ESAs legen Kritikalitätskriterien und Aufsichtsgebühren für kritische ICT-Drittanbieter unter DORA fest
Kriterium 1: Auswirkung auf Finanzdienstleistungen
- Betrachtet systemischen Einfluss auf Stabilität und Qualität der Finanzdienstleistungen bei Ausfall eines ICT-Drittanbieters.
- Indikatoren messen Anzahl und Vermögenswerte von Finanzunternehmen, die auf den TPP angewiesen sind.
Kriterium 2: Bedeutung von Finanzunternehmen
- Bewertet systemische Bedeutung von Finanzunternehmen, die auf ICT-Drittanbieter angewiesen sind.
- Indikatoren erfassen Anzahl systemisch wichtiger Institutionen und deren Interdependenz mit anderen Finanzunternehmen.
Kriterium 3: Kritische/wichtige Funktionen
- Fokussiert auf Abhängigkeit von Finanzunternehmen von kritischen oder wichtigen ICT-Diensten.
- Integriert diese Dimension in alle Schritt-1-Indikatoren und hat nur einen Schritt-2-Indikator zur Kritikalität der ICT-Dienste.
Kriterium 4: Grad der Substituierbarkeit
- Bewertet Ersetzbarkeit des ICT-Drittanbieters basierend auf Marktlage, technischer Komplexität und Migrationsherausforderungen.
- Indikatoren messen Verfügbarkeit von Alternativen und Komplexität der Migration oder Integration von ICT-Diensten.
Die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) haben heute ihre gemeinsame Antwort auf die Aufforderung der Europäischen Kommission zur Beratung zu zwei delegierten Rechtsakten im Rahmen des Digital Operational Resilience Act (DORA) veröffentlicht. Diese spezifizieren weitere Kriterien für kritische ICT-Drittanbieter (CTPPs) und bestimmen die Aufsichtsgebühren, die von solchen Anbietern erhoben werden.
In Bezug auf die Kriterien der Kritikalität schlagen die ESAs 11 quantitative und qualitative Indikatoren vor, zusammen mit den notwendigen Informationen, um solche Indikatoren zu erstellen und zu interpretieren, und folgen dabei einem zweistufigen Ansatz. Die ESAs schlagen auch Mindestrelevanzschwellen für quantitative Indikatoren vor, wo möglich und anwendbar, die als Ausgangspunkte im Bewertungsprozess zur Bezeichnung kritischer Drittanbieter dienen sollen. Diese gemeinsame Antwort enthält keine Einzelheiten zum Benennungsverfahren oder zur zugehörigen Methodik, da diese nicht im Rahmen dieser Aufforderung zur Beratung liegen. Die ESAs planen jedoch, diese Details spätestens sechs Monate nach Annahme des delegierten Rechtsakts durch die Kommission zu definieren.
Hinsichtlich der Aufsichtsgebühren machen die ESAs Vorschläge zur Bestimmung der Höhe der Gebühren, die von CTPPs erhoben werden, und zur Art und Weise ihrer Zahlung. Die Vorschläge der ESAs umfassen die Arten der geschätzten Ausgaben (sowohl für die ESAs als auch für die zuständigen Behörden), die durch die Aufsichtsgebühren gedeckt werden sollen, sowie die Grundlage für die Berechnung der Ausgaben und die verfügbaren Informationen zur Bestimmung des anwendbaren Umsatzes der CTPPs (die Grundlage der Gebührenberechnung) und die Methode der Gebührenberechnung zusammen mit anderen praktischen Fragen zur Erhebung der Gebühren. Darüber hinaus schlägt die Beratung einen finanziellen Beitrag für freiwillige Opt-in-Anfragen vor. Die ESAs werden andere praktische Aspekte zur Schätzung der Aufsichtsausgaben und operative Aspekte im Kontext der Umsetzung des Aufsichtsrahmens spezifizieren.
Rechtsgrundlage Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale Betriebsstabilität im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 bildet die rechtliche Grundlage für die Antwort der ESAs.
Hintergrund Im Dezember 2022 erteilte die Kommission den ESAs einen Auftrag zur Beratung (CfA) in Bezug auf zwei delegierte Rechtsakte unter DORA, um 1) weitere Kriterien für kritische ICT-Drittdienstleister zu spezifizieren und 2) die von solchen Anbietern erhobenen Gebühren zu bestimmen.
Um die Antworten zu informieren, führten die ESAs eine öffentliche Konsultation durch (Mai-Juni 2023). Angesichts der 41 Rückmeldungen verschiedener Interessengruppen haben die ESAs den Entwurf der Beratung zu den Kritikalitätskriterien geändert, um die Rolle kritischer oder wichtiger Funktionen in der Bewertung zu erhöhen und den vorgeschlagenen Indikatorensatz weiter zu straffen. Hinsichtlich der Aufsichtsgebühren haben die ESAs unter anderem ihren Rat angepasst, indem sie vorschlagen, den Geltungsbereich des anwendbaren Umsatzes auf einer engeren Basis zu definieren. Insgesamt äußerten die Marktteilnehmer Unterstützung für die Vorschläge im Zusammenhang mit den anderen Aspekten der Beratung und forderten Klarstellungen zu einigen anderen Punkten.
Gemeinsame Beratung zu Kritikalitätskriterien
Kriterium 1: Auswirkung auf die Bereitstellung von Finanzdienstleistungen
„Der systemische Einfluss auf die Stabilität, Kontinuität oder Qualität der Bereitstellung von Finanzdienstleistungen, falls ein ICT-Drittanbieter (ICT TPP) einen großflächigen Betriebsausfall bei der Erbringung seiner Dienste erleidet, unter Berücksichtigung der Anzahl der Finanzunternehmen und des Gesamtwerts der Vermögenswerte der Finanzunternehmen, denen der ICT TPP Dienstleistungen bietet.“
Liste der Indikatoren Schritt 1:
Indikator 1.1
Anzahl der Finanzunternehmen, die direkt oder indirekt auf ICT-Dienste angewiesen sind, die vom selben ICT TPP bereitgestellt werden, und die kritische oder wichtige Funktionen unterstützen (pro Typ des Finanzunternehmens und in Prozent)
Indikator 1.2
Anteil der Finanzunternehmen, die direkt oder indirekt auf ICT-Dienste angewiesen sind, die vom selben ICT TPP bereitgestellt werden und die kritische oder wichtige Funktionen unterstützen, gemessen am Gesamtwert der Vermögenswerte der Finanzunternehmen oder einer äquivalenten Metrik (pro Typ des Finanzunternehmens und in Prozent)
Liste der Indikatoren Schritt 2:
Indikator 1.3
Anteil der Finanzunternehmen, bei denen der Einfluss der Einstellung der ICT-Dienste, die vom selben ICT TPP bereitgestellt werden, auf die Aktivitäten und Operationen dieser Finanzunternehmen als ‚hoch‘ bewertet wird (pro Typ des Finanzunternehmens und in Prozent)
Indikator 1.4
Anzahl der benannten CTPPs, die auf dieselben Subunternehmer angewiesen sind, um direkt oder indirekt ICT-Dienste für Finanzunternehmen zu erbringen, die kritische oder wichtige Funktionen unterstützen (in absoluten Zahlen)
Kriterium 2: Bedeutung von Finanzunternehmen
„Der systemische Charakter oder die Bedeutung der Finanzunternehmen, die auf den relevanten ICT-Drittanbieter angewiesen sind, bewertet anhand der folgenden Parameter: i. die Anzahl der global systemisch wichtigen Institutionen (G-SIIs) oder anderer systemisch wichtiger Institutionen (O-SIIs), die auf den jeweiligen ICT-Drittanbieter angewiesen sind; ii. die wechselseitige Abhängigkeit zwischen den in Punkt (i) genannten G-SIIs oder O-SIIs und anderen Finanzunternehmen, einschließlich Situationen, in denen G-SIIs oder O-SIIs Finanzinfrastrukturdienste für andere Finanzunternehmen bereitstellen.“
Liste der Indikatoren Schritt 1:
Indikator 2.1
Anzahl der G-SIIs und O-SIIs (nur Kreditinstitute), die direkt oder indirekt auf ICT-Dienste angewiesen sind, die vom selben ICT TPP bereitgestellt werden, und die kritische oder wichtige Funktionen unterstützen (in absoluten Zahlen)
Indikator 2.2
Anzahl der Finanzunternehmen, die von zuständigen Behörden als systemisch identifiziert wurden, außer G-SIIs und O-SIIs (außer Kreditinstitute), die direkt oder indirekt auf ICT-Dienste angewiesen sind, die vom selben ICT TPP bereitgestellt werden, und die kritische oder wichtige Funktionen unterstützen (in absoluten Zahlen)
Liste der Indikatoren Schritt 2: Indikator 2.3 Grad der wechselseitigen Abhängigkeit zwischen G-SIIs oder O-SIIs und anderen Finanzunternehmen, einschließlich Fällen, in denen G-SIIs oder O-SIIs Finanzinfrastrukturdienste für andere Finanzunternehmen bereitstellen, die auf ICT-Dienste des selben ICT TPP angewiesen sind
Kriterium 3: Kritische oder wichtige Funktionen
„Die Abhängigkeit der Finanzunternehmen von den Dienstleistungen des relevanten ICT-Drittanbieters in Bezug auf kritische oder wichtige Funktionen der Finanzunternehmen, die letztendlich den gleichen ICT-Drittanbieter einbeziehen, unabhängig davon, ob die Finanzunternehmen auf diese Dienste direkt oder indirekt, durch Subunternehmertum, angewiesen sind.“
Liste der Indikatoren Schritt 1
Die Ausprägung, in der ein ICT-Dienst eines ICT-Drittanbieters (ICT TPP) kritische oder wichtige Funktionen auf Ebene des Finanzunternehmens unterstützt, wird als ein wesentliches Element der allgemeinen Kritikalitätsbewertung angesehen und kann als Ausgangspunkt dieser Übung betrachtet werden. Aufgrund des vorgeschlagenen ganzheitlichen Charakters der Kritikalitätsbewertung und wie auch von den Marktteilnehmern während der öffentlichen Konsultation empfohlen, wird vorgeschlagen, diese wichtige Dimension der Kritikalität in alle Indikatoren des Schrittes 1 zu integrieren und keine getrennten Indikatoren zu ‚kritischen oder wichtigen Funktionen‘ unter Kriterium 3 zu haben. Stattdessen besteht Kriterium 3 nur aus einem Indikator des Schrittes 2, der sich auf das Kritikalitätsniveau der ICT-Dienste selbst konzentriert, die von ICT TPPs an ihre Kunden im Finanzbereich im Rahmen des DORA bereitgestellt werden.
Liste der Indikatoren Schritt 2
Indikator 3.1
Grad der inhärenten Kritikalität von ICT-Diensten, die direkt oder indirekt von demselben ICT TPP an Finanzunternehmen bereitgestellt werden
Kriterium 4: Grad der Substituierbarkeit
„Der Grad der Ersetzbarkeit des ICT-Drittanbieters, unter Berücksichtigung der folgenden Parameter: i. das Fehlen echter Alternativen, selbst teilweise, aufgrund der begrenzten Anzahl von ICT TPPs, die auf einem bestimmten Markt aktiv sind, oder des Marktanteils der relevanten ICT TPPs, oder der technischen Komplexität oder Raffinesse, einschließlich in Bezug auf jegliche proprietäre Technologie, oder der spezifischen Merkmale der Organisation oder Aktivität des ICT TPP; ii. Schwierigkeiten im Zusammenhang mit der teilweisen oder vollständigen Migration relevanter Daten und Arbeitslasten vom relevanten ICT TPP zu einem anderen ICT TPP, sei es aufgrund erheblicher finanzieller Kosten, Zeit oder anderer Ressourcen, die der Migrationsprozess mit sich bringen kann, oder aufgrund eines erhöhten ICT-Risikos oder anderer operativer Risiken, denen das Finanzunternehmen durch eine solche Migration ausgesetzt sein könnte.“
Liste der Indikatoren Schritt 1:
Indikator 4.1
Anteil der Finanzunternehmen, die berichten, dass keine alternativen ICT TPPs verfügbar sind oder die erforderliche Fähigkeit und/oder Kapazität besitzen, um die gleichen ICT-Dienste, die kritische oder wichtige Funktionen unterstützen, wie vom bestehenden ICT TPP direkt oder indirekt bereitgestellt, (vollständig oder teilweise) zu erbringen, gemessen an der Gesamtzahl der Finanzunternehmen (gesamt) und am Gesamtwert der Vermögenswerte der Finanzunternehmen oder einer äquivalenten Metrik36 (pro Typ des Finanzunternehmens und in Prozent)
Indikator 4.2
Anteil der Finanzunternehmen, die berichten, dass es hochkomplex/schwierig ist, ICT-Dienste, die direkt oder indirekt von einem ICT TPP zur Unterstützung kritischer oder wichtiger Funktionen bereitgestellt werden, zu migrieren oder wieder zu integrieren, gemessen an der Gesamtzahl der Finanzunternehmen (gesamt) und am Gesamtwert der Vermögenswerte38 der Finanzunternehmen (pro Typ des Finanzunternehmens und in Prozent)
Liste der Indikatoren Schritt 2: Indikator 4.3 Marktanteil der ICT TPPs, die direkt oder indirekt ICT-Dienste für Finanzunternehmen bereitstellen (gemessen an der Gesamtzahl der Finanzunternehmen und, falls verfügbar, an den jährlichen Ausgaben oder geschätzten Kosten/Budget der vertraglichen Vereinbarungen40 (pro Art des ICT-Dienstes und in Prozent))