Risiko aus der Abhängigkeit von wenigen oder einzelnen ICT-Drittanbietern. DORA Art. 29 verlangt von Finanzunternehmen eine explizite Analyse und Steuerung. Die Aufsicht prüft besonders bei Cloud-Hyperscalern und Kernbankensystem-Anbietern.

DORA Art. 29 verpflichtet Finanzunternehmen, vor Vertragsabschluss mit einem ICT-Drittanbieter zu prüfen, ob daraus eine Konzentration auf einen einzelnen Anbieter oder eng verbundene Anbieter-Gruppe entsteht. Die Analyse muss schriftlich dokumentiert und im Informationsregister abgebildet sein.

Dimensionen: Anbieter-Konzentration (mehrere kritische Funktionen bei einem Anbieter), Substituierbarkeit (Wechsel realistisch in welchem Zeitraum), Sub-Outsourcing-Ketten (Hauptanbieter und Sub-Anbieter überschneiden sich), geografische Konzentration (mehrere Rechenzentren in derselben Region). Praxis-Falle: AWS Frankfurt + AWS Dublin sind weiterhin AWS.

Aufsichts-Reaktion: bei strukturellem Konzentrationsrisiko kann die nationale Aufsicht zusätzliche Risikominderungs-Maßnahmen anordnen, Exit-Pläne fordern oder Verträge untersagen. Die Joint Examination Teams (JET) der EU-Aufsichts-Behörden für kritische ICT-TPPs werden ab 2025/2026 aktiv. Konzentrationsrisiko-Analysen sind Pflicht-Bestandteil jedes Decision Memos zu kritischen ICT-Verträgen.

ICT-Konzentrationsrisiko

Related terms