Contents
- Informationsregister (Art. 28 Abs. 3 DORA i.V.m. ITS RoI)
- Abdeckung kritischer und nicht-kritischer Funktionen
- Jährliche Berichtspflichten und laufende Vorlagepflicht
- Vorab-Meldepflicht bei kritischen Funktionen
- Umsetzung nach ITS RoI (Artikel 1 bis 6)
- Begriffsbestimmungen (Art.1)
- Erstellung einer Rangfolge von IKT-Drittdienstleistern in der Dienstleistungskette (Art. 2)
- Allgemeine Anforderungen an die Vorlagen des Informationsregisters (Art. 3)
- Anforderungen an das Datenformat (Art. 4)
- Inhalt des Informationsregisters (Art. 5)
- Anwendungsbereich des Informationsregisters auf teilkonsolidierter und konsolidierter Ebene (Art. 6)
- Grundlage für Drittparteienmanagement
Informationsregister (Art. 28 Abs. 3 DORA i.V.m. ITS RoI)
Finanzunternehmen sind nach Art. 28 Abs. 3 der Verordnung (EU) 2022/2554 (DORA) verpflichtet, ein vollständiges und aktuelles Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu führen. Diese Pflicht gilt sowohl auf Einzelinstituts-, teilkonsolidierter als auch auf konsolidierter Ebene und ist integraler Bestandteil des IKT-Risikomanagementrahmens.
Abdeckung kritischer und nicht-kritischer Funktionen
Im Informationsregister ist klar zu unterscheiden, ob eine IKT-Dienstleistung kritische oder wichtige Funktionen des Instituts unterstützt. Diese Differenzierung bildet die Grundlage für eine risikoorientierte Steuerung der IKT-Drittparteienbeziehungen. Alle Vereinbarungen sind dabei angemessen zu dokumentieren.
Jährliche Berichtspflichten und laufende Vorlagepflicht
DORA verpflichtet Institute, der Aufsichtsbehörde mindestens einmal jährlich zu berichten über:
- die Anzahl neu abgeschlossener Verträge,
- die Kategorien der IKT-Drittdienstleister,
- die Art der vertraglichen Vereinbarungen sowie
- die bereitgestellten IKT-Dienstleistungen und Funktionen.
Auf Verlangen der Behörde ist das vollständige Register oder ein entsprechender Auszug bereitzustellen – inklusive aller relevanten Zusatzinformationen, die zur aufsichtlichen Beurteilung erforderlich sind.
Vorab-Meldepflicht bei kritischen Funktionen
Zusätzlich sieht DORA eine proaktive Meldepflicht vor: Jede geplante Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen muss zeitnah angezeigt werden – ebenso bei einer nachträglichen Hochstufung der Kritikalität bestehender Funktionen.
Umsetzung nach ITS RoI (Artikel 1 bis 6)
Die konkrete Ausgestaltung des Registers erfolgt gemäß den Artikeln 1 bis 6 der ITS RoI.
Begriffsbestimmungen (Art.1)
Definiert zentrale Begriffe für die Anwendung der ITS RoI:
- Dienstleistungskette: Reihe von verbundenen IKT-Drittdienstleistern, beginnend beim Finanzunternehmen.
- IKT-Drittdienstleister: Anbieter, der IKT-Dienste bereitstellt.
- Vertrag: Schriftliche oder elektronische Vereinbarung zur Nutzung von IKT-Diensten.
Erstellung einer Rangfolge von IKT-Drittdienstleistern in der Dienstleistungskette (Art. 2)
- Jeder IKT-Drittdienstleister in der Dienstleistungskette erhält eine eindeutige Position in der Hierarchie.
- Die Positionierung erfolgt auf Basis des direkten Bezugs zur ausgelagerten Funktion bzw. Dienstleistung.
- Der am weitesten entfernte Anbieter vom Finanzunternehmen (z. B. Subdienstleister) erhält die höchste Rangnummer.
Allgemeine Anforderungen an die Vorlagen des Informationsregisters (Art. 3)
- Finanzunternehmen müssen strukturierte Register gemäß den Vorlagen im Anhang I führen.
- Jede Dienstleistungsbeziehung ist eindeutig und konsistent zu dokumentieren.
- Bei Änderungen ist sicherzustellen, dass der aktuelle Stand jederzeit nachvollziehbar und korrekt ist.
Anforderungen an das Datenformat (Art. 4)
- Die Daten sind in einem elektronischen, maschinenlesbaren Format zu speichern (z. B. XML, CSV).
- Pflichtfelder müssen vollständig ausgefüllt sein, Ausnahmen müssen klar gekennzeichnet werden.
- Die Datenstruktur muss den technischen Spezifikationen der Anhänge entsprechen.
Inhalt des Informationsregisters (Art. 5)
Das Register enthält u. a.:
- Bezeichnung und Rechtsform des IKT-Drittdienstleisters
- Standort(e)
- Vertragsdaten (Beginn, Laufzeit, Kündigungsbedingungen)
- Beschreibung der ausgelagerten IKT-Dienstleistung
- Klassifizierung der Kritikalität (kritisch/nicht kritisch)
- Art des Zugriffs auf Daten (z. B. Fernzugriff)
- Subdienstleister und deren Standorte
Anwendungsbereich des Informationsregisters auf teilkonsolidierter und konsolidierter Ebene (Art. 6)
- Die Verpflichtung zur Führung des Registers gilt auf individueller, teilkonsolidierter und konsolidierter Ebene.
- Die übergeordneten Einheiten müssen sicherstellen, dass sie alle IKT-Dienstleistungsverhältnisse innerhalb des Konzerns erfassen.
Grundlage für Drittparteienmanagement
Diese Regelung bildet den zentralen Baustein für das DORA-konforme Drittparteienmanagement und wird bei der Erstellung folgender Dokumente vorausgesetzt:
- Informationsregister (strukturierte Datei, z. B. Excel oder XML)
- Meldeprozesse an Aufsichtsbehörden
- Kontrollprozesse zur Einstufung der Kritikalität
- Vertragliche Anforderungen an IKT-Drittdienstleister
- Exit- und Ausstiegspläne