DORA-Informationsregister

Am 2. Dezember 2024 wurde die Durchführungsverordnung EU (2024/2956) vom 29. November 2024 veröffentlicht, die technische Durchführungsstandards für die Anwendung der DORA hinsichtlich standardisierter Vorlagen in Bezug auf das Informationsregister für vertragliche Vereinbarungen mit Drittanbietern von IKT-Diensten festlegt.

Die Verordnung legt insbesondere die standardisierten Vorlagen für das Informationsregister im Zusammenhang mit allen vertraglichen Vereinbarungen für die Nutzung von IKT-Diensten durch Drittanbieter gemäß Artikel 28 Absatz 3 der DORA-Verordnung fest.

Es wird darauf hingewiesen, dass die in diesem Register erfassten Informationen von entscheidender Bedeutung sind:

• für das interne Management von IT-Risiken durch Finanzinstitute,

• für die effektive Überwachung von Finanzinstituten durch ihre zuständigen Behörden,

• für die Einrichtung und Durchführung der Überwachung kritischer Drittanbieter von ITC-Diensten durch die federführende Aufsichtsbehörde,

• für den jährlichen Prozess zur Bestimmung kritischer Drittanbieter von ITC-Diensten durch die ESAs.

Um eine kohärente Überwachung im Einklang mit bestehenden Aufsichtsrahmen zu gewährleisten, muss das Mutterunternehmen von Finanzinstituten, die Teil einer Gruppe sind, die in das Informationsregister aufzunehmenden Einheiten auf subkonsolidierter und konsolidierter Basis gemäß den EU-Vorschriften zu Finanzdienstleistungen festlegen.

Zur Senkung der Verwaltungskosten können Gruppen ein einheitliches Informationsregister auf subkonsolidierter und konsolidierter Basis erstellen, das alle vertraglichen Vereinbarungen für die Nutzung von IKT-Diensten durch Drittanbieter für alle Finanzinstitute innerhalb der Gruppe umfasst. Dieses Register ermöglicht es jeder Finanzinstitution, ihre Verpflichtung zur Führung und Aktualisierung des Informationsregisters auf Einzelbasis sowie auf subkonsolidierter Basis zu erfüllen, einschließlich der Meldung an ihre zuständige Behörde.

Einige sektorspezifische EU-Vorschriften im Bereich Finanzdienstleistungen enthalten Anforderungen an das Outsourcing, die in den Leitlinien der ESAs entwickelt wurden. Gemäß diesen Leitlinien müssen einige Finanzinstitute spezifische Informationen zu ihren Outsourcing-Vereinbarungen registrieren, in einigen Fällen auch in Form von Registern im Rahmen des Outsourcing-Risikomanagements.

In den letzten Jahren haben verschiedene nationale zuständige Behörden und die EZB im Rahmen der Überwachung der Einhaltung von Outsourcing-Vorschriften durch Finanzinstitute Informationen aus diesen Registern gesammelt. Die standardisierten Vorlagen werden technologieneutral mit offenen Tabellen, einer vordefinierten Spaltenanzahl und unbegrenzter Zeilenanzahl konzipiert. Diese Vorlagen sind miteinander verknüpft, indem unterschiedliche spezifische Schlüssel verwendet werden, die eine relationale Struktur zwischen den Vorlagen bilden.

Für den Bezug von IKT-Diensten durch Drittanbieter, einschließlich gruppeninterner Anbieter, schließen Finanzinstitute schriftliche Verträge mit den Drittanbietern ab. Bei Gruppen können gruppeninterne IKT-Dienstleister Verträge mit externen Drittanbietern abschließen, um ITC-Dienste für eine oder mehrere Finanzinstitute innerhalb der Gruppe bereitzustellen.

Um die gesamte Lieferkette der IKT-Dienste zu erfassen, melden Finanzinstitute, die das Informationsregister führen:

• Informationen zu den vertraglichen Vereinbarungen mit ihrem gruppeninternen IKT-Dienstleister,

• Informationen zu den Vereinbarungen, die der gruppeninterne IKT-Dienstleister mit externen Drittanbietern als Subunternehmer getroffen hat.

Daher wird das Informationsregister ein spezifisches Modell enthalten, das Querverweise zwischen gruppeninternen Verträgen und Verträgen mit externen Drittanbietern ermöglicht.

Die Bereitstellung von IKT-Diensten für Finanzinstitute kann auf langen oder komplexen Subunternehmerketten beruhen, die von den Finanzinstituten überwacht werden müssen. Die Finanzinstitute müssen die damit verbundenen Risiken bewerten, einschließlich der Konzentrationsrisiken von IKT-Diensten durch Drittanbieter in Bezug auf kritische oder wichtige Funktionen oder deren wesentliche Teile. Dies erfolgt unter Berücksichtigung des Risikoprinzips und des Proportionalitätsprinzips.

Um diese Bewertung zu ermöglichen, müssen Finanzinstitute in das Informationsregister nur die Subunternehmer aufnehmen, die tatsächlich an IKT-Diensten beteiligt sind, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen. Dazu gehören alle Subunternehmer, deren Störungen die Sicherheit oder Kontinuität der Dienstleistung beeinträchtigen könnten. Bei der Identifizierung solcher Subunternehmer berücksichtigen die Finanzinstitute Aspekte der betrieblichen Kontinuität, der Kontinuität der IKT-Dienste und der IKT-Sicherheit.

Finanzinstitute führen und aktualisieren das Informationsregister auch dann, wenn sie alle ihre Aktivitäten an eine andere Einheit auslagern. In diesem Fall werden die direkten Drittanbieter, die IKT-Dienste für diese Einheit erbringen, im entsprechenden Informationsregistermodell der Finanzinstitution registriert. Die auslagernde Einheit wird lediglich als die Einheit registriert, die das Register führt.

Um die Transparenz und Vergleichbarkeit der vertraglichen Vereinbarungen sowie deren ständige Überwachung sicherzustellen, konzentriert sich das Informationsregister auf die operativen Verbindungen zwischen Finanzinstituten und Drittanbietern von IKT-Diensten. Zu diesem Zweck werden vier Schlüssel verwendet, die die relevanten Daten in den Informationsmodellen miteinander verbinden:

1. die Referenznummer der vertraglichen Vereinbarung zwischen dem Finanzinstitut und dem direkten Drittanbieter von IKT-Diensten,

2. eine geeignete Kennung der Finanzinstitute und Drittanbieter von IKT-Diensten,

3. die Kennung der Funktion,

4. die Art der IKT-Dienste.

   
   

Zur ordnungsgemäßen Dokumentation der vertraglichen Vereinbarungen zwischen Finanzinstituten und Drittanbietern von IKT-Diensten werden diese Anbieter eine Identifikationsnummer vorsehen, die ihre Identifizierung ermöglicht. Für juristische Personen sind der LEI und der EUID international und in der EU anerkannte Identifikatoren, die eine konsistente, eindeutige und zuverlässige Identifizierung der Unternehmen gewährleisten.

Dementsprechend wird für die Identifikation von Drittanbietern, die in der EU ansässig sind, einer dieser beiden Identifikatoren verwendet. Dies gilt als allgemeine Information für alle vertraglichen Vereinbarungen. Für Drittanbieter, die in Drittländern ansässig sind, wird ausschließlich der LEI verwendet.

Die Vorlagen für das Informationsregister zu Drittanbietern von IKT-Diensten erfordern Angaben zu einem dieser beiden Identifikatoren für juristische Personen. Gleichzeitig können natürliche Personen, die als Anbieter von IKT-Diensten tätig sind, alternative Identifikationscodes verwenden.

Die Durchführungsverordnung tritt am 22. Dezember 2024 in Kraft.