Neue Anforderungen für die Meldung von IKT-Dienstleistern: Was Banken wissen müssen

Am 8. November 2024 haben die europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) eine Entscheidung zur Berichterstattung über die Ernennung kritischer Drittanbieter für Informations- und Kommunikationstechnologie (IKT) getroffen. Diese Entscheidung betrifft die zuständigen nationalen Aufsichtsbehörden in der EU und legt fest, welche Informationen künftig zu melden sind, um kritische IKT-Drittanbieter zu identifizieren. Diese Maßnahmen sind im Zusammenhang mit der wachsenden Bedeutung von IKT-Diensten für Finanzinstitute zu sehen und sollen das Risiko durch Abhängigkeiten von externen IKT-Dienstleistern minimieren.

Warum diese Entscheidung wichtig ist

Kritische IKT-Dienstleister, sogenannte Critical ICT Third-Party Providers (CTPP), spielen eine zunehmend zentrale Rolle in der Finanzbranche. Diese Anbieter erbringen Dienstleistungen, die wesentlich für den Betrieb von Finanzinstituten sind, wie beispielsweise Cloud-Lösungen oder Sicherheitssoftware. Die EBA, EIOPA und ESMA (zusammengefasst als "ESAs") müssen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden sicherstellen, dass diese Dienstleister als "kritisch" identifiziert werden, wenn sie bestimmte Kriterien erfüllen. Dies dient letztendlich dazu, Risiken zu mindern und die Stabilität des Finanzsystems zu gewährleisten.

Pflichten der zuständigen Aufsichtsbehörden

Ab dem 17. Januar 2025 sind die zuständigen Behörden verpflichtet, jährlich Informationen an die ESAs zu übermitteln.

Diese umfassen insbesondere:

1. Register über IKT-Dienstleistungsverträge (Informationsregister): Finanzinstitute müssen ihre Vertragsinformationen zu IKT-Dienstleistungen dokumentieren und an die zuständigen Behörden melden. Die Behörden sind verpflichtet, diese Register auf konsolidierter Basis an die ESAs zu übermitteln.

2. Systemische Bedeutung: Zusätzlich müssen die Aufsichtsbehörden eine Liste derjenigen Finanzinstitute bereitstellen, die auf kritische IKT-Dienstleister angewiesen sind und als systemisch relevant gelten. Hierbei sind insbesondere nicht-bankenbezogene Finanzinstitute zu erfassen.

   
   

Konsolidierte Daten und effizientere Berichterstattung

Um den Aufwand für die Finanzinstitute und die zuständigen Behörden zu reduzieren, sollen die Daten möglichst auf konsolidierter Ebene gesammelt werden. Das bedeutet, dass Gruppen von Finanzinstituten ihre Informationen gemeinsam übermitteln können, sofern dies machbar ist. Die Berichterstattung erfolgt über die "European Centralised Infrastructure of Data" (EUCLID), eine zentrale Dateninfrastruktur, die die EBA bereitstellt.

Zeitplan und technischer Ablauf

Die erste Meldung der Register durch die nationalen Aufsichtsbehörden an die Europäischen Aufsichtsbehörden muss bis spätestens 30. April 2025 erfolgen.

Dabei gibt es mehrere wichtige Fristen und technische Vorgaben, die von den zuständigen Behörden zu beachten sind:

Zeitliche Fristen:

• Für die erstmalige Übermittlung der Registerdaten gilt der Stichtag 30. April 2025 (mit Referenzdaten zum Stichtag 31. März 2025). Danach erfolgt die Berichterstattung jährlich jeweils bis zum 31. März für die Registerdaten des vorangegangenen Kalenderjahres (Referenzstichtag 31. Dezember).

• Für die systemrelevanten Finanzinstitute (nicht-Banken) ist der Abgabetermin für die erste Übermittlung der relevanten Daten der 31. März 2025. Für die folgenden Jahre bleibt auch hier der Stichtag der 31. März.

Technische Umsetzung:

• Die Übermittlung der Daten erfolgt über die European Centralised Infrastructure of Data (EUCLID), die von der EBA verwaltet wird. Dies ist eine zentrale Plattform, die sicherstellt, dass alle relevanten Daten gesammelt, verarbeitet und zugänglich gemacht werden können.

• Die zuständigen Behörden müssen die Daten in standardisierten Formaten bereitstellen. Diese Formate werden durch die Implementierung technischer Standards (Implementing Technical Standards - ITS) spezifiziert, die in einem gemeinsamen Beschluss der Exekutivdirektoren der ESAs festgelegt werden. Diese Standards sollen sicherstellen, dass die Daten in einer einheitlichen und strukturierten Form vorliegen, was die Vergleichbarkeit und Weiterverarbeitung erleichtert.

Qualitätssicherung und Konsistenzprüfungen:

• Um sicherzustellen, dass die gelieferten Daten den Qualitätsanforderungen entsprechen, müssen die zuständigen Behörden vor der Einreichung umfassende Qualitätsprüfungen der Daten durchführen. Diese umfassen Konsistenzprüfungen sowie die Validierung gegen die Vorgaben der technischen Standards.

• Nach der Übermittlung führt die EBA zusätzliche Qualitätsprüfungen durch und kann, falls erforderlich, Nachbesserungen anfordern. Diese Nachbesserungen sind von den zuständigen Behörden umzusetzen, die wiederum die Finanzinstitute auffordern können, entsprechende Korrekturen vorzunehmen.

• Für die Vollständigkeit der Meldungen werden die Informationen gegen sogenannte „Masterdaten“ geprüft. Diese Masterdaten umfassen grundlegende Informationen zu den Finanzinstituten und ihrer Gruppenzugehörigkeit und werden ebenfalls von den zuständigen Behörden gepflegt. Ab 2026 wird eine umfassendere Sammlung dieser Masterdaten von den ESAs gefordert, um eine noch genauere Prüfung der Meldungen zu ermöglichen.

  
  

„Dry-Run“-Übung zur Vorbereitung:

• Bereits im Jahr 2024 wurde eine „Dry-Run“-Übung durchgeführt, bei der die zuständigen Behörden und Finanzinstitute die Prozesse zur Datenübermittlung testen konnten. Diese Übung sollte sicherstellen, dass alle Beteiligten mit den technischen Anforderungen vertraut sind und die notwendigen Strukturen implementieren konnten, bevor die endgültigen Meldungen ab 2025 verpflichtend werden.

Diese technischen und organisatorischen Vorgaben sollen sicherstellen, dass die Erfassung und Übermittlung der Daten effizient, konsistent und belastbar ist, um den ESAs eine zuverlässige Grundlage zur Identifizierung kritischer IKT-Drittanbieter zu bieten.

Bedeutung für die Praxis

Für Banken bedeutet diese neue Regelung eine stärkere Fokussierung auf die Dokumentation und Kontrolle der genutzten IKT-Dienstleister. Die Abstimmung mit den zuständigen Aufsichtsbehörden wird entscheidend sein, um die geforderten Daten fristgerecht und in der erforderlichen Qualität bereitzustellen. Die frühzeitige Einbindung der relevanten Abteilungen, insbesondere IT, Risikomanagement und Compliance, ist essenziell, um die neuen Anforderungen zu erfüllen.