Also: Kritischer ICT-Drittanbieter, DORA CTPP, Lead Overseer-pflichtiger Anbieter

ICT-Drittanbieter, der von der EU-Kommission nach DORA Art. 31 als kritisch eingestuft wird und unter direkte Aufsicht der drei europäischen Finanzaufsichts-Behörden (EBA, EIOPA, ESMA) fällt. Erste CTPP-Designations erwartet 2025/2026.

Kriterien für die CTPP-Einstufung nach DORA Art. 31 und Delegiertem Rechtsakt (EU) 2024/1502: systemische Bedeutung im EU-Finanzsektor, Anzahl bedienter Finanzunternehmen, Substituierbarkeit, kritische Funktionen, Interkonnektivität. AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Salesforce gelten als wahrscheinliche Kandidaten.

Folge der CTPP-Einstufung: direkte Aufsicht durch einen Lead Overseer (eine der drei ESAs), Recht zur Vor-Ort-Prüfung, Sanktions-Befugnis, Anordnung von Risikominderungs-Maßnahmen. CTPPs zahlen Aufsichts-Gebühren. Bußgelder bis 1 Prozent des durchschnittlichen Tages-Welt-Umsatzes pro Tag der Verstoss-Fortsetzung.

Folge für Finanzunternehmen als Kunden: Verträge mit CTPPs unterliegen verschärften Anforderungen. Die Informations-Anforderungen wachsen, weil der Lead Overseer auch beim Finanzunternehmen prüfen kann. CTPP-Beziehungen sind im Informationsregister gesondert zu kennzeichnen.

Critical ICT Third-Party Provider (CTPP)

Related terms