Was Großbritannien am 13. Juli einstufte
Die Änderung wirkt an der Oberfläche leise und ist darunter groß. Am 4. Juli 2026 stufte das britische Finanzministerium vier Cloud-Anbieter förmlich als kritische Drittdienstleister für das britische Finanzsystem ein, gab dies am 10. Juli bekannt, und die Aufsicht trat am Montag, dem 13. Juli, in Kraft. Benannt wurden Amazon Web Services EMEA SARL, Microsoft Ireland Operations Limited, Google Cloud EMEA Limited und Oracle Corporation UK Limited.
Die Befugnis ist neu, die Sorge nicht. Aufseher fürchten seit Jahren, dass wenige Anbieter inzwischen unter einem Großteil des Finanzsystems liegen, doch bis zum Financial Services and Markets Act 2023 konnten sie nur die Banken, Versicherer und Zahlungsdienstleister beaufsichtigen, nie die Lieferanten, von denen diese Häuser abhängen. Das Gesetz schuf das Regime für kritische Drittdienstleister genau dafür, den Lieferanten unmittelbar zu erreichen.
Seit Montag können die drei Aufseher gemeinsam handeln. Die Bank of England, die Prudential Regulation Authority und die Financial Conduct Authority können nun Informationen von den vier Anbietern einholen, ihre operative Widerstandsfähigkeit prüfen, Tests gegen schwere, aber plausible Szenarien verlangen, regelmäßige Selbstbewertungen fordern und Meldungen jedes schweren Vorfalls erhalten, der sich durch das britische Finanzwesen ausbreiten könnte.
Den Anbieter zu beaufsichtigen heißt nicht, Ihr Risiko zu übernehmen
Der wichtigste Satz der Mitteilung ist der, der nichts überträgt. Eine Einstufung ist keine Zulassung. Die Aufseher überwachen die Widerstandsfähigkeit der Dienste, die diese Anbieter verkaufen, sie zertifizieren die Anbieter nicht und übernehmen das Risiko nicht. Wenn Ihre Arbeitslast ausfällt, weil eine Region versagt, liegt die Verantwortung weiterhin bei Ihrem Unternehmen, das den Anbieter, die Architektur und den Wiederanlaufplan gewählt hat.
Sarah Breeden, die Vizegouverneurin der Bank für Finanzstabilität, benannte den Grund klar. Je tiefer kritische Drittdienstleister in Finanzinstitute eingebettet würden, so merkte sie an, desto eher könnten sie neue Formen systemischen Risikos erzeugen. Das Regime versucht, dieses Risiko an der Quelle zu sehen, nicht es aus den Büchern eines einzelnen Hauses zu schieben.
An dieser Unterscheidung lesen Eigentümer die Nachricht falsch. Eine Einstufungsschlagzeile klingt nach Entlastung, als besäße nun jemand Größeres das Problem. Es ist das Gegenteil. Der Maßstab für Ihr eigenes Lieferantenrisiko, Ihre Ausstiegsplanung und Ihre Konzentrationskarte ist gerade gestiegen, denn es gibt jetzt einen beaufsichtigten Standard, an dem Ihre eigene Aufsicht Sie messen kann.
Konzentration ist jetzt eine amtliche Kategorie
Das tiefere Signal ist, was der Staat nun festgehalten hat. Indem es vier in den USA ansässige Anbieter als systemkritisch benennt, hat das Vereinigte Königreich förmlich festgehalten, dass seine Finanzinfrastruktur auf einer sehr kleinen Zahl ausländischer Lieferanten läuft. Das ist keine Folie mehr in einem Risikoausschuss, sondern eine Einstufung mit rechtlicher Wirkung.
Dieselbe Logik gilt bereits jenseits des Kanals. Der EU Digital Operational Resilience Act, bekannt als DORA, schuf ein nahezu identisches Aufsichtsregime für kritische IKT-Drittdienstleister, geführt von den Europäischen Aufsichtsbehörden. In Deutschland stellt die BaFin ähnliche Fragen, und ein beidseitig tätiges Unternehmen steht vor zwei Aufsehern mit denselben zwei Fragen: Wie konzentriert sind Sie, und können Sie gehen.
Souveränitäts- und Multi-Cloud-Argumente sind hier nicht mehr theoretisch. Der Grund, einen erprobten Pfad abseits eines einzelnen Hyperscalers zu halten, ruhte früher auf Prinzip und Verhandlungsmacht im Einkauf. Er ruht jetzt auch auf einem Resilienzstandard, den eine Aufsicht prüfen kann, was das interne Gespräch von Vorliebe zu Pflicht wandelt.
Was vor der Frage der Aufsicht geklärt sein sollte
Behandeln Sie die Einstufung als eine Frist, die Sie sich selbst setzen. Kartieren Sie, welche Ihrer kritischen Arbeitslasten bei welchem der vier Anbieter liegen, halten Sie die Konzentration ehrlich fest und proben Sie den Ausstieg, statt ihn vorauszusetzen. Ein Wiederanlaufplan, der nie gegen ein schweres, aber plausibles Versagen getestet wurde, ist ein Dokument, keine Fähigkeit, und genau diese Lücke ist ein Aufseher geschult zu finden.
Ruhig wirkt in einer Prüfung, wer seine Antwort schon kennt. Solche Häuser können ihre einzelnen Ausfallpunkte benennen, für jeden einen erprobten Ausweg zeigen und belegen, dass der Vorstand die Konzentration erörterte, bevor eine Aufsicht sie ansprach. Die Einstufung schuf diese Arbeit nicht, sie machte ihr Fehlen sichtbar.
Weiterlesen: Ihre geprüften Daten waren längst halb Maschine | Amazon lieh sich 25 Milliarden Dollar für KI-Kapazität



