DORA und Mikrounternehmen: Klarstellung zur Registerpflicht für IKT-Anbieter
- Erika Leitgeb
- 1. Sept.
- 2 Min. Lesezeit
Die Europäische Bankenaufsichtsbehörde (EBA) hat am 8. August 2025 mit Q&A 2025_7388 eine wichtige Klarstellung zur Anwendung der DORA-Bestimmungen für Mikrounternehmen veröffentlicht. Dabei geht es um die Frage, ob Finanzunternehmen, die unter das vereinfachte IKT-Risikomanagement nach Artikel 16 DORA fallen, auch von der Registerpflicht für IKT-Anbieter nach Artikel 28 befreit sind.
Hintergrund der Anfrage
Rechtliche Unsicherheit bei der Auslegung
Artikel 16 Absatz 1 DORA befreit bestimmte Finanzunternehmen explizit nur von der Anwendung der Artikel 5 bis 15. Unklar war jedoch, ob diese Befreiung auch für Artikel 28 gilt, der die Führung eines Registers über vertragliche Vereinbarungen mit IKT-Drittanbietern vorschreibt.
Die Formulierung von Artikel 28 könnte darauf hindeuten, dass nur Unternehmen mit einem vollständigen IKT-Risikomanagement-Rahmen nach Artikel 6 Absatz 1 zur Anwendung von Artikel 28 verpflichtet sind.
EBA-Klarstellung: Registerpflicht gilt für alle
Eindeutige Auslegung der Bestimmungen
Die EBA stellt in ihrer Antwort klar, dass alle DORA-unterworfenen Finanzunternehmen zur Führung eines Informationsregisters verpflichtet sind. Dies gilt auch für Mikrounternehmen und Unternehmen mit vereinfachtem IKT-Risikomanagement.
Die Begründung der EBA basiert auf folgende Überlegungen:
Erwägungsgrund 21 von DORA betont die Notwendigkeit umfassender Fähigkeiten zur IKT-Risikobeherrschung
Erwägungsgrund 43 befreit zwar von der Überwachungsrolle, nicht aber von der Registerpflicht
Artikel 28 Absatz 3 etabliert die Registerpflicht ohne Ausnahmen
Proportionalitätsprinzip als Ausgleich
Die EBA betont, dass das Proportionalitätsprinzip bereits in die Anforderungen des Informationsregisters eingebettet ist:
Kleinere Finanzunternehmen nutzen typischerweise weniger IKT-Dienste
Der Umfang und die Komplexität der Risikomanagement-Maßnahmen müssen dem Risikoniveau entsprechen
Die Maßnahmen müssen der Größe und Komplexität der Geschäftstätigkeit angemessen sein
Vereinfachte Anforderungen für kleinere Institute sind bereits berücksichtigt
Umsetzungsanforderungen trotz Vereinfachung
Auch Mikrounternehmen und kleine Finanzinstitute müssen daher:
Ein vollständiges Register aller IKT-Verträge mit Drittanbietern führen
Dieses Register regelmäßig aktualisieren
Die Informationen den Aufsichtsbehörden auf Anfrage zur Verfügung stellen
Ein angemessenes Drittanbieter-Risikomanagement implementieren
Die Registerpflicht umfasst alle vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten durch IKT-Drittanbieter, unabhängig von der Größe oder Komplexität des Finanzunternehmens.
Quelle / Eckdaten
👉 Link zum Dokument | |
Referenz | Q&A 2025_7388 |
📅 Veröffentlichung | 8. August 2025 |
Art des Dokuments | Q&A |
Herausgeber | Europäische Bankenaufsichtsbehörde (EBA) |
⚖️ Rechtsgrundlage | Verordnung (EU) 2022/2554 (DORA), Art. 28 |
Adressaten | Alle DORA-unterworfenen Finanzunternehmen |
✅ Status | Finale Q&A |
📅 Datum Erstanwendung | Sofort anwendbar (DORA gilt seit 17. Januar 2025) |
