBM), SAP SE und Deutsche Telekom AG. Diese Anbieter stellen zentrale IKT-Infrastruktur, Software sowie Cloud- und Datenservices bereit. Da diese Dienste für viele Finanzinstitute essenziell sind, können Ausfälle, Cyberangriffe oder andere Störungen erhebliche Risiken verursachen.

Die benannten Anbieter unterliegen mit der CTPP-Liste unter DORA nun einer erhöhten Aufsicht. Die ESAs können ihre Strukturen in Bezug auf Governance, Risikomanagement und Betriebsresilienz prüfen und bei Bedarf Maßnahmen anordnen. Das Ziel dieser Regulierung besteht darin, die Stabilität und Funktionsfähigkeit des europäischen Finanzsystems auch im Falle eines Ausfalls oder einer Störung von CTPPs zu sichern.

Mit der ersten offiziellen Liste der CTPPs setzen die ESAs einen wichtigen Schritt zur Umsetzung des DORA-Rahmens um. Durch die direkte Aufsicht dieser Anbieter wird das Risiko reduziert, dass Ausfälle oder Cybervorfälle bei wenigen IKT-Drittdienstleistern das gesamte Finanzsystem beeinträchtigen. Gleichzeitig wird deutlich, dass digitale Infrastruktur heute ein systemrelevanter Bestandteil des Finanzsystems ist und entsprechend reguliert werden muss. Für Finanzinstitute und IKT-Drittdienstleister bedeutet dies mehr Transparenz, strengere Anforderungen und eine klare Ausrichtung auf resiliente Prozesse.