Source: OJ L, 2024/1502, 30.5.2024

Criteria for designating critical service providers

DELEGIERTE VERORDNUNG (EU) 2024/1502 DER KOMMISSION

vom 22. Februar 2024

zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011(¹)ABl. L 333 vom 27.12.2022, S. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., insbesondere auf Artikel 31 Absatz 6,

in Erwägung nachstehender Gründe:

Open full page

Erwägungsgrund 1 Designation procedure

Um zu beurteilen, ob ein IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; für Finanzunternehmen kritisch ist, sollten die Europäischen Aufsichtsbehörden (ESA) unter Berücksichtigung der Kriterien in Artikel 31 Absatz 2 der Verordnung (EU) 2022/2554 im Rahmen eines zweistufigen Bewertungsansatzes Unterkriterien heranziehen. Angesichts der Vielzahl von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; und der Vielfalt und Zahl der Finanzinstitute, die diese Dienstleistungen nutzen, sollte ein solcher zweistufiger Ansatz zur Anwendung kommen, um die Population der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu filtern und jene IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu ermitteln, die am kritischsten sind. Die in Stufe 1 der Bewertung anzulegenden quantitativen Unterkriterien sind notwendig, um eine erste Auswahl der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu treffen, bei denen eine weitere eingehende Analyse anhand der in Stufe 2 der Bewertung heranzuziehenden qualitativen Unterkriterien relevant ist.

Erwägungsgrund 2 Importance of activities supported by ICT services

Inwieweit eine von einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; bereitgestellte IKT-Dienstleistung kritische oder wichtige Funktionen des Finanzunternehmens unterstützt, wird generell als zentrales Element der Kritikalitätsbewertung erachtet. Daher sollte die Bedeutung der durch IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; unterstützten Tätigkeiten der Finanzunternehmen in alle Unterkriterien der Stufe 1 einfließen. Folglich sollte in Stufe 1 der Bewertung keine gesonderte quantitative Beurteilung der Kritikalität der Funktionen der Finanzunternehmen vorgenommen werden. Stattdessen sollten die Europäischen Aufsichtsbehörden die Kritikalität und Bedeutung der durch IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; unterstützten Funktionen der Finanzunternehmen in der qualitativen zweiten Bewertungsstufe berücksichtigen.

Erwägungsgrund 3 Individual and group ICT third-party service providers and subcontractors

Die Bewertung sollte für jeden einzelnen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder, sofern anwendbar, für jede einzelne Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; von IKT-Drittdienstleistern vorgenommen werden, falls der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; im Sinne von Artikel 31 Absatz 3 der Verordnung (EU) 2022/2554 einer Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; angehört. Um eine umfassende Bewertung der potenziellen systemischen Auswirkungen auf den Finanzsektor der Union zu ermöglichen, sollten die IKT-Unterauftragnehmer von IKT-Drittdienstleistern ebenfalls der Bewertung durch die Europäischen Aufsichtsbehörden unterzogen und gegebenenfalls als kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; eingestuft werden.

Erwägungsgrund 4 Systemic impact assessments

Um die systemischen Auswirkungen des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen zu ermitteln, ist es überaus wichtig, sich ein klares Bild von Ausmaß und Art der systemischen Auswirkungen zu verschaffen, die eine umfassende Betriebsstörung bei einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; auf die Finanzunternehmen, die die von einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; erbrachten Dienstleistungen in Anspruch nehmen, und auf das Finanzsystem hätte. Deshalb sollte berücksichtigt werden, wie viele Finanzunternehmen einer bestimmten Kategorie von Finanzunternehmen dieselben IKT-Dienste nutzen und auf welchen Wert sich ihre Vermögenswerte belaufen, damit beurteilt werden kann, ob ein IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, der die betreffenden IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; erbringt, als kritisch eingestuft werden sollte. Darüber hinaus sollte eine qualitative Bewertung der systemischen Bedeutung und der Verflechtungen der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; sowie der Bedeutung der von einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; erbrachten Dienstleistungen für die Erbringung von Finanzdienstleistungen durch Finanzunternehmen unter Berücksichtigung der Stabilität und Kontinuität der Dienstleistungen durchgeführt werden, um die systemischen Auswirkungen des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; auf die Tätigkeiten der Finanzunternehmen zu ermitteln.

Erwägungsgrund 5 Considering the nature of financial entities

Um den systemischen Charakter und die Bedeutung der Finanzunternehmen, die die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; in Anspruch nehmen, zu ermitteln, gilt es zu berücksichtigen, um welche Art von Finanzunternehmen es sich handelt. Nehmen als G-SRI und A-SRI oder als „systemrelevant“ eingestufte Finanzunternehmen zur Unterstützung kritischer oder wichtiger Funktionen ein und dieselben IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; in Anspruch, sollte bewertet werden, ob der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, der diese Dienstleistungen erbringt, für den Finanzsektor der Union als kritisch eingestuft werden sollte. Die Verflechtungen zwischen jenen Finanzunternehmen innerhalb des Finanzsektors der Union, die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; ein und desselben IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; in Anspruch nehmen, sollten ebenfalls bewertet werden, um die Abhängigkeit der Finanzunternehmen von diesem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; festzustellen.

Erwägungsgrund 6 Critical or important functions

Die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die kritische oder wichtige Funktionen von Finanzunternehmen unterstützen, sollten mit Blick auf ihre Art und ihren kritischen Charakter dahin gehend bewertet werden, ob sie notwendig sind, damit die Finanzunternehmen ihre Tätigkeiten ohne Störungen ausüben können.

Erwägungsgrund 7 Degree of substitutability

Um den Grad der Substituierbarkeit des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu ermitteln, müssen bei der von den Europäischen Aufsichtsbehörden durchzuführenden Bewertung die Zahl der auf einem bestimmten Markt tätigen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die Existenz alternativer Lösungen für ein und dieselbe IKT-Dienstleistung sowie die Kosten einer Migration von Daten und IKT-Arbeitslasten zu einem anderen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; berücksichtigt werden.

Erwägungsgrund 8 Sources of information for designation

Um die Solidität des Bewertungsprozesses zu gewährleisten, ist es wichtig, dass sich die Europäischen Aufsichtsbehörden bei der Bewertung, ob IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; als kritisch eingestuft werden sollten, auf die Daten aus den in Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 genannten Informationsregistern sowie alle sonstigen leicht verfügbaren Informationen stützen —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 22. Februar 2024

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN