Das DORA-Informationsregister: Ein zentraler Bestandteil für die operationelle Resilienz im Finanzsektor
Mit der Einführung des Digital Operational Resilience Act (DORA) wird ein Informationsregister für Finanzunternehmen verpflichtend, um die Risiken der Abhängigkeit von IKT-Drittdienstleistern zu minimieren. Dieses Register dient als zentrale Übersicht für Verträge und Beziehungen mit IKT-Dienstleistern, die kritische oder wichtige Funktionen unterstützen.
Hier findest du relevante Links zu den Anforderungen des DORA-Informationsregisters und dessen Umsetzung:
-
BaFin zu DORA und dem Informationsregister
Die BaFin hat detaillierte Informationen über die Anforderungen an das Informationsregister veröffentlicht. Dies umfasst die Meldepflichten, welche Unternehmen ab Januar 2025 erfüllen müssen, und die jährliche Einreichung der Register. Weitere Infos:
DORA – BaFin-Workshops zum Informationsregister (BaFin) und DORA – BaFin. -
Europäische Aufsichtsbehörden und DORA
Die EBA, ESMA und EIOPA arbeiten gemeinsam an der Entwicklung technischer Standards zur Umsetzung von DORA, die auch das Informationsregister betreffen. Diese Standards sollen sicherstellen, dass alle IT-Dienstleister und kritischen Funktionen ordnungsgemäß erfasst werden. Mehr Details hier:
ESMA – DORA, EBA – DORA.
Ziel und Zweck des Informationsregisters
Laut DORA, insbesondere Artikel 28 Abs. 3, müssen Finanzunternehmen ein umfassendes Informationsregister führen, das alle relevanten IKT-Dienstleistungen und deren Verträge erfasst. Dies betrifft sowohl interne als auch externe Dienstleister. Durch die Identifikation von kritischen IKT-Dienstleistern wird die Überwachung und Risikobewertung erleichtert, da Störungen bei diesen Anbietern erhebliche Auswirkungen auf die Finanzstabilität haben könnten.
Das Register soll von den Finanzaufsichtsbehörden, wie der BaFin, jederzeit angefordert werden können. Auf Basis dieser Informationen wird die Widerstandsfähigkeit der gesamten Finanzindustrie gegenüber Cyberangriffen oder IT-Ausfällen bewertet und gestärkt.
Anforderungen aus DORA: Aufbau und Inhalte
Finanzunternehmen sind verpflichtet, das Register kontinuierlich zu pflegen und die darin enthaltenen Informationen regelmäßig zu aktualisieren. Es umfasst alle IKT-Dienstleister und deren Verträge, die kritische oder wichtige Funktionen des Unternehmens unterstützen. Dazu zählen auch Unterauftragnehmer in der Kette der Auslagerung. Jede Ebene der Unterauftragsvergabe muss erfasst werden, insbesondere bei kritischen oder wichtigen Funktionen, deren Ausfall zu erheblichen Störungen führen könnte.
Zu den Informationen, die im Register enthalten sein müssen, gehören:
- Identifikation kritischer Funktionen: Unternehmen müssen alle operativen und geschäftlichen Funktionen identifizieren und bewerten, welche davon als kritisch oder wichtig eingestuft werden.
- Erfassung von Verträgen mit IKT-Dienstleistern: Verträge mit externen und internen IKT-Dienstleistern, die diese kritischen Funktionen unterstützen, müssen vollständig erfasst werden.
- Kette der Unterauftragsvergabe: Falls Unterauftragnehmer an den IKT-Dienstleistungen beteiligt sind, müssen auch diese in das Register aufgenommen werden.
Besonderheiten der Erfassung
Es ist wichtig zu beachten, dass nicht nur direkte Auslagerungen erfasst werden müssen, sondern auch sonstige IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen. Dies bedeutet, dass die Reichweite des Registers über herkömmliche Auslagerungsregister hinausgeht.
Meldepflichten und Berichterstattung
Gemäß DORA müssen die Informationsregister mindestens einmal jährlich an die nationalen Aufsichtsbehörden gemeldet werden. Dies dient der Bestimmung der kritischen IKT-Dienstleister im Finanzsektor. Die BaFin wird künftig detaillierte Anforderungen zur Übermittlung dieser Register vorgeben, einschließlich der Verwendung standardisierter Excel-Vorlagen oder strukturierten Dateien.
Ein entscheidender Schritt zur Umsetzung des Registers ist die rechtzeitige Freischaltung und Registrierung der Melder bei der BaFin. Im Zuge der Implementierung sind bereits Dry-Runs durchgeführt worden, um die Prozesse und Meldewege zu testen. Finanzunternehmen sollten daher frühzeitig mit der Befüllung und Pflege ihrer Informationsregister beginnen, um mögliche Verzögerungen bei der Freischaltung zu vermeiden.
Handlungsanweisungen für Finanzunternehmen
Um den Anforderungen des DORA-Informationsregisters gerecht zu werden, sollten Finanzunternehmen folgende Schritte umsetzen:
-
Frühzeitige Identifikation kritischer Funktionen: Unternehmen müssen frühzeitig alle Funktionen identifizieren, die als kritisch oder wichtig gelten. Dies erfordert eine detaillierte Analyse der gesamten Betriebs- und IT-Prozesse.
-
Erfassung aller relevanten IKT-Dienstleister: Jedes Unternehmen sollte sicherstellen, dass sämtliche Verträge mit internen und externen IKT-Dienstleistern erfasst werden, die kritische oder wichtige Funktionen unterstützen.
-
Regelmäßige Überprüfung und Aktualisierung: Die Informationen im Register müssen regelmäßig überprüft und bei Bedarf aktualisiert werden. Insbesondere bei Änderungen in der Kette der Unterauftragsvergabe ist es notwendig, das Register auf dem neuesten Stand zu halten.
-
Koordination mit der BaFin: Unternehmen sollten sicherstellen, dass sie mit der BaFin eng zusammenarbeiten und alle erforderlichen Informationen pünktlich bereitstellen. Dies umfasst auch die Meldung von Änderungen im Register sowie die Einhaltung der Fristen für die Übermittlung der jährlichen Berichte.
-
Vorbereitung auf die IT-Umsetzung: Finanzunternehmen müssen sicherstellen, dass ihre internen Systeme auf die Erfassung und Meldung der Informationen vorbereitet sind. Dies umfasst die Nutzung der von der BaFin bereitgestellten Vorlagen sowie die Teilnahme an Testläufen zur Sicherstellung einer reibungslosen Übermittlung.
-
Schulung und Sensibilisierung: Es ist entscheidend, dass alle relevanten Abteilungen, insbesondere IT und Risikomanagement, über die Anforderungen des DORA-Registers informiert sind und entsprechend geschult werden.
Fazit: Das Informationsregister als Schlüsselinstrument für die Resilienz
Das DORA-Informationsregister stellt einen zentralen Baustein zur Stärkung der operationellen Resilienz im Finanzsektor dar. Durch die detaillierte Erfassung aller IKT-Dienstleistungen und deren Unterauftragnehmer wird das Risiko von IT-Ausfällen und Cyberangriffen minimiert. Finanzunternehmen müssen sich auf diese neuen Anforderungen einstellen und sicherstellen, dass ihre Informationsregister vollständig und aktuell sind.
Frühzeitige Planung und Zusammenarbeit mit der BaFin sind entscheidend, um die gesetzlichen Vorgaben einzuhalten und die Resilienz gegen technologische Risiken zu stärken.