Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Wirtschaft/Finanzwesen - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ¹, insbesondere auf Artikel 31 Absatz 6,

in Erwägung nachstehender Gründe:

(1) Um zu beurteilen, ob ein IKT-Drittdienstleister für Finanzunternehmen kritisch ist, sollten die Europäischen Aufsichtsbehörden (ESA) unter Berücksichtigung der Kriterien in Artikel 31 Absatz 2 der Verordnung (EU) 2022/2554 im Rahmen eines zweistufigen Bewertungsansatzes Unterkriterien heranziehen. Angesichts der Vielzahl von IKT-Dienstleistungen und der Vielfalt und Zahl der Finanzinstitute, die diese Dienstleistungen nutzen, sollte ein solcher zweistufiger Ansatz zur Anwendung kommen, um die Population der IKT-Drittdienstleister zu filtern und jene IKT-Drittdienstleister zu ermitteln, die am kritischsten sind. Die in Stufe 1 der Bewertung anzulegenden quantitativen Unterkriterien sind notwendig, um eine erste Auswahl der IKT-Drittdienstleister zu treffen, bei denen eine weitere eingehende Analyse anhand der in Stufe 2 der Bewertung heranzuziehenden qualitativen Unterkriterien relevant ist.

(2) Inwieweit eine von einem IKT-Drittdienstleister bereitgestellte IKT-Dienstleistung kritische oder wichtige Funktionen des Finanzunternehmens unterstützt, wird generell als zentrales Element der Kritikalitätsbewertung erachtet. Daher sollte die Bedeutung der durch IKT-Dienstleistungen unterstützten Tätigkeiten der Finanzunternehmen in alle Unterkriterien der Stufe 1 einfließen. Folglich sollte in Stufe 1 der Bewertung keine gesonderte quantitative Beurteilung der Kritikalität der Funktionen der Finanzunternehmen vorgenommen werden. Stattdessen sollten die Europäischen Aufsichtsbehörden die Kritikalität und Bedeutung der durch IKT-Dienstleistungen unterstützten Funktionen der Finanzunternehmen in der qualitativen zweiten Bewertungsstufe berücksichtigen.

(3) Die Bewertung sollte für jeden einzelnen IKT-Drittdienstleister oder, sofern anwendbar, für jede einzelne Gruppe von IKT-Drittdienstleistern vorgenommen werden, falls der IKT-Drittdienstleister im Sinne von Artikel 31 Absatz 3 der Verordnung (EU) 2022/2554 einer Gruppe angehört. Um eine umfassende Bewertung der potenziellen systemischen Auswirkungen auf den Finanzsektor der Union zu ermöglichen, sollten die IKT-Unterauftragnehmer von IKT-Drittdienstleistern ebenfalls der Bewertung durch die Europäischen Aufsichtsbehörden unterzogen und gegebenenfalls als kritische IKT-Drittdienstleister eingestuft werden.

(4) Um die systemischen Auswirkungen des IKT-Drittdienstleisters auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen zu ermitteln, ist es überaus wichtig, sich ein klares Bild von Ausmaß und Art der systemischen Auswirkungen zu verschaffen, die eine umfassende Betriebsstörung bei einem IKT-Drittdienstleister auf die Finanzunternehmen, die die von einem IKT-Drittdienstleister erbrachten Dienstleistungen in Anspruch nehmen, und auf das Finanzsystem hätte. Deshalb sollte berücksichtigt werden, wie viele Finanzunternehmen einer bestimmten Kategorie von Finanzunternehmen dieselben IKT-Dienste nutzen und auf welchen Wert sich ihre Vermögenswerte belaufen, damit beurteilt werden kann, ob ein IKT-Drittdienstleister, der die betreffenden IKT-Dienstleistungen erbringt, als kritisch eingestuft werden sollte. Darüber hinaus sollte eine qualitative Bewertung der systemischen Bedeutung und der Verflechtungen der IKT-Drittdienstleister sowie der Bedeutung der von einem IKT-Drittdienstleister erbrachten Dienstleistungen für die Erbringung von Finanzdienstleistungen durch Finanzunternehmen unter Berücksichtigung der Stabilität und Kontinuität der Dienstleistungen durchgeführt werden, um die systemischen Auswirkungen des IKT-Drittdienstleisters auf die Tätigkeiten der Finanzunternehmen zu ermitteln.

(5) Um den systemischen Charakter und die Bedeutung der Finanzunternehmen, die die IKT-Dienstleistungen in Anspruch nehmen, zu ermitteln, gilt es zu berücksichtigen, um welche Art von Finanzunternehmen es sich handelt. Nehmen als G-SRI und A-SRI oder als "systemrelevant" eingestufte Finanzunternehmen zur Unterstützung kritischer oder wichtiger Funktionen ein und dieselben IKT-Dienstleistungen in Anspruch, sollte bewertet werden, ob der IKT-Drittdienstleister, der diese Dienstleistungen erbringt, für den Finanzsektor der Union als kritisch eingestuft werden sollte. Die Verflechtungen zwischen jenen Finanzunternehmen innerhalb des Finanzsektors der Union, die IKT-Dienstleistungen ein und desselben IKT-Drittdienstleisters in Anspruch nehmen, sollten ebenfalls bewertet werden, um die Abhängigkeit der Finanzunternehmen von diesem IKT-Drittdienstleister festzustellen.

(6) Die IKT-Dienstleistungen, die kritische oder wichtige Funktionen von Finanzunternehmen unterstützen, sollten mit Blick auf ihre Art und ihren kritischen Charakter dahin gehend bewertet werden, ob sie notwendig sind, damit die Finanzunternehmen ihre Tätigkeiten ohne Störungen ausüben können.

(7) Um den Grad der Substituierbarkeit des IKT-Drittdienstleisters zu ermitteln, müssen bei der von den Europäischen Aufsichtsbehörden durchzuführenden Bewertung die Zahl der auf einem bestimmten Markt tätigen IKT-Drittdienstleister, die Existenz alternativer Lösungen für ein und dieselbe IKT-Dienstleistung sowie die Kosten einer Migration von Daten und IKT-Arbeitslasten zu einem anderen IKT-Drittdienstleister berücksichtigt werden.

(8) Um die Solidität des Bewertungsprozesses zu gewährleisten, ist es wichtig, dass sich die Europäischen Aufsichtsbehörden bei der Bewertung, ob IKT-Drittdienstleister als kritisch eingestuft werden sollten, auf die Daten aus den in Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 genannten Informationsregistern sowie alle sonstigen leicht verfügbaren Informationen stützen

- hat folgende Verordnung erlassen:

Artikel 1 Bewertungsansatz

(1) Bei der Prüfung der in Artikel 31 Absatz 2 der Verordnung (EU) 2022/2554 festgelegten Kriterien für die Einstufung eines IKT-Drittdienstleisters als für Finanzunternehmen kritisch, gehen die Europäischen Aufsichtsbehörden nach folgendem Ansatz vor:

1. In der ersten Stufe bewerten die Europäischen Aufsichtsbehörden, ob der IKT-Drittdienstleister alle in Artikel 2 Absatz 1, Artikel 3 Absatz 1 und Artikel 5 Absatz 1 genannten Unterkriterien der "Stufe 1" erfüllt.
2. In der zweiten Stufe führen die Europäischen Aufsichtsbehörden für jene IKT-Drittdienstleister, die sämtliche unter Buchstabe a genannten Unterkriterien der "Stufe 1" erfüllen, ihre Bewertung anhand der in Artikel 2 Absatz 5, Artikel 3 Absatz 4, Artikel 4 Absatz 1 und Artikel 5 Absatz 5 genannten Unterkriterien der "Stufe 2" durch.

Abweichend von Unterabsatz 1 wird bei der Bewertung des in Artikel 31 Absatz 2 Buchstabe c der Verordnung (EU) 2022/2554 genannten Kriteriums die erste Stufe durch die Bewertung der Kriterien in Artikel 31 Absatz 2 Buchstaben a, b und d der Verordnung (EU) 2022/2554 abgedeckt.

(2) Nach Ablauf der Frist für die Übermittlung einer begründeten Erklärung nach Artikel 31 Absatz 5 Unterabsatz 1 der Verordnung (EU) 2022/2554 stufen die Europäischen Aufsichtsbehörden einen IKT-Drittdienstleister im Wege des Gemeinsamen Ausschusses und auf Empfehlung des Überwachungsforums als für Finanzunternehmen kritisch ein, wenn er alle in Absatz 1 Buchstabe a genannten Unterkriterien der "Stufe 1" erfüllt und die Bewertung der in Absatz 1 Buchstabe b genannten Unterkriterien der "Stufe 2" positiv ausfällt.

Artikel 2 Systemische Auswirkungen von IKT-Drittdienstleistern auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen

(1) Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe a der Verordnung (EU) 2022/2554 festgelegten Kriteriums bewerten die Europäischen Aufsichtsbehörden, ob der IKT-Drittdienstleister die folgenden Unterkriterien der "Stufe 1" erfüllt:

1. Unterkriterium 1.1: von der Zahl der Finanzunternehmen jeder einzelnen in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 aufgeführten Kategorie von Finanzunternehmen der Anteil jener Finanzunternehmen, für die von ein und demselben IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbracht werden;
2. Unterkriterium 1.2: vom Gesamtwert der Vermögenswerte der Finanzunternehmen jeder einzelnen in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 aufgeführten Kategorie von Finanzunternehmen der Anteil jener Finanzunternehmen, für die von ein und demselben IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen des Finanzunternehmens erbracht werden.

(2) Das in Absatz 1 Buchstabe a genannte Unterkriterium 1.1 wird wie folgt berechnet:

(3) Das in Absatz 1 Buchstabe b genannte Unterkriterium 1.2 wird wie folgt berechnet:

(4) Bei einem IKT-Drittdienstleister gelten die in Absatz 1 genannten Unterkriterien der "Stufe 1" als erfüllt, wenn beide gemäß den Absätzen 2 und 3 berechneten Anteile bei mindestens einer in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 genannten Kategorie von Finanzunternehmen mindestens 10 % betragen.

(5) Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe a der Verordnung (EU) 2022/2554 festgelegten Kriteriums und sofern der IKT-Drittdienstleister die in Absatz 1 des vorliegenden Artikels genannten Unterkriterien der "Stufe 1" erfüllt, führen die Europäischen Aufsichtsbehörden ihre Bewertung anhand der folgenden Unterkriterien der "Stufe 2" durch:

1. Unterkriterium 1.3: Stärke der Auswirkungen einer Einstellung der vom IKT-Drittdienstleister erbrachten IKT-Dienstleistungen auf die Tätigkeiten und den Geschäftsbetrieb der Finanzunternehmen, die in "Stufe 1" nach den in Absatz 1 genannten Unterkriterien ermittelt wurden, und Zahl dieser betroffenen Finanzunternehmen;
2. Unterkriterium 1.4: Abhängigkeit des kritischen IKT-Drittdienstleisters von ein und denselben Unterauftragnehmern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von Finanzunternehmen erbringen.

Artikel 3 Systemischer Charakter und Bedeutung der IKT-Dienstleistungen für Finanzunternehmen

(1) Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Kriteriums bewerten die Europäischen Aufsichtsbehörden, ob der IKT-Drittdienstleister die folgenden Unterkriterien der "Stufe 1" erfüllt:

1. Unterkriterium 2.1: Zahl der global systemrelevanten Institute (G-SRI) und anderer systemrelevanter Institute (A-SRI), bei denen es sich um Kreditinstitute handelt, für die ein und derselbe IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringt;
2. Unterkriterium 2.2: Zahl der Finanzunternehmen, bei denen es sich nicht um Kreditinstitute und nicht um G-SRI und A-SRI im Sinne von Buchstabe a handelt, die von den in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden als systemrelevant eingestuft wurden und für die ein und derselbe IKT-Drittdienstleister IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringt.

(2) Bei einem IKT-Drittdienstleister gilt das in Absatz 1 Buchstabe a genannte Unterkriterium als erfüllt, wenn die von ihm bereitgestellten IKT-Dienstleistungen mindestens in Anspruch genommen werden von:

1. einem G-SRI oder
2. mindestens drei A-SRI oder
3. mindestens einem A-SRI mit einem A-SRI-Bewertungsergebnis von über 3.000, berechnet nach Artikel 131 Absatz 3 der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates ².

(3) Bei einem IKT-Drittdienstleister gilt das in Absatz 1 Buchstabe b genannte Unterkriterium als erfüllt, wenn die von ihm bereitgestellten IKT-Dienstleistungen mindestens in Anspruch genommen werden von:

1. einem Finanzunternehmen, bei dem es sich um ein in Artikel 2 Absatz 1 Buchstaben g, h, i oder j der Verordnung (EU) 2022/2554 genanntes Finanzunternehmen handelt und das von den zuständigen Behörden als "systemrelevant" eingestuft wird, oder
2. mindestens drei Finanzunternehmen, bei denen es sich nicht um Kreditinstitute und nicht um die in Artikel 2 Absatz 1 Buchstaben g, h, i oder j der Verordnung (EU) 2022/2554 genannten Finanzunternehmen handelt und die von den zuständigen Behörden als "systemrelevant" eingestuft werden.

(4) Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Kriteriums und sofern der IKT-Drittdienstleister die in Absatz 1 des vorliegenden Artikels genannten Unterkriterien in "Stufe 1" erfüllt, führen die Europäischen Aufsichtsbehörden ihre Bewertung anhand des folgenden Unterkriteriums der "Stufe 2" durch:

• Unterkriterium 2.3: Die in die Bewertung der in Absatz 1 genannten Unterkriterien der "Stufe 1" einbezogenen G-SRI oder A-SRI und anderen Finanzunternehmen, die IKT-Dienstleistungen desselben IKT-Drittdienstleisters in Anspruch nehmen, insbesondere auch, wenn diese G-SRI oder A-SRI Finanzinfrastrukturdienstleistungen für andere Finanzunternehmen erbringen, sind interdependent.

Artikel 4 Kritikalität oder Bedeutung der Funktionen

Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe c der Verordnung (EU) 2022/2554 festgelegten Kriteriums führen die Europäischen Aufsichtsbehörden ihre Bewertung anhand des folgenden Unterkriteriums der "Stufe 2" durch:

• Unterkriterium 3.1: Die letztlich vom selben IKT-Drittdienstleister erbrachten IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen von Finanzunternehmen sind für die Tätigkeiten der Finanzunternehmen von kritischer Bedeutung.

Artikel 5 Grad der Substituierbarkeit

(1) Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe d der Verordnung (EU) 2022/2554 festgelegten Kriteriums bewerten die Europäischen Aufsichtsbehörden, ob der IKT-Drittdienstleister die folgenden Unterkriterien der "Stufe 1" erfüllt:

1. Unterkriterium 4.1: von der Gesamtzahl der Finanzunternehmen jeder einzelnen in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 genannten Kategorie der Anteil jener Finanzunternehmen, für die kein alternativer IKT-Drittdienstleister mit der erforderlichen Kapazität für die Erbringung derselben IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen dieser Finanzunternehmen zur Verfügung steht, wie sie vom betreffenden IKT-Drittdienstleister erbracht werden;
2. Unterkriterium 4.2: von der Gesamtzahl der Finanzunternehmen jeder einzelnen in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 genannten Kategorie von Finanzunternehmen der Anteil jener Finanzunternehmen, für die es höchst schwierig ist, eine vom betreffenden IKT-Drittdienstleister erbrachte IKT-Dienstleistung zur Unterstützung kritischer oder wichtiger Funktionen dieser Finanzunternehmen zu einem anderen IKT-Drittdienstleister zu migrieren.

(2) Das in Absatz 1 Buchstabe a genannte Unterkriterium 4.1 wird wie folgt berechnet:

(3) Das in Absatz 1 Buchstabe b genannte Unterkriterium wird wie folgt berechnet:

(4) Bei einem IKT-Drittdienstleister gelten die beiden Unterkriterien 4.1 und 4.2 als erfüllt, wenn eine der folgenden Bedingungen erfüllt ist:

1. der Anteil, den die Gesamtzahl der in Absatz 1 Buchstabe a genannten Finanzunternehmen an der Gesamtzahl der Finanzunternehmen einer in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 genannten Kategorie von Finanzunternehmen ausmacht, beträgt mindestens 10 %;
2. der Anteil, den die Gesamtzahl der in Absatz 1 Buchstabe b genannten Finanzunternehmen an der Gesamtzahl der Finanzunternehmen einer in Artikel 2 Absatz 1 der Verordnung (EU) 2022/2554 genannten Kategorie von Finanzunternehmen ausmacht, beträgt mindestens 10 %.

(5) Bei der Prüfung des in Artikel 31 Absatz 2 Buchstabe d der Verordnung (EU) 2022/2554 festgelegten Kriteriums und sofern der IKT-Drittdienstleister die in Absatz 1 des vorliegenden Artikels genannten Unterkriterien der "Stufe 1" erfüllt, führen die Europäischen Aufsichtsbehörden ihre Bewertung anhand des in Artikel 31 Absatz 2 Buchstabe d Ziffer i der Verordnung (EU) 2022/2554 festgelegten Unterkriteriums der "Stufe 2" durch.

Artikel 6 Informationsquellen für die Kritikalitätsbewertung

(1) Für die Bewertung der in den Artikeln 2 bis 5 genannten Unterkriterien ziehen die Europäischen Aufsichtsbehörden die Daten aus den in Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 genannten Informationsregistern heran. Für die Kritikalitätsbewertung können die Europäischen Aufsichtsbehörden auch weitere verfügbare Daten aus allen anderen Informationsquellen heranziehen.

(2) Die Europäischen Aufsichtsbehörden berücksichtigen die neuesten Daten, die ihnen im Bewertungsjahr zur Verfügung stehen, oder, falls anwendbar, die Daten, die ihnen spätestens zum 31. Dezember des der Kritikalitätsbewertung vorausgehenden Jahres zur Verfügung gestellt wurden.

Artikel 7 Inkrafttreten und Geltungsbeginn

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Jedoch wendet die federführende Überwachungsbehörde das in Artikel 2 Absatz 5 Buchstabe b genannte Unterkriterium 1.4 ab dem 16. Januar 2025 an.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 22. Februar 2024

ENDE