Art. 31 Einstufung kritischer IKT-Drittdienstleister | DORA regulation | DORA

1. Die ESA nehmen über den Gemeinsamen Ausschuss und auf Empfehlung des gemäß Artikel 32 Absatz 1 eingerichteten Überwachungsforums folgende Aufgaben wahr:
  1. Einstufung der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die für Finanzunternehmen kritisch sind, nachdem eine entsprechende Bewertung unter Berücksichtigung der in Absatz 2 genannten Kriterien durchgeführt wurde;
  2. Ernennung derjenigen Europäischen Aufsichtsbehörde zur federführenden Überwachungsbehörde für jeden kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die gemäß den Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 bzw. (EU) Nr. 1095/2010 für diejenigen Finanzunternehmen zuständig ist, die nachweislich der Summe der einzelnen Bilanzen dieser Finanzunternehmen zusammen den größten Anteil des Gesamtvermögens am Gesamtwert der Aktiva aller Finanzunternehmen halten, die die Dienste des betreffenden kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; nutzen.
1. Die Einstufung nach Absatz 1 Buchstabe a basiert in Bezug auf IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die vom IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; bereitgestellt werden, auf den folgenden Kriterien:
  1. den systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der betreffende IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; bei der Erbringung seiner Dienste einer umfassenden Betriebsstörung ausgesetzt wäre, wobei die Zahl von Finanzunternehmen und der Gesamtwert der Aktiva derjenigen Finanzunternehmen zu berücksichtigen ist, für die der betreffende IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; Dienstleistungen erbringt;
  2. dem systemischen Charakter oder der Bedeutung der Finanzunternehmen, die auf den jeweiligen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zurückgreifen, bewertet anhand der folgenden Parameter:
    
    der Anzahl global systemrelevanter Institute (G-SRI) oder anderer systemrelevanter Institute (A-SRI), die auf den jeweiligen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zurückgreifen;
    
    der Interdependenz zwischen den unter Ziffer i genannten G-SRI oder A-SRI und anderen Finanzunternehmen, einschließlich der Fälle, in denen die G-SRI oder A-SRI Finanzinfrastrukturdienstleistungen für andere Finanzunternehmen erbringen;
  3. der Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; mit Blick auf kritische oder wichtige Funktionen von Finanzunternehmen, in die letztlich derselbe IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; involviert ist — unabhängig davon, ob Finanzunternehmen diese Dienste direkt oder indirekt durch Vereinbarungen über die Unterauftragsvergabe in Anspruch nehmen;
  4. dem Grad der Substituierbarkeit des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; unter Berücksichtigung der folgenden Parameter:
    
    des Mangels an echten, auch teilweisen Alternativen aufgrund der begrenzten Zahl von IKT-Drittdienstleistern, die auf einem bestimmten Markt tätig sind, oder des Marktanteils des betreffenden IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder der damit verbundenen technischen Komplexität oder Differenziertheit, auch in Bezug auf proprietäre Technologien, oder der besonderen Merkmale der Organisation oder Tätigkeit des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;;
    
    der Schwierigkeiten bei der teilweisen oder vollständigen Migration der einschlägigen Daten und Arbeitslasten vom jeweiligen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu einem anderen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die entweder auf erhebliche finanzielle Kosten, zeitliche oder sonstige Ressourcen, die der Migrationsprozess mit sich bringen kann, oder auf erhöhte IKT-Risiken oder sonstige operationelle Risiken zurückzuführen sind, denen das Finanzunternehmen durch eine solche Migration ausgesetzt sein könnte.
1. Gehört der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu einer Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU;, so werden die in Absatz 2 genannten Kriterien in Bezug auf die von der Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; als Ganzes bereitgestellten IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; berücksichtigt.
1. Kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die Teil einer Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; sind, benennen eine juristische Person als Koordinierungsstelle, um eine angemessene Vertretung und Kommunikation mit der federführenden Überwachungsbehörde sicherzustellen.
1. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; unterrichtet den IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; über das Ergebnis der Bewertung, die zu der in Absatz 1 Buchstabe a genannten Einstufung geführt hat. Innerhalb von sechs Wochen ab dem Datum der Unterrichtung kann der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; der federführenden Überwachungsbehörde eine begründete Erklärung mit allen für die Zwecke der Bewertung relevanten Informationen übermitteln. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; prüft die begründete Erklärung und kann verlangen, dass innerhalb von 30 Kalendertagen nach Eingang der Erklärung zusätzliche Informationen übermittelt werden.
2. Nach der Einstufung eines IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; als kritisch, unterrichten die ESA den IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; über den Gemeinsamen Ausschuss über diese Einstufung und das Anfangsdatum, ab dem er tatsächlich Überwachungstätigkeiten unterliegen wird. Dieses Anfangsdatum darf nicht mehr als einen Monat nach der Unterrichtung liegen. Der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; teilt den Finanzunternehmen, für die er Dienstleistungen erbringt, seine Einstufung als kritisch mit.
1. Der Kommission wird die Befugnis übertragen, gemäß Artikel 57 einen delegierten Rechtsakt zu erlassen, um diese Verordnung durch die weitere Präzisierung der in Absatz 2 genannten Kriterien bis 17. Juli 2024 zu ergänzen.
1. Die Einstufung nach Absatz 1 Buchstabe a darf erst angewendet werden, wenn die Kommission einen delegierten Rechtsakt gemäß Absatz 6 erlassen hat.
1. Die Einstufung nach Absatz 1 Buchstabe a gilt nicht für:
  1. Finanzunternehmen, die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für andere Finanzunternehmen bereitstellen;
  2. IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die Überwachungsrahmen unterliegen, die zur Unterstützung der in Artikel 127 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union genannten Aufgaben eingerichtet wurden;
  3. gruppeninterne IKT-Dienstleister;
  4. IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; ausschließlich in einem Mitgliedstaat für Finanzunternehmen bereitstellen, die nur in diesem Mitgliedstaat tätig sind.
1. Die ESA erstellen, veröffentlichen und aktualisieren die Liste kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde; auf Unionsebene jährlich über den Gemeinsamen Ausschuss.
1. Die zuständigen Behörden übermitteln dem gemäß Artikel 32 eingerichteten Überwachungsforum für die Zwecke von Absatz 1 Buchstabe a die in Artikel 28 Absatz 3 Unterabsatz 3 genannten Berichte auf jährlicher und aggregierter Basis. Das Überwachungsforum bewertet die Abhängigkeiten von Finanzunternehmen gegenüber IKT-Drittdienstleistern auf der Grundlage der von den zuständigen Behörden übermittelten Informationen.
1. Diejenigen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die nicht in der in Absatz 9 genannten Liste aufgeführt sind, können beantragen, gemäß Absatz 1 Buchstabe a als kritisch eingestuft zu werden.
2. Für die Zwecke von Unterabsatz 1 reicht der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; bei der EBA, der ESMA oder der EIOPA einen begründeten Antrag ein, die über den Gemeinsamen Ausschuss entscheiden, ob dieser IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; gemäß Absatz 1 Buchstabe a als kritisch eingestuft werden soll.
3. Die in Unterabsatz 2 genannte Entscheidung wird innerhalb von 6 Monaten nach Eingang des Antrags getroffen und dem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; mitgeteilt.
1. Finanzunternehmen dürfen nur dann die Dienstleistungen eines IKT-Drittdienstleisters mit Sitz in einem Drittlandeinen IKT-Drittdienstleister, bei dem es sich um eine in einem Drittland niedergelassene juristische Person handelt, die mit einem Finanzunternehmen eine vertragliche Vereinbarung über die Bereitstellung von IKT-Dienstleistungen geschlossen hat; in Anspruch nehmen, der gemäß Absatz 1 Buchstabe a als kritisch eingestuft worden ist, wenn er innerhalb von zwölf Monaten nach der Einstufung ein Tochterunternehmenein Tochterunternehmen im Sinne von Artikel 2 Nummer 10 und Artikel 22 der Richtlinie 2013/34/EU; in der Union gegründet hat.
1. Der in Absatz 12 genannte kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; teilt der federführenden Überwachungsbehörde jede Änderung der Leitungsstruktur des in der Union niedergelassenen Tochterunternehmensein Tochterunternehmen im Sinne von Artikel 2 Nummer 10 und Artikel 22 der Richtlinie 2013/34/EU; mit.