Am 20. und 21. Juni 2024 hat die BaFin eine Informationsveranstaltung zum Thema Digital Operational Resilience Act (DORA) Informationsregister abgehalten. DORA zielt darauf ab, die operative Resilienz von Finanzdienstleistern in der EU zu stärken. Ein zentrales Instrument dieser Verordnung ist das Informationsregister, das der Überwachung und Steuerung von IKT-Dienstleistungen und Drittparteienrisiken dient. Gemäß Art. 28 Abs. 3 DORA müssen Finanzdienstleister ein Informationsregister führen, das alle IKT-Dienstleistungen erfasst, die kritische oder wichtige Funktionen unterstützen. Diese Informationen müssen auf Verlangen der BaFin zur Verfügung gestellt werden. 

Gründe für das Informationsregister 

Das Informationsregister dient mehreren Zwecken: 

• Internes Risikomanagement: Viele Unternehmen haben oft keinen vollständigen Überblick über ihre Lieferketten und Subdienstleister. Das Register hilft, diese Transparenz zu erhöhen. 

• Aufsichtsinstrument: Es ermöglicht der BaFin, einen besseren Marktüberblick über Dienstleister zu erhalten und Konzentrationsrisiken zu identifizieren. 

• Ermittlung kritischer Drittparteien: Die europäischen Behörden können mithilfe des Registers kritische Drittparteien (CTPP) identifizieren und überwachen. 

Wichtige Regelungen und Herausforderungen 

• Die Erstellung und Pflege des Informationsregisters sind maßgeblich in Art. 28 Abs. 3 DORA geregelt. Aktuell befindet sich der Implementing Technical Standard (ITS) noch im Entwurf und wird von der EU-Kommission geprüft. Der finale ITS wird nach der Annahme durch die Kommission übersetzt und veröffentlicht.  

• Es bestehen noch Unklarheiten bezüglich der genauen Informationsregister-Templates, die für den sogenannten „Dry Run" verwendet werden. Unternehmen müssen sich auf Änderungen, insbesondere in Bezug auf Spaltennamen und dem Data Point Model (DPM), einstellen. Das finale DPM 4.0 wird voraussichtlich weitere Anpassungen mit sich bringen. 

• Unterstützt ein IKT-Dienstleister mit seinen IKT-Diensten keine kritische oder wichtige Funktion, so ist im Informationsregister lediglich die Dienstleisterkette bis zum IKT-Dienstleister (Rang 1) anzugeben. Sofern eine kritische oder wichtige Funktion unterstützt wird, ist die Dienstleisterkette zumindest bis zum IKT-Sub-Dienstleister A (Rang 2) anzugeben und unter Berücksichtigung eines risikobasierten Ansatzes und des Proportionalitätsprinzip sind ggf. weitere IKT-Sub-Dienstleister aufzuführen. Wichtig dabei ist, dass ausschließlich die wirklich kritischen IKT-Dienstleister aufgeführt werden.  

• Die DORA-Meldungen erfolgen über das MVP-Portal der BaFin. Hierfür ist eine Registrierung der Melder im MVP-Portal notwendig. Es wird erwartet, dass die initiale Melderfreigabe durch die BaFin bis Ende des Jahres abgeschlossen ist. 

Ausblick 

Die BaFin plant, die Informationsregister zeitnah nach dem 17.01.2025 anzufordern, sobald der Startschuss von den EU-Behörden gegeben wird. Dies bedeutet, dass es keine Übergangsfrist geben wird. Finanzdienstleister sollten sich intensiv mit den Anforderungen und Prozessen vertraut machen, um rechtzeitig und korrekt auf die Anfragen der BaFin reagieren zu können. Weitere Informationen und spezifische Fragen zur Implementierung und den genauen Anforderungen des Informationsregisters sind in den FAQs der BaFin zu finden. Es bleibt spannend, wie sich die Umsetzung und Anwendung der Verordnung in den kommenden Monaten entwickeln wird.