DORA IKT-Lieferantenregister: EBA-Klarstellung zu Meldepflichten

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 14. August 2025 mit Q&A Nr. 7309 wichtige Klarstellungen zur Kommunikation von Daten aus dem Register der Informationen über Verträge mit IKT-Drittdienstleistern im Rahmen der Digital Operational Resilience Act (DORA) veröffentlicht. Diese Stellungnahme adressiert zentrale Fragen zur praktischen Umsetzung der Meldepflichten nach Artikel 28 Absatz 3 der DORA-Verordnung.

Kernfrage: Eine oder zwei Meldungen?

Die zentrale Fragestellung betrifft Artikel 28 Absatz 3 der DORA-Verordnung: Ist neben dem Register der Informationen eine separate und spezifische Kommunikation erforderlich, oder wird die Kommunikation dieser Daten bereits durch die jährliche Vorlage des Registers selbst erfüllt?

Die EBA stellt in ihrer Antwort klar, dass keine zweite, separate Meldung erforderlich ist. Grund hierfür ist die ESA-Entscheidung 22/2024, die vorsieht, dass die zuständigen Behörden den ESAs jährlich die Register der Informationen gemäß Artikel 28 Absatz 3 DORA vorlegen müssen, entsprechend den in den Artikeln 4 und 5 der Entscheidung festgelegten Meldefristen.

Wichtige Eckpunkte der EBA-Stellungnahme:

• Die jährliche Vorlage des Informationsregisters erfüllt bereits die Meldepflicht

• Eine zusätzliche separate Kommunikation ist nicht erforderlich

• Die ESA-Entscheidung 22/2024 regelt die einheitliche Datenübermittlung

• Finanzinstitute müssen ihre Register bis zum 30. April 2025 an die zuständigen Behörden melden

Zusätzliche Meldepflichten bleiben bestehen

Obwohl keine separate jährliche Meldung erforderlich ist, bleiben andere Kommunikationspflichten nach DORA bestehen:

Meldung auf Anfrage: Finanzinstitute müssen der zuständigen Behörde auf deren Anfrage das Informationsregister gemäß Artikel 28 Absatz 3 Ziffer 4 DORA zur Verfügung stellen.

Unverzügliche Benachrichtigung: Finanzinstitute müssen die zuständige Behörde unverzüglich über geplante Vertragsvereinbarungen mit IKT-Drittdienstleistern zur Unterstützung kritischer oder wichtiger Funktionen informieren oder wenn eine von IKT-Drittdienstleistern unterstützte Funktion kritisch oder wichtig wird, gemäß Artikel 28 Absatz 3 Ziffer 5.

Klassifizierung der IKT-Drittdienstleister

Bezüglich der Klassifizierung von IKT-Drittdienstleistern stellt die EBA klar, dass diese auf Basis der Art des von ihnen bereitgestellten Dienstes erfolgen sollte, unter Verwendung der in Anhang III von DORA aufgeführten Dienstetypen.

Praktische Umsetzung:

• Verwendung der DORA-Anhang III Kategorien für die Diensteklassifizierung

• Systematische Zuordnung nach tatsächlich erbrachten IKT-Dienstleistungen

• Berücksichtigung der Unterstützung kritischer oder wichtiger Funktionen

• Meldungen erfolgen zur Vorbereitung der Designierung kritischer IKT-Drittdienstleister (CTPP) durch die ESAs

Zeitplan und praktische Umsetzung

DORA ist seit dem 17. Januar 2025 anwendbar, und alle betroffenen Finanzinstitute müssen umfassende Register ihrer vertraglichen Vereinbarungen mit IKT-Drittdienstleistern auf Einzelunternehmens-, Teilkonsolidierungs- und Konsolidierungsebene führen.

💡 Hinweis für kleine Institute:

• Fokussieren Sie sich zunächst auf die Vollständigkeit und Qualität der Daten im Informationsregister - diese Daten bilden die Grundlage für alle DORA-bezogenen Meldungen.

• Nutzen Sie die von den ESAs bereitgestellten Templates und Validierungsregeln zur Vorbereitung Ihrer Meldungen. Diese sind auf der EBA-Website verfügbar.

• Priorisieren Sie bei noch nicht vollständig abgeschlossenen Registern die Datenqualität über die Vollständigkeit der erfassten IKT-Vereinbarungen.

• Stellen Sie sicher, dass Ihre internen Prozesse eine unverzügliche Benachrichtigung der Aufsichtsbehörde bei neuen kritischen oder wichtigen IKT-Vereinbarungen ermöglichen.

Quelle / Eckdaten