Die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA (zusammen die ESAs) haben in einer neuen Stellungnahme zur Umsetzung des Digital Operational Resilience Act (DORA) ihre Bedenken zu den geplanten Kriterien zur Identifikation der IKT-Drittdienstleister geäußert. Die Europäische Kommission hatte zuvor den von den ESAs vorgeschlagenen Entwurf für technische Durchführungsstandards (ITS) abgelehnt, um Unternehmen die Wahl zwischen zwei Identifikationsnummern für IKT-Drittdienstleister zu ermöglichen. Laut den ESAs könnte diese Flexibilität jedoch zu unnötiger Komplexität und erhöhtem Aufwand für die Finanzindustrie führen.

Die Europäische Kommission möchte Finanzunternehmen die Wahl lassen, IKT-Drittdienstleister entweder mit dem Legal Entity Identifier (LEI) oder dem European Unique Identifier (EUID) zu kennzeichnen. Nach Ansicht der ESAs könnte diese Option jedoch zusätzliche Schwierigkeiten in der Umsetzung von DORA schaffen. Zwar ist die EUID innerhalb der EU kostenlos verfügbar, jedoch könnte die gleichzeitige Verwendung beider Kennungen zu mehr Verwaltungsaufwand führen und die Datenqualität beeinträchtigen, was sich negativ auf die Identifizierung kritischer IKT-Drittdienstleister auswirken würde.

Falls die Europäische Kommission trotz der Bedenken der ESAs auf der Einführung der EUID besteht, empfehlen die ESAs, den ITS-Entwurf entsprechend anzupassen. Sie betonen jedoch, dass der LEI als primäre Kennung bevorzugt werden sollte, um eine einheitliche Identifikation von IKT-Drittdienstleistern zu gewährleisten, insbesondere für Finanzunternehmen mit gruppenweiten Strukturen. Zudem fordern die ESAs eine rasche Annahme der ITS, da die Benennung kritischer IKT-Drittdienstleister durch die zuständigen Aufsichtsbehörden bereits ab 2025 geplant ist.

Darüber hinaus schlagen die ESAs weitere Anpassungen am ITS-Entwurf vor, welche auf den Erfahrungen aus dem freiwilligen Testlauf mit Finanzunternehmen basieren. Sie betonen die Notwendigkeit eines klaren Rahmens, damit Finanzunternehmen die neuen Meldepflichten reibungslos erfüllen und ihre Informationsregister innerhalb der ersten Jahreshälfte 2025 bei den zuständigen Aufsichtsbehörden einreichen können.

Die Stellungnahme der ESAs verdeutlicht die Dringlichkeit, klare und umsetzbare Standards für die Identifizierung von IKT-Drittdienstleistern zu schaffen. Die ESAs fordern eine konsistente Lösung, die die Anforderungen für Finanzunternehmen minimiert und gleichzeitig die digitale Resilienz der Finanzbranche stärkt. Die nächsten Schritte der Europäischen Kommission werden entscheidend dafür sein, ob DORA einheitlich und wirksam umgesetzt werden kann.