Europäische Banking Authority veröffentlicht Liste der kritischen IT Dienstleister nach Artikel 31 Abs. 9 des Digital Resilliance Act

Nun wurde vor wenigen Tagen die Liste veröffentlicht, die die kritischen ITK Dienstleister nach Artikel 31 Abs. 9 DRA anzeigen.

Liste ist:

– Accenture plc
Amazon web Services EMEA Sarl
− Bloomberg L.P.
− Capgemini SE
− Colt Technology Services
Deutsche Telekom AG
− Equinix (EMEA) B.V.
− Fidelity National Information Services, Inc.
Google Cloud EMEA Limited
− International Business Machine Corporation
− InterXion HeadQuarters B.V.
− Kyndryl Inc.
− LSEG Data and Risk Limited
Microsoft Ireland Operations Limited
− NTT DATA Inc.
Oracle Nederland B.V.
− Orange SA
SAP SE
− Tata Consultancy Services Limited

 

Quelle

https://www.eba.europa.eu/sites/default/files/2025-11/e388451b-356b-408a-bbf2-b8e425865d75/List%20of%20designated%20CTPPs.pdf

 

Auswirkungen – Anbieter als IKT kritische Anbieter festgestellt:

Sobald ein Anbieter gemäß Art. 31 als kritisch bezeichnet ist, tritt ein deutlich erweitertes Überwachungs‑ und Kontrollregime in Kraft – und zwar direkt gegenüber dem Anbieter:

  • Designierter Lead‑Overseer: Eine der ESAs wird federführend damit beauftragt, gemeinsam mit dem Oversight Forum und dem Joint Examination Team (JET) den Dienstleister zu überwachen.
  • Erweiterte Aufsichtsbefugnisse: Der Lead‑Overseer kann:
    • Auskünfte und Dokumente anfordern,
    • Vor-Ort-Prüfungen durchführen,
    • Inspektionen starten,
    • verbindliche Handlungsempfehlungen zu Security‑ und Governance‑Prozessen erteilen,
    • bei weiteren Risiken solche sub‑Outsourcing‑Pläne untersagen.
  • Durchsetzungsmechanismen: Bei Nichteinhaltung drohen:
    • Periodische Zwangsgelder (§ 31 Abs. 9 verweist auf weitergehende Bestimmungen, insbesondere Art. 35),
    • Öffentlichkeitswirksame Offenlegung von Sanktionen.
  • Koordination mit nationaler Aufsicht: Die Beaufsichtigung ergänzt die Kontrolle der Finanzinstitute selbst (IKT‑Risikomanagement etc.), um Überlappungen mit NIS2 zu vermeiden.
  • Dynamische Bewertung: Die jährliche Neubewertung kann zur Aufnahme weiterer oder Streichung bereits angeführter Anbieter führen.

Zusammenfassend:

  • Pflicht zur Veröffentlichung: Art. 31(9) verlangt die jährliche Bekanntgabe der kritischen IKT-Drittanbieter.
  • Umfangreiche Aufsicht: Diese Anbieter werden intensiv direkt überwacht – inkl. Informationspflichten, Inspektionen, Abhilfemaßnahmen, Sanktionen.
  • Schutz der Finanzstabilität: Ziel ist es, systemische Risiken zu reduzieren und eine zuverlässige, sichere digitale Infrastruktur für den Finanzsektor zu gewährleisten.