Logo der activeMind AG
  • Geschätzte Lesezeit: 4 Minuten

Das DORA-Informationsregister

Inhalt

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen zur Führung eines Informationsregisters. Darin sollen sämtliche Verträge mit IKT-Drittdienstleistern abgebildet werden. Dieses DORA-Informationsregister ist der BaFin zu übermitteln.

Bedeutung des DORA-Informationsregisters

Die Einführung des Informationsregisters im Rahmen des Third Party Risk Managements (TPRM) stellt Finanzinstitute vor große Herausforderungen. Während der Dry-Run-Phase für DORA hatten viele Unternehmen deshalb bereits mit der Implementierung des Informationsregisters auf Grundlage des bis Dato gültigen Datenmodells begonnen.

Nach Veröffentlichung der finalen Durchführungsverordnung (EU) 2024/2956 im November 2024 zeigten sich jedoch einige technische Änderungen, die Anpassungen am Vorgehensmodell zur Folge hatten.

Änderungen am Zielbild des Informationsregisters

Die Anpassungen am Datenmodell haben zur Folge, dass das ursprüngliche Excel-Template zur Erhebung der Daten nicht mehr verwendet werden kann. Auch der von der European Banking Authority (EBA) bereitgestellte CSV-Converter verliert seine Bedeutung, da sich die Struktur der Daten geändert hat.

Besonders für kleinere Finanzinstitute, die wenig bis keine Kapazitäten haben, ein Informationsregister gemäß den Anforderungen selbständig umzusetzen, sind diese Änderungen problematisch.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagierte jedoch umgehend und stellte, ein neues Excel-Template bereit, mit dem Finanzinstitute die Daten analog zum bisherigen Excel-Template der EBA erheben können. Die Vorlage ermöglicht es, die Daten direkt im MVP-Portal der BaFin hochzuladen, wodurch der zuvor erforderliche Konvertierungsprozess entfällt (siehe unten).

Umfang des Informationsregisters

Für die aktuelle Struktur des DORA-Informationsregisters müssen Unternehmen der Finanzbranche komplexe Angaben zu ihren IKT-Drittdienstleistern machen. Dazu gehören unter anderem Folgende:

  • Identifikationscode des IKT-Drittdienstleisters (LEI- oder EUID-Code)
  • Offizielle Bezeichnung des IKT-Drittdienstleisters
  • Art der Person des IKT-Drittdienstleisters
  • Land, in dem der IKT-Drittdienstleister seinen Sitz hat
  • Jährliche Gesamtausgaben oder voraussichtliche Kosten für den IKT-Drittdienstleister
  • Identifikationscode des obersten Mutterunternehmens des IKT-Drittdienstleisters
  • Unterauftragsvergebene IKT-Dienstleistungen mit Rang der IKT-Dienstleister in der IKT-Dienstleistungskette
  • Unterstütze Funktion im Unternehmen mit Bewertung der Kritikalität
  • Substituierbarkeit des IKT-Drittdienstleisters und Gründe, warum der Dienstleister als nicht substituierbar angesehen wird

Komplexität und Umfang der zu erfassenden Daten erfordern in der Regel einiges an Arbeit, ggfs. ist es ratsam, externe Expertise hinzuzuziehen, um nicht wegen eines inkorrekten Informationsregisters Bußgelder zu riskieren.

Vorlage und Einreichung des Informationsregisters

Das Informationsregister kann in zwei Formaten bei der BaFin eingereicht werden. Einerseits als strukturierte Datei im xBRL-Formt oder mit Hilfe einer ausgefüllten Excel-Vorlage. Zu beiden Formaten gibt es weitere Informationen bei der BaFin.

Fristen für das Informationsregister

Das Informationsregister kann jährlich bis zum 31. März eingereicht werden. Umfasst sein müssen sämtliche Vertragsinformationen mit Stichtag 31. Dezember des Vorjahres. Dazwischen ist eine Einreichung des Informationsregisters nicht vorgesehen. Um sicherzugehen, dass die Meldung erfolgreich verläuft, können zuvor Test-Einreichungen vorgenommen werden.

Zwischen den Zeiträumen für die Meldungen des Informationsregisters müssen Unternehmen die BaFin zeitnah über jede geplante vertragliche Vereinbarung mit IKT-Drittdienstleistern zur Unterstützung einer kritischen oder wichtigen Funktion informieren, sowie für den Fall, dass eine Funktion kritisch oder wichtig geworden ist.

Fazit: Daten am besten schon jetzt erheben

Trotz der Erleichterungen durch die Bereitstellung einer neuen Excel-Vorlage durch die BaFin ist die Zeit für Finanzinstitute zur Meldung des Informationsregisters meist knapp. Es empfiehlt sich, bereits frühzeitig mit der Erfassung der relevanten Daten zu beginnen, da sich kurzfristige Änderungen ergeben können und eine Änderung der Taxonomie für die Erhebung bei den European Supervisory Authorities (ESA) weiterhin möglich bleibt. So können mögliche Verzögerungen vermieden und die Frist zur Abgabe an die BaFin eingehalten werden.

DORA-Compliance ist machbar!

Wir optimieren die Informationssicherheit, Risikobehandlung und digitale Resilienz für Finanzinstitute und deren Zulieferer in der EU.
Jetzt informieren!

Weiterlesen

  • Datensicherheit

Geschäftsleitungsschulungen nach NIS2

Wie müssen die Geschäftsleitungen von durch NIS2 betroffenen Unternehmen geschult werden? Wir erläutern die Empfehlungen des BSI.
  • Datensicherheit

Vereinfachter IKT-Risikomanagementrahmen nach DORA

Für Unternehmen, die aufgrund des FinmadiG gewisse DORA-Anforderungen erfüllen müssen, gilt ein vereinfachter IKT-Risikomanagementrahmen. Wir erklären die Vereinfachungen und was betroffene Unternehmen tun müssen.
  • Beschäftigtendatenschutz, Datensicherheit, New Work, Technischer Datenschutz

Bring Your Own Device (BYOD) datenschutzkonform umsetzen

Wie können Unternehmen ihren Mitarbeitenden BYOD so ermöglichen, dass Datenschutz, Anwendbarkeit und Effizienz gleichzeitig gewahrt werden?
  • Datensicherheit, KRITIS

Das deutsche NIS2-Umsetzungsgesetz

Was besagt der neue Entwurf vom 25. Juli 2025 für ein Gesetz zur Umsetzung der NIS2-Richtlinie? Welche Organisationen sind betroffen und müssen dann was tun?
  • Datensicherheit, KRITIS

CER und KRITIS, NIS2, DORA – welche Vorschriften gelten für wen?

Welches Unternehmen muss welche Vorgaben zur digitalen und physischen Resilienz erfüllen? Ein Überblick zu EU-Verordnungen und nationaler Gesetzgebung.
  • Datensicherheit, Medizinischer Datenschutz

Bedeutung der BSI C5-Gleichwertigkeitsverordnung für Gesundheitsunternehmen

Bietet die C5-Gleichwertigkeitsverordnung echte Alternativen für Cloud-Anbieter im Gesundheitsbereich?
Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Jetzt kostenfrei anmelden!
Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.