Zum Inhalt springen
Resilience Platform Resilience Platform

DORA CTPP Oversight

19 Designated Critical ICT Providers

The ESAs published the first list of 19 Critical ICT Third-Party Providers on November 18, 2025. This oversight framework represents a key milestone in DORA implementation.

Management-Zusammenfassung

  • 19 ICT-Dienstleister wurden als kritisch designiert — darunter Cloud-Provider, Netzwerkbetreiber, Finanzdaten-Anbieter und IT-Beratungsunternehmen.
  • Die Designation erfolgt nach multifaktoriellen Kriterien: systemische Bedeutung, Substituierbarkeit, Konzentrationsrisiko und Marktanteil.
  • Jeder CTPP wird von einem Lead Overseer (EBA, EIOPA oder ESMA) mit Unterstuetzung eines Joint Examination Teams überwacht.
  • Finanzinstitute müssen Vertraege mit CTPPs auf erweiterte DORA-Klauseln prüfen: Auditrechte, Exit-Strategien, Incident-Kommunikation.
  • Die CTPP-Liste wird jährlich aktualisiert. Das Opt-in-Verfahren erlaubt ICT-Anbietern, eine Designation zu beantragen.

19

Designierte CTPPs

11

Dienstleistungskategorien

3

Lead Overseers

5

Designation-Kriterien

Designation-Kriterien

Nach welchen Kriterien werden CTPPs designiert?

Die ESAs bewerten ICT-Dienstleister nach multifaktoriellen Kriterien gemass DORA Art. 31 und der Delegierten Verordnung (EU) 2024/1502.

CRIT-01

Systemische Bedeutung

Der ICT-Dienstleister erbringt Dienste für eine erhebliche Anzahl von Finanzunternehmen über verschiedene Sektoren hinweg (Banken, Versicherungen, Wertpapier).

DORA Art. 31(2)(a), Delegierte Verordnung (EU) 2024/1502

CRIT-02

Unterstuetzung kritischer oder wichtiger Funktionen

Die Dienste des Anbieters unterstuetzen kritische oder wichtige Funktionen von Finanzunternehmen, deren Ausfall die Finanzstabilitat gefaehrden wuerde.

DORA Art. 31(2)(b)

CRIT-03

Substituierbarkeit

Der Grad der Verfügbarkeit alternativer Anbieter wird bewertet. Geringe Substituierbarkeit erhoht die Kritikalität.

DORA Art. 31(2)(c)

CRIT-04

Konzentrationsrisiko

Das Ausmass, in dem ein Ausfall oder eine Beeintraechtigung des Dienstleisters systemische Risiken für den Finanzsektor verursachen wuerde.

DORA Art. 31(2)(d)

CRIT-05

Marktanteil und Abhängigkeit

Der Anteil des Dienstleisters am Gesamtmarkt für ICT-Dienste im Finanzsektor und die Abhängigkeit der Finanzunternehmen von seinen Diensten.

DORA Art. 31(2)(e), Delegierte Verordnung (EU) 2024/1502

Die 19 designierten CTPPs nach Kategorie

Alphabetische Liste der von den ESAs designierten Critical ICT Third-Party Providers (Stand: 18. November 2025).

Beratung & Implementierung (2)
CTPP-001 ESMA

Accenture plc

ICT-Beratung, Systemintegration, Cloud-Migration, Managed Services

Risikoschwerpunkt

Konzentrationsrisiko durch breite Kundenbasis im Finanzsektor, Abhängigkeit von Implementierungspartnern

Auswirkung auf Institute

Finanzunternehmen müssen Accenture-Verträge auf erweiterte DORA-Klauseln prüfen (Auditrechte, Exit-Strategien, Subcontractor-Kontrolle).

CTPP-004 EBA

Capgemini SE

ICT-Beratung, Application-Management, Cloud-Services, Cyber-Security

Risikoschwerpunkt

Breites Dienstleistungsportfolio mit hoher Durchdringung im EU-Finanzsektor

Auswirkung auf Institute

Verträge mit Capgemini müssen auf DORA-Konformitaet geprüft werden, insbesondere bei kritischen Anwendungsmanaged-Services.

Cloud-Infrastruktur (3)
CTPP-002 EBA

Amazon Web Services EMEA Sarl

IaaS, PaaS, Cloud-Speicher, Datenbanken, KI/ML-Services

Risikoschwerpunkt

Systemische Bedeutung als groesster Cloud-Provider im EU-Finanzsektor, hohe Konzentration bei kritischen Funktionen

Auswirkung auf Institute

Cloud-Migration-Strategien müssen Exit-Optionen und Multi-Cloud-Architekturen beruecksichtigen. Vertragsanpassungen für erweiterte Auditrechte erforderlich.

CTPP-009 EBA

Google Cloud EMEA Limited

IaaS, PaaS, Datenanalytik, KI/ML, Collaboration-Tools

Risikoschwerpunkt

Wachsende Bedeutung im Finanzsektor, KI/ML-Services mit zunehmender Kritikalität

Auswirkung auf Institute

Google-Cloud-Verträge müssen erweiterte DORA-Klauseln enthalten. Datenlokalisierung und Exit-Optionen prüfen.

CTPP-014 EBA

Microsoft Ireland Operations Limited

Azure Cloud, M365, Dynamics, Power Platform, AI-Services

Risikoschwerpunkt

Systemische Bedeutung durch breite Nutzung im Finanzsektor (Cloud + Productivity), hohe Konzentration

Auswirkung auf Institute

Azure- und M365-Verträge auf erweiterte DORA-Klauseln prüfen. Multi-Cloud-Strategie und Exit-Optionen entwickeln.

Finanzdaten & Analytik (2)
CTPP-003 ESMA

Bloomberg L.P.

Finanzterminal, Marktdaten, Trading-Plattformen, Referenzdaten

Risikoschwerpunkt

Kritische Abhängigkeit im Trading und Research, geringe Substituierbarkeit für professionelle Marktdaten

Auswirkung auf Institute

Trading-Systeme und Research-Prozesse müssen auf Ausfallszenarien geprüft werden. Alternative Datenquellen identifizieren.

CTPP-013 ESMA

LSEG Data and Risk Limited

Marktdaten, Referenzdaten, Risikoanalytik, Trading-Tools

Risikoschwerpunkt

Kritische Marktdaten-Infrastruktur, geringe Substituierbarkeit bei Referenzdaten

Auswirkung auf Institute

Marktdaten-Abhängigkeiten dokumentieren. Alternative Datenquellen für kritische Referenzdaten identifizieren.

Netzwerk & Konnektivitaet (3)
CTPP-005 EBA

Colt Technology Services

Netzwerkinfrastruktur, Konnektivitaet, Rechenzentrumsdienste, Cloud-Connect

Risikoschwerpunkt

Kritische Netzwerkinfrastruktur für Trading-Plattformen und Echtzeit-Kommunikation

Auswirkung auf Institute

Netzwerkarchitektur muss Redundanz und alternative Konnektivitaetswege für kritische Verbindungen vorsehen.

CTPP-006 EBA

Deutsche Telekom AG

Telekommunikation, Netzwerkinfrastruktur, Cloud-Dienste, IoT

Risikoschwerpunkt

Systemische Bedeutung als groesster Telekom-Anbieter in Deutschland, kritische Infrastruktur

Auswirkung auf Institute

Telekom-abhängige Prozesse müssen auf Resilienz geprüft werden. Notfallkommunikation und Backup-Wege etablieren.

CTPP-017 EIOPA

Orange SA

Telekommunikation, Netzwerkinfrastruktur, Cloud-Dienste, Cyber-Security

Risikoschwerpunkt

Kritische Netzwerkinfrastruktur im europaeischen Finanzsektor, insbesondere in Frankreich

Auswirkung auf Institute

Telekom-Abhängigkeiten dokumentieren. Redundante Konnektivitaet für kritische Prozesse sicherstellen.

Rechenzentrum & Colocation (2)
CTPP-007 ESMA

Equinix (EMEA) B.V.

Rechenzentrums-Colocation, Interconnection, Edge-Services

Risikoschwerpunkt

Kritische physische Infrastruktur für Finanzmarkt-Teilnehmer, Interconnection-Hubs

Auswirkung auf Institute

Colocation-Verträge müssen erweiterte SLAs, physische Sicherheit und Exit-Klauseln enthalten.

CTPP-011 ESMA

InterXion HeadQuarters B.V.

Rechenzentrum, Colocation, Cloud-Connect, Network-Exchange

Risikoschwerpunkt

Kritische physische Infrastruktur, insbesondere für Finanzmarkt-Infrastrukturen

Auswirkung auf Institute

Colocation-Verträge auf erweiterte SLAs und physische Sicherheitsanforderungen prüfen.

Finanz-ICT-Loesungen (1)
CTPP-008 EBA

Fidelity National Information Services, Inc. (FIS)

Banking-Software, Zahlungsabwicklung, Capital-Market-Solutions

Risikoschwerpunkt

Kritische Zahlungs- und Banking-Infrastruktur, hohe Abhängigkeit bei Core-Banking-Systemen

Auswirkung auf Institute

Core-Banking- und Zahlungsabwicklungsvertraege auf DORA-Konformitaet prüfen. Exit-Strategien für kritische Systeme entwickeln.

Cloud-Infrastruktur & IT-Services (1)
CTPP-010 EBA

International Business Machines Corporation (IBM)

Hybrid-Cloud, Mainframe-Services, KI/Loesungen, Consulting

Risikoschwerpunkt

Kritische Mainframe-Infrastruktur bei Grossbanken, geringe Substituierbarkeit

Auswirkung auf Institute

Mainframe-Migration oder -Modernisierung strategisch planen. IBM-Verträge auf DORA-Anforderungen abgleichen.

IT-Infrastruktur-Management (1)
CTPP-012 EBA

Kyndryl Inc.

Infrastruktur-Management, Mainframe-Services, Cloud-Migration

Risikoschwerpunkt

Kritische Infrastruktur-Dienste bei Grossunternehmen, Mainframe-Abhängigkeit

Auswirkung auf Institute

Infrastruktur-Management-Verträge auf DORA-Konformitaet prüfen. Exit-Strategien für kritische Infrastruktur entwickeln.

IT-Services & Beratung (2)
CTPP-015 ESMA

NTT DATA Inc.

IT-Beratung, Systemintegration, Managed Services, Cloud-Services

Risikoschwerpunkt

Breites Dienstleistungsportfolio mit hoher Durchdringung im asiatisch-europaeischen Finanzsektor

Auswirkung auf Institute

NTT-DATA-Verträge auf DORA-Konformitaet prüfen. Kritische Abhängigkeiten dokumentieren.

CTPP-019 EBA

Tata Consultancy Services Limited

IT-Beratung, Application-Management, Infrastruktur-Services, Cloud

Risikoschwerpunkt

Grosser globaler IT-Dienstleister mit erheblicher Praesenz im EU-Finanzsektor

Auswirkung auf Institute

TCS-Verträge auf DORA-Konformitaet prüfen. Kritische Abhängigkeiten und Substituierbarkeit bewerten.

Datenbanken & Cloud (1)
CTPP-016 EBA

Oracle Nederland B.V.

Datenbanken, ERP, Cloud-Infrastruktur, Applications

Risikoschwerpunkt

Kritische Datenbank-Infrastruktur bei Finanzunternehmen, geringe Substituierbarkeit

Auswirkung auf Institute

Oracle-Datenbank-Verträge auf erweiterte Auditrechte und Exit-Klauseln prüfen. Datenbank-Migrationsstrategien planen.

Enterprise-Software (1)
CTPP-018 EBA

SAP SE

ERP, Finanzsoftware, Cloud-Loesungen, Analytics

Risikoschwerpunkt

Systemische Bedeutung durch ERP-Verbreitung im Finanzsektor, kritische Finanzprozesse

Auswirkung auf Institute

SAP-Verträge auf DORA-Konformitaet prüfen. Kritische Finanzprozesse auf Resilienz testen. Exit-Strategien entwickeln.

Oversight-Framework

Wie funktioniert das DORA-Oversight?

Der Oversight-Rahmen umfasst Designation, Risikobewertung, Prüfung und Empfehlungsnachverfolgung durch die ESAs.

OF-01

Lead Overseer (LO)

Eine der drei ESA (EBA, EIOPA, ESMA) ist als Lead Overseer für jeden CTPP verantwortlich. Die Zuordnung erfolgt nach dem finanziellen Sektor, in dem der CTPP die groesste Bedeutung hat.

DORA Art. 31(1)(b)

OF-02

Joint Examination Team (JET)

Für jeden CTPP wird ein dediziertes JET gebildet, bestehend aus Mitarbeitern der ESAs und der zuständigen nationalen Aufsichtsbehörden. Das JET wird von einem LO-Koordinator geleitet.

DORA Art. 40, Delegierte Verordnung (EU) 2025/420

OF-03

Oversight Forum (OF)

Das Oversight Forum ist der ständige Ausschuss der ESAs für DORA-Oversight. Es stellt die Konsistenz der Oversight-Aktivitaeten sicher und bereitet individuelle Empfehlungen vor.

DORA Art. 32

OF-04

Oversight-Aktivitaeten

Der Oversight-Prozess umfasst: (i) Designation, (ii) Risikobewertung, (iii) Planung, (iv) Durchführung von Oversight-Prüfungen, (v) Ausgabe und Nachverfolgung von Empfehlungen.

DORA Art. 31-44, Oversight Guide

OF-05

Empfehlungen und Sanktionen

Der Lead Overseer kann Empfehlungen an den CTPP aussprechen. Bei Nichtbefolgung koennen geldwerte Sanktionen verhaengt werden (bis zu 1 % des durchschnittlichen taeglichen weltweiten Umsatzes).

DORA Art. 37, Art. 43

OF-06

Jährliche Listenaktualisierung

Die ESAs veroeffentlichen und aktualisieren die CTPP-Liste jährlich. Neue Anbieter koennen designiert werden, bestehende koennen von der Liste gestrichen werden.

DORA Art. 31(8)

OF-07

Opt-in Verfahren

ICT-Dienstleister, die nicht auf der CTPP-Liste stehen, koennen eine begruendete Beantragung auf Designation stellen. Die ESAs entscheiden innerhalb von 6 Monaten. Opt-in-Gebuehr: 50.000 EUR.

DORA Art. 31(11), Delegierte Verordnung (EU) 2025/295

Auswirkungen auf Finanzinstitute

Was müssen Finanzinstitute jetzt tun?

Die CTPP-Designation veroeffentlicht erweiterte Pflichten für Finanzunternehmen, die Dienste der designierten Anbieter nutzen.

kritisch

Vertragsanpassung

Bestehende Verträge mit designierten CTPPs müssen auf erweiterte DORA-Anforderungen geprüft und angepasst werden: Auditrechte, Incident-Meldepflichten, Exit-Klauseln, Subcontractor-Kontrolle.

kritisch

Konzentrationsrisiko-Management

Finanzunternehmen müssen Konzentrationsrisiken bei CTPPs aktiv managen: Anteil kritischer Funktionen je CTPP dokumentieren, Substituierbarkeitsanalysen durchführen, Diversifizierungsstrategien entwickeln.

hoch

JET-Kommunikation

Finanzunternehmen müssen Ansprechpartner für die Kommunikation mit dem Joint Examination Team benennen und an Oversight-Prüfungen mitwirken.

kritisch

Exit-Strategien

Für jede kritische Abhängigkeit von einem CTPP muss eine Exit-Strategie entwickelt werden: substituierbare Anbieter identifizieren, Wechselkosten bewerten, Migrationsplaene erstellen.

hoch

Informationsregister-Aktualisierung

Das DORA-Informationsregister muss CTPP-Beziehungen korrekt ausweisen. Vertragsinformationen mit CTPPs müssen vollständig und aktuell sein.

hoch

Board-Level Oversight

Das Leitungsorgan muss CTPP-Risiken in die strategische Planung einbeziehen. Quartalsweises Reporting über CTPP-Abhängigkeiten, Konzentrationsrisiken und Exit-Readiness.

Note: This content consists of implementation aids and curated guidance. It does not replace legal advice or binding supervisory interpretation.