Übermittlung des Informationsregisters gem. DORA bis zum 30. April 2025 an die Aufsicht

Der Digital Operational Resilience Act (DORA) stellt einen bedeutenden Schritt in Richtung verbesserter operationaler Resilienz für den europäischen Finanzsektor dar und findet ab dem 17. Januar 2025 Anwendung. Einer der zentralen DORA-Aspekte ist das IKT-Drittparteienmanagement und als Ausgangspunkt eine vollständige und aktuelle Übersicht der Abhängigkeiten von IKT-Dienstleistern. Alle betroffenen Unternehmen im Finanzdienstleistungssektor sind demnach verpflichtet, ein umfassendes und aktuelles Verzeichnis aller Vertragsbeziehungen zu Drittparteien zu erstellen.

Dem Informationsregister kommen drei wesentliche Aufgaben zu:

  1. Mehr Transparenz und Unterstützung im internen Risikomanagement 
  2. Informationen über IKT-Konzentrationsrisiken für die nationalen und europäischen Aufsichtsbehörden
  3. Identifikation der kritischen IKT-Dienstleister durch die europäischen Aufsichtsbehörden (ESAs)

Eine große Herausforderung ist, die für das Informationsregister benötigten Informationen in einer ganzheitlichen Sicht nach Kritikalität der zugeordneten Unternehmensfunktionen (gem. „kritische oder wichtige Funktion“, Art. 3 Nr. 22 DORA) geordnet zu erheben. Erschwerend kommt hinzu, dass der Implementing Technical Standards (ITS), welcher Details und Anforderungen an das Informationsregister konkretisiert, per Ende November 2024 noch nicht final von der EU-Kommission verabschiedet ist. Die zu erwartenden Änderungen der EU-Kommission am Entwurf des ITS werden von den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) jedoch als begrenzt eingeschätzt und daher wird den Finanzinstituten klar empfohlen die Register bereits weitestgehend vorzubereiten. Außerdem haben die ESAs am 15. November 2024 in einer Mitteilung veröffentlicht, dass das Informationsregister, erstmalig zum 30.04.2025, von den zuständigen nationalen Aufsichtsbehörden (in Deutschland von der BaFin) an sie zu melden ist. Die BaFin wird das Informationsregister mit einem entsprechenden zeitlichen Vorlauf von den Instituten anfordern.



Meldewege des Informationsregisters
Abbildung: Meldewege des Informationsregisters. Quelle: Eigene Darstellung nach BaFin

Daher ist nun dringend eine priorisierte Finalisierung der Aktivitäten zum Informationsregister (u.a. Vervollständigung/Erhebung der Datenpunkte, Identifizierung von gruppeninternen Beziehungen sowie zu kritischen und wichtigen Funktionen, technische Vorbereitung der Meldeerstellung und Meldungsabgabe [Einzelinstitut und Gruppenebene]) geboten, um den geforderten Berichtspflichten rechtzeitig und vollständig nachkommen zu können. Die Erstellung des Informationsregisters beinhaltet einen hohen Bearbeitungsaufwand, da die geforderte Datenstruktur sehr komplex ist und mehrere Tabellen mit mehr als 100 Attributen umfasst, die sich zum Teil aufeinander beziehen.

BDO verfügt über ein umfassendes Know-how in den DORA relevanten Themenkomplexen, von breitem Wissen über die Branchenanforderungen bis hin zu Best Practices. Wir bringen unsere langjährige Erfahrung in der Optimierung von Prozessen, Anpassung von Systemen, Durchführung von Tests sowie der Prüfungsdurchführung in Ihren Projektalltag ein und helfen Ihnen, die Herausforderungen rund um DORA nachhaltig zu meistern. Profitieren Sie von unserer fachlichen und methodischen Expertise von der Analyse über die Umsetzungsunterstützung bis zur Vorbereitung und Unterstützung von Prüfungen.

Sprechen Sie uns an, damit wir Ihnen basierend auf Ihren Erfordernissen ein auf Ihre Bedürfnisse zugeschnittenes Angebot unterbreiten können.