We wtorek organy regulacyjne Unii Europejskiej wykonały bezprecedensowy ruch, wskazując 19 firm – w tym Amazon Web Services, Google Cloud oraz Microsoft – jako krytycznych dostawców usług dla europejskiej bankowości. Decyzja ta fundamentalnie zmienia układ sił na linii Big Tech – nadzór finansowy, przenosząc relacje z poziomu partnerskiego na ściśle regulowany.

Ruch ten jest bezpośrednią konsekwencją wejścia w życie rozporządzenia DORA (Digital Operational Resilience Act). Nowe przepisy dają europejskim organom nadzoru (EBA, EIOPA, ESMA) uprawnienia do bezpośredniej kontroli firm technologicznych, które do tej pory odpowiadały jedynie przed swoimi klientami biznesowymi. Regulatorzy nie ukrywają, że ich głównym celem jest mitygacja ryzyka systemowego. W dobie powszechnej cyfryzacji awaria u jednego z wiodących dostawców chmury obliczeniowej mogłaby sparaliżować znaczną część europejskiego systemu bankowego, wywołując efekt domina o trudnych do oszacowania skutkach.

Lista podmiotów objętych nowym reżimem nadzorczym jest zróżnicowana, co pokazuje, jak głęboko technologia przeniknęła do finansów. Oprócz “wielkiej trójki” chmurowej (AWS, Google, Microsoft), na celowniku znalazły się również IBM, dostawcy danych rynkowych tacy jak Bloomberg i London Stock Exchange Group (LSEG), a także operatorzy telekomunikacyjni, w tym Orange, oraz firmy doradcze jak Tata Consultancy Services. Każdy z tych podmiotów będzie teraz musiał udowodnić, że posiada odpowiednie ramy zarządzania ryzykiem, a ich infrastruktura jest odporna na cyberataki i awarie techniczne.

Reakcja branży na to ogłoszenie była wyważona i dyplomatyczna, co sugeruje, że giganci technologiczni od dawna przygotowywali się na ten scenariusz. Przedstawiciele Microsoftu i Google Cloud natychmiast zadeklarowali pełną gotowość do współpracy, podkreślając swoje zaangażowanie w kwestie cyberbezpieczeństwa. Z kolei LSEG otwarcie przyjął nowe oznaczenie, traktując je jako potwierdzenie swojej kluczowej roli w ekosystemie. Milczenie zachowały póki co Bloomberg i Orange, co może wskazywać na trwające wewnętrzne analizy nowych obowiązków regulacyjnych.

Decyzja Brukseli wpisuje się w szerszy, globalny trend zacieśniania kontroli nad infrastrukturą krytyczną. Europejski Bank Centralny wprost wymienia zakłócenia technologiczne obok napięć geopolitycznych jako główne zagrożenia dla sektora. Podobne kroki podejmuje Wielka Brytania, choć tamtejszy proces legislacyjny jest opóźniony względem unijnego – Londyn planuje wskazać swoje podmioty krytyczne dopiero w przyszłym roku. Europa po raz kolejny staje się więc poligonem doświadczalnym dla nowych standardów regulacyjnych w świecie technologii.