Über 3.000 Teilnehmer*innen zählte die Bundesanstalt für Finanzdienstleistungsübersicht (BaFin) am Donnerstag bei ihrem zweistündigen Online-Workshop zur Einreichung des Informationsregisters.
Rückblick in Kürze: Das Informationsregister
Der Digital Operational Resilience Act (DORA) verpflichtet Unternehmen im Finanzsektor seit Januar 2025 dazu, ein Informationsregister zu erstellen. Dieses soll alle vertraglichen Vereinbarungen über die Nutzung von Dienstleistungen der Informations- und Kommunikationstechnologie (IKT) zwischen dem Unternehmen und seinen IKT-Drittdienstleistern enthalten.
Die Erstellung und Sammlung in Form eines vordefinierten Übersichtsdokuments soll dazu dienen, den European Supervisory Authorities (kurz ESAs) einen Überblick über die vertraglichen Vereinbarungen und damit die Abhängigkeit der europäischen Finanzinstitute von ihren IKT-Drittanbietern zu verschaffen. Ziel ist es, europaweit mögliche Konzentrationsrisiken zu erkennen, um diese in Zukunft zu begrenzen oder ganz zu vermeiden.
DORA fordert, dass das Register seit dem 17. Januar 2025 vorgehalten und auf Anfrage der zuständigen Aufsicht zur Verfügung gestellt werden muss. Zusätzlich zum dauerhaften Vorhalten muss das Informationsregister einmal jährlich aktiv bei der Aufsicht eingereicht werden. Die Einreichung des initialen Informationsregisters muss bis zum 11. April 2025 an die BaFin erfolgen – oder im Falle von bedeutenden Kreditinstituten an die Europäische Zentralbank (EZB).
Mithilfe eines Workshops möchte die BaFin die wichtigsten Fragen zur Einreichung beantworten. Unsere Expert*innen für Informationssicherheit im Finanzwesen haben selbstverständlich für Sie am Workshop teilgenommen. Folgende 3 wichtige Erkenntnisse haben sie daraus mitgenommen:
Nicht Excel, oder doch Excel? Das ist die Frage.
Die ESAs haben XBRL als Format zur Erstellung des Informationsregisters festgelegt. Da dieses Format besonders für kleine und mittelgroße Unternehmen eine Herausforderung darstellt, möchte die BaFin unterstützen, und bietet eine Excel-Vorlage an. Nach Einreichung der Excel-Datei, wird die BaFin diese in XBRL umwandeln und an die ESAs weiterleiten.
Die Excel-Vorlage der BaFin orientiert sich komplett an dem entsprechenden ITS zum Informationsregister und nutzt die dort dargestellte Nummerierungen und Bezeichnungen. Sie ist ausschließlich in englischer Sprache verfügbar.
Im Workshop wurde darauf hingewiesen, dass sich die Vorlage unter anderem deshalb nur an kleine und mittelgroße Unternehmen richtet, da sie ab einer bestimmten Datenmenge an ihre Belastungsgrenze stößt. Zudem informierte die BaFin, dass es sich bei der Excel-Vorlage nur um eine Beta-Version handelt, die lediglich auf dem Windows Betriebssystem verfügbar ist. Es wurde auch diskutiert, dass die Vorlage Makro-Elemente enthält, die von vielen IT-Abteilungen aus Sicherheitsgründen untersagt sind.
Warten Sie mit dem Hochladen nicht bis zum 11. April 2025!
Kennen Sie das auch? Deadlines werden, wenn möglich, bis zur letzten Minute ausgenutzt. In diesem Fall ist allerdings eine frühzeitige Einreichung sinnvoll, denn:
- Sie können den Upload erst vornehmen, wenn Sie für das DORA Fachverfahren berechtigt sind. Registrieren Sie sich dafür rechtzeitig, die entsprechende Website der BaFin ist bereits verfügbar.
- Die Website zum Upload des Informationsregisters wird Ende März von der BaFin freigeschaltet.
- Die Einreichung gilt erst als abgeschlossen, wenn die Datei von der BaFin und den ESAs geprüft und als ordnungsgemäß anerkannt wurde. Mit einer Bearbeitungszeit von wenigen Tagen muss dabei gerechnet werden.
- Die Seite versendet keine Benachrichtigungen über Status-Änderungen der Einreichung. Eine proaktive Anmeldung auf der Seite und Prüfung der Status durch Sie ist erforderlich.
Daher empfehlen unsere Expert*innen dringend: Planen Sie einen ausreichenden Puffer zwischen der Einreichung und der genannten Frist vom 11. April 2025 ein, um auf Rückmeldungen oder eventuelle Eingabefehler reagieren zu können.
Unterauftragnehmer: Wo setze ich den Punkt?
Eine weitere entscheidende Fragestellung in Zusammenhang mit dem Informationsregister ist nach wie vor, in welcher Tiefe die Auflistung der Unterauftragsnehmer erfolgen soll.
Fest steht: Wenn ein IKT-Dienstleister kritische oder wichtige Funktionen unterstützt, müssen alle Unterauftragnehmer, die zur Erbringung dieser kritischen und wichtigen Funktion wesentlich beitragen, aufgelistet werden. In anderen Worten: Wenn eine Störung bei einem Unterauftragnehmer die Sicherheit oder die Kontinuität der bereitgestellten IKT-Dienstleistung beeinträchtigen würde, muss dieser im Informationsregister mit aufgenommen sein.
Um es greifbarer zu machen, hat die BaFin im Workshop folgende Orientierungsfragen mitgegeben:
- Ist eine direkte Abhängigkeit zwischen IKT-Dienstleistung und dem Unterauftragnehmer erklärbar und vorhanden?
- Stellt der Unterauftragnehmer die Erbringung wesentlicher Teile der IKT-Dienstleistung zur Unterstützung einer kritischen oder wichtigen Funktion sicher?
- Könnte eine Störung bei dem Unterauftragnehmer die Sicherheit oder die Kontinuität der IKT-Dienstleistung beeinträchtigen?
Ergänzt wurden diese Fragen um ein konkretes Beispiel:
- Listet ein Institut den Provider des Kernbankensystems als IKT-Drittdienstleister, wird erwartet, dass mindestens folgende Unterauftragnehmer ebenfalls angegeben werden: Cloud-Anbieter des Kernbankensystems, Firewall für das Kernbankensystem und Lastmanagement. Denn für jede dieser Unterauftragnehmer wird mindestens eine der oben genannten Orientierungsfragen mit „Ja“ beantwortet.
- Das Customer Relationship Management System des Kernbankensystems wiederum muss nicht gelistet werden. Dieses stellt weder einen wesentlichen Teil der IKT-Dienstleistung dar, noch beeinträchtigt es die Sicherheit oder Kontinuität des Kernbankensystems.
Dieses Beispiel dient lediglich der Visualisierung und ist, wie die BaFin mehrfach betonte, ihre Interpretation des ITS. Sollten die ESAs dieser Interpretation widersprechen, ersetzt diese die Interpretation der BaFin.
Unsere Empfehlung: Halten Sie sich bei der Auflistung weiterhin an das Proportionalitätsprinzip und den risikobasierten Ansatz, den Sie aus der bisherigen Finanzregulatorik kennen.
Sie haben Fragen zu DORA oder benötigen konkrete Unterstützung bei der Umsetzung in Ihrem Haus? Kontaktieren Sie uns, wir sind gerne für Sie da.
