Kritisk IKT-tjenesteudbyder

En kritisk IKT-tjenesteudbyder (Critical Third-Party Provider, CTPP) er en IKT-leverandør, der er udpeget af EU's finansielle tilsynsmyndigheder som systemisk vigtig. Under DORA er kritiske IKT-tjenesteudbydere underlagt direkte EU-tilsyn af de europæiske tilsynsmyndigheder (ESA'er).

Tilbage til ordbog

Hvad er en kritisk IKT-tjenesteudbyder?

En kritisk IKT-tjenesteudbyder er en virksomhed, der leverer IKT-tjenester til mange finansielle enheder i EU, og hvis svigt eller forstyrrelser ville have systemiske konsekvenser for den europæiske finansielle sektor. Tænk store cloud-udbydere som AWS, Microsoft Azure og Google Cloud, eller store data- og analysetjenesteudbydere til finanssektoren.

DORA indfører et nyt EU-tilsynsregime, der giver ESA'erne (EBA, ESMA, EIOPA) direkte tilsynsbeføjelser over disse kritiske leverandører -- noget der ikke eksisterede tidligere.

Udpegningskriterier

ESA'erne udpeger kritiske IKT-tjenesteudbydere baseret på kriterier som:

Systemisk potentiale: Det systemiske potentiale, som en fejl hos leverandøren ville have for den finansielle stabilitet.
Antal og type af brugere: Antallet og typen af finansielle enheder, der anvender leverandøren.
Markedsandel: Leverandørens markedsandel for specifikke tjenester til finanssektoren.
Afhængighed af kritiske funktioner: Graden af afhængighed af tjenester, der er kritiske for vigtige finansielle funktioner.
Substituérbarhed: Graden af substituérbarhed af leverandøren.

Direkte EU-tilsyn

Udpegede kritiske IKT-tjenesteudbydere er underlagt direkte tilsyn fra den ledende tilsynsmyndighed (Lead Overseer), som er en af ESA'erne. Tilsynet inkluderer:

Krav om at udpege et repræsentationskontor i EU (hvis leverandøren er etableret uden for EU)
Løbende overvågning og rapporteringskrav
Ret til at foretage inspektioner og kræve dokumentation
Mulighed for at udstede anbefalinger og henstillinger
Mulighed for at kræve overholdelse af DORA's krav for sektoren

Ikke et direkte kundekrav: Den finansielle enhed behøver ikke selv foretage sig noget specifikt, fordi en leverandør er udpeget som kritisk. Udpegningen er rettet mod leverandøren. Men finansielle enheder bør løbende overvåge status for deres kritiske leverandørers tilsynsforhold og inddrage dette i deres tredjepartsrisikostyring.

Ofte stillede spørgsmål om kritisk ikt-tjenesteudbyder

Hvad er en kritisk IKT-tjenesteudbyder under DORA?

Det er en IKT-leverandør udpeget af EU's finansielle tilsynsmyndigheder (ESA'er) som systemisk vigtig under DORA. Disse leverandører er underlagt direkte EU-tilsyn, fordi deres svigt kunne have systemiske konsekvenser for finanssektoren.

Hvilke virksomheder er udpeget som kritiske IKT-tjenesteudbydere?

ESA'erne offentliggør listen over udpegede leverandører. Store cloud-udbydere som Amazon Web Services, Microsoft Azure, Google Cloud og IBM Cloud forventes at blive udpeget, samt potentielt store data- og betalingsinfrastrukturleverandører.

Hvilke beføjelser har den ledende tilsynsmyndighed?

Den ledende tilsynsmyndighed kan foretage inspektioner, kræve dokumentation, udstede anbefalinger og henstillinger og kræve overholdelse af DORA's krav. Leverandører uden for EU skal etablere et repræsentationskontor i EU.

Skal en finansiel enhed handle, hvis dens leverandør udpeges som kritisk?

Udpegningen er rettet mod leverandøren, ikke den finansielle enhed. Men finansielle enheder bør overvåge deres leverandørers tilsynsstatus og inddrage dette i deres tredjepartsrisikostyringsprocesser.

Hvordan adskiller DORA's tilsynsramme sig fra NIS2-tilsyn?

DORA's tilsynsramme er specifikt designet til IKT-leverandører i finanssektoren og involverer direkte tilsyn på EU-niveau af ESA'erne. NIS2-tilsyn varetages af nationale myndigheder og gælder bredere på tværs af sektorer.