Bankowość i usługi płatnicze /

ESAs publikują pierwszą listę krytycznych dostawców ICT w ramach DORA

18 listopada 2025 r. europejskie organy nadzorcze EBA, EIOPA i ESMA (ESAs) ogłosiły pierwszą listę krytycznych dostawców usług ICT (Critical ICT Third-Party Providers – CTPP) wyznaczonych na podstawie Digital Operational Resilience Act (DORA). Publikacja listy otwiera etap operacyjnego wdrażania unijnego nadzoru nad dostawcami technologii kluczowych dla stabilności sektora finansowego.

18 listopada 2025 r. europejskie organy nadzorcze EBA, EIOPA i ESMA (ESAs) ogłosiły pierwszą listę krytycznych dostawców usług ICT

Nowy nadzór nad dostawcami ICT – cel i znaczenie

Zgodnie z komunikatem ESMA, celem DORA Oversight Framework jest zapewnienie, aby krytyczni dostawcy ICT posiadali adekwatne mechanizmy zarządzania ryzykiem, cyberbezpieczeństwem i odpornością operacyjną. ESAs będą prowadzić bezpośredni nadzór nad CTPP, obejmujący ocenę governance, procedur zarządzania ryzykiem ICT oraz zdolności świadczenia usług w warunkach zakłóceń. Zapowiedziano również nadchodzące examination activities z udziałem wyznaczonych dostawców.

Rekomendacja dla instytucji finansowych

W świetle publikacji pierwszego wykazu CTPP oraz zapowiadanych przez ESMA działań nadzorczych, instytucjom finansowym rekomendujemy regularne monitorowanie komunikatów ESAs dotyczących statusu krytycznych dostawców ICT i ich zgodności z wymogami DORA.

Stałe śledzenie zmian w wykazie CTPP umożliwi właściwe zarządzanie ryzykiem koncentracji technologicznej oraz pozwoli na zawieranie lub aktualizowanie umów z dostawcami objętymi nadzorem ESAs zgodnie ze standardami bezpieczeństwa i odporności operacyjnej.

Stałe śledzenie zmian w wykazie CTPP umożliwi właściwe zarządzanie ryzykiem koncentracji technologicznej oraz pozwoli na zawieranie lub aktualizowanie umów z dostawcami objętymi nadzorem ESAs

Lista wyznaczonych krytycznych dostawców ICT (CTPP)

(alfabetycznie, zgodnie z dokumentem ESMA)

  • Accenture plc
  • Amazon Web Services EMEA Sàrl
  • Bloomberg L.P.
  • Capgemini SE
  • Colt Technology Services
  • Deutsche Telekom AG
  • Equinix (EMEA) B.V.
  • Fidelity National Information Services, Inc.
  • Google Cloud EMEA Limited
  • International Business Machine Corporation (IBM)
  • InterXion Headquarters B.V.
  • Kyndryl Inc.
  • LSEG Data and Risk Limited
  • Microsoft Ireland Operations Limited
  • NTT DATA Inc.
  • Oracle Nederland B.V.
  • Orange S.A.
  • SAP SE
  • Tata Consultancy Services Limited

ESAs publikują pierwszą listę krytycznych dostawców ICT w ramach DORA

Europejskie organy nadzorcze (ESAs) ogłosiły pierwszy wykaz krytycznych dostawców ICT (CTPP) w ramach DORA, wprowadzając nowy nadzór nad firmami kluczowymi dla odporności operacyjnej sektora finansowego. Instytucje finansowe powinny regularnie monitorować status dostawców i dostosowywać umowy do standardów DORA.

Chcesz skutecznie zarządzać ryzykiem technologicznej koncentracji i zapewnić zgodność z DORA? Skontaktuj się z nami – pomożemy Ci wdrożyć odpowiednie procedury nadzoru i bezpieczeństwa ICT.

Autor team leader D&P Legal Mateusz Bałuta
Skontaktuj się z naszym ekspertem
Napisz wiadomość: info@dudkowiak.com
check full info of team member: Mateusz Bałuta

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48kancelaria@dudkowiak.com
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48krakow@dudkowiak.com
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74warszawa@dudkowiak.com
Flaga Polski.POZNAŃPOLSKA
pl. W. Andersa 3
61-894 Poznań
+48 61 853 56 48poznan@dudkowiak.com
Flaga Polski.WARSAWPOLAND
Rondo ONZ 1
00-124 Warsaw
+48 22 300 16 74warszawa@dudkowiak.com