Europejskie Urzędy Nadzoru (EUNB, EIOPA i ESMA – EUN) opublikowały 18 listopada 2025 roku wykaz kluczowych zewnętrznych dostawców usług ICT (CTPP) na szczeblu Unii Europejskiej. Świadczą oni szereg usług ICT na rzecz podmiotów finansowych w całej UE, co odzwierciedla ich kluczową rolę w ekosystemie finansowym. Wyznaczenie CTPP jest jednym z kamieni milowych wdrażania ram nadzoru ustanowionych Rozporządzeniem DORA.

Celem ram nadzoru DORA, powierzonego Europejskim Urzędom Nadzoru, jest promowanie należytego zarządzania ryzykiem związanym z ICT przez kluczowych zewnętrznych dostawców usług ICT. Dzięki bezpośredniemu zaangażowaniu w nadzór EUN ocenią, czy CTPP posiadają odpowiednie ramy zarządzania ryzykiem, aby zapewnić odporność usług, które świadczą na rzecz podmiotów finansowych. Służy to ograniczeniu ryzyka, które może mieć wpływ na odporność operacyjną sektora finansowego UE. 

Podstawą do sporządzenia wykazu CTPP były dane z rejestrów informacji przekazanych przez podmioty finansowe (na podstawie art. 28 ust. 3 akapit 5 Rozporządzenia DORA), w których wyszczególniono ich ustalenia umowne dotyczące korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT. W następnej kolejności EUN przeprowadziły szczegółową ocenę krytyczności we współpracy z właściwymi organami w całej UE w sektorze bankowym, ubezpieczeniowym i kapitałowym. Ocenę tę wykonano zgodnie z wieloaspektowymi kryteriami określonymi w Rozporządzeniu DORA, które wymagały pełnej ewaluacji znaczenia systemowego danego dostawcy, jego roli we wspieraniu krytycznych lub istotnych funkcji podmiotów finansowych oraz poziomu substytucyjności jego usług. 

Zgodnie z art. 31 ust. 9 Rozporządzenia DORA, EUN są zobowiązane do sporządzania, publikacji i corocznego aktualizowania wykazu CTPP. 

Wykaz CTPP wyznaczonych przez Europejskie Urzędy Nadzoru