(1)

Um zu beurteilen, ob ein IKT-Drittdienstleister für Finanzunternehmen kritisch ist, sollten die Europäischen Aufsichtsbehörden (ESA) unter Berücksichtigung der Kriterien in Artikel 31 Absatz 2 der Verordnung (EU) 2022/2554 im Rahmen eines zweistufigen Bewertungsansatzes Unterkriterien heranziehen. Angesichts der Vielzahl von IKT-Dienstleistungen und der Vielfalt und Zahl der Finanzinstitute, die diese Dienstleistungen nutzen, sollte ein solcher zweistufiger Ansatz zur Anwendung kommen, um die Population der IKT-Drittdienstleister zu filtern und jene IKT-Drittdienstleister zu ermitteln, die am kritischsten sind. Die in Stufe 1 der Bewertung anzulegenden quantitativen Unterkriterien sind notwendig, um eine erste Auswahl der IKT-Drittdienstleister zu treffen, bei denen eine weitere eingehende Analyse anhand der in Stufe 2 der Bewertung heranzuziehenden qualitativen Unterkriterien relevant ist.

(2)

Inwieweit eine von einem IKT-Drittdienstleister bereitgestellte IKT-Dienstleistung kritische oder wichtige Funktionen des Finanzunternehmens unterstützt, wird generell als zentrales Element der Kritikalitätsbewertung erachtet. Daher sollte die Bedeutung der durch IKT-Dienstleistungen unterstützten Tätigkeiten der Finanzunternehmen in alle Unterkriterien der Stufe 1 einfließen. Folglich sollte in Stufe 1 der Bewertung keine gesonderte quantitative Beurteilung der Kritikalität der Funktionen der Finanzunternehmen vorgenommen werden. Stattdessen sollten die Europäischen Aufsichtsbehörden die Kritikalität und Bedeutung der durch IKT-Dienstleistungen unterstützten Funktionen der Finanzunternehmen in der qualitativen zweiten Bewertungsstufe berücksichtigen.

(3)

Die Bewertung sollte für jeden einzelnen IKT-Drittdienstleister oder, sofern anwendbar, für jede einzelne Gruppe von IKT-Drittdienstleistern vorgenommen werden, falls der IKT-Drittdienstleister im Sinne von Artikel 31 Absatz 3 der Verordnung (EU) 2022/2554 einer Gruppe angehört. Um eine umfassende Bewertung der potenziellen systemischen Auswirkungen auf den Finanzsektor der Union zu ermöglichen, sollten die IKT-Unterauftragnehmer von IKT-Drittdienstleistern ebenfalls der Bewertung durch die Europäischen Aufsichtsbehörden unterzogen und gegebenenfalls als kritische IKT-Drittdienstleister eingestuft werden.

(4)

Um die systemischen Auswirkungen des IKT-Drittdienstleisters auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen zu ermitteln, ist es überaus wichtig, sich ein klares Bild von Ausmaß und Art der systemischen Auswirkungen zu verschaffen, die eine umfassende Betriebsstörung bei einem IKT-Drittdienstleister auf die Finanzunternehmen, die die von einem IKT-Drittdienstleister erbrachten Dienstleistungen in Anspruch nehmen, und auf das Finanzsystem hätte. Deshalb sollte berücksichtigt werden, wie viele Finanzunternehmen einer bestimmten Kategorie von Finanzunternehmen dieselben IKT-Dienste nutzen und auf welchen Wert sich ihre Vermögenswerte belaufen, damit beurteilt werden kann, ob ein IKT-Drittdienstleister, der die betreffenden IKT-Dienstleistungen erbringt, als kritisch eingestuft werden sollte. Darüber hinaus sollte eine qualitative Bewertung der systemischen Bedeutung und der Verflechtungen der IKT-Drittdienstleister sowie der Bedeutung der von einem IKT-Drittdienstleister erbrachten Dienstleistungen für die Erbringung von Finanzdienstleistungen durch Finanzunternehmen unter Berücksichtigung der Stabilität und Kontinuität der Dienstleistungen durchgeführt werden, um die systemischen Auswirkungen des IKT-Drittdienstleisters auf die Tätigkeiten der Finanzunternehmen zu ermitteln.

(5)

Um den systemischen Charakter und die Bedeutung der Finanzunternehmen, die die IKT-Dienstleistungen in Anspruch nehmen, zu ermitteln, gilt es zu berücksichtigen, um welche Art von Finanzunternehmen es sich handelt. Nehmen als G-SRI und A-SRI oder als „systemrelevant“ eingestufte Finanzunternehmen zur Unterstützung kritischer oder wichtiger Funktionen ein und dieselben IKT-Dienstleistungen in Anspruch, sollte bewertet werden, ob der IKT-Drittdienstleister, der diese Dienstleistungen erbringt, für den Finanzsektor der Union als kritisch eingestuft werden sollte. Die Verflechtungen zwischen jenen Finanzunternehmen innerhalb des Finanzsektors der Union, die IKT-Dienstleistungen ein und desselben IKT-Drittdienstleisters in Anspruch nehmen, sollten ebenfalls bewertet werden, um die Abhängigkeit der Finanzunternehmen von diesem IKT-Drittdienstleister festzustellen.

(6)

Die IKT-Dienstleistungen, die kritische oder wichtige Funktionen von Finanzunternehmen unterstützen, sollten mit Blick auf ihre Art und ihren kritischen Charakter dahin gehend bewertet werden, ob sie notwendig sind, damit die Finanzunternehmen ihre Tätigkeiten ohne Störungen ausüben können.

(7)

Um den Grad der Substituierbarkeit des IKT-Drittdienstleisters zu ermitteln, müssen bei der von den Europäischen Aufsichtsbehörden durchzuführenden Bewertung die Zahl der auf einem bestimmten Markt tätigen IKT-Drittdienstleister, die Existenz alternativer Lösungen für ein und dieselbe IKT-Dienstleistung sowie die Kosten einer Migration von Daten und IKT-Arbeitslasten zu einem anderen IKT-Drittdienstleister berücksichtigt werden.

(8)

Um die Solidität des Bewertungsprozesses zu gewährleisten, ist es wichtig, dass sich die Europäischen Aufsichtsbehörden bei der Bewertung, ob IKT-Drittdienstleister als kritisch eingestuft werden sollten, auf die Daten aus den in Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 genannten Informationsregistern sowie alle sonstigen leicht verfügbaren Informationen stützen —