UK-Regulatoren starten Aufsicht über kritische IT-Anbieter
BOE Press Read in English

UK-Regulatoren starten Aufsicht über kritische IT-Anbieter

Die Bank of England, PRA und FCA beginnen ab dem 13. Juli 2026 mit der Beaufsichtigung der ersten kritischen Drittparteien. Dies folgt der Benennung durch das HM Treasury.

Systemische Risiken im Fokus

Ab dem 13. Juli 2026 werden die Bank of England (BoE), die Prudential Regulation Authority (PRA) und die Financial Conduct Authority (FCA) die ersten kritischen Drittparteien (CTPs) beaufsichtigen, die vom HM Treasury (HMT) benannt wurden.

Zu den ersten vier globalen Cloud- und Technologieanbietern gehören Amazon Web Services EMEA SARL, Google Cloud EMEA Limited, Microsoft Ireland Operations Ltd und Oracle Corporation UK Limited.

Da viele Finanzinstitute auf diese Dienste angewiesen sind, könnte ein Ausfall oder eine Störung mehrere Unternehmen und Märkte gleichzeitig beeinträchtigen und potenziell die Finanzstabilität des Vereinigten Königreichs sowie Dienste für Millionen von Verbrauchern und Unternehmen gefährden.

Die drei Regulatoren werden diese CTPs erstmals gemeinsam unter einem neuen, verhältnismäßigen Regime beaufsichtigen, das sich auf die Resilienz der kritischen Dienste konzentriert, die sie dem britischen Finanzsektor bereitstellen.

Ziel ist es, systemweite Risiken zu adressieren und die Ausbreitung von Störungen zu reduzieren.

Stärkung der Systemresilienz

Die Regulatoren werden eng mit den CTPs zusammenarbeiten, um systemweite Risiken zu managen und die Gefahr von Störungen im gesamten britischen Finanzsystem zu minimieren.

Dies soll die Resilienz stärken und die Koordination sowie den Informationsaustausch verbessern.

CTPs müssen Risiken effektiv identifizieren, managen und eine offene Kommunikation mit Regulatoren und abhängigen Firmen pflegen, besonders bei größeren Vorfällen.

Sarah Breeden, stellvertretende Gouverneurin für Finanzstabilität bei der Bank of England, betonte, der Ansatz stelle sicher, dass "diese Abhängigkeiten die Finanzstabilität schützen".

Das neue Regime ergänzt bestehende Auslagerungs- und operationelle Resilienzregeln für regulierte Firmen, ersetzt diese jedoch nicht.

Die Firmen bleiben für ihre eigenen Drittpartei-Vereinbarungen verantwortlich.