Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen zur Führung eines Informationsregisters. Darin sollen sämtliche Verträge mit IKT-Drittdienstleistern abgebildet werden. Für dieses Informationsregister wurden nun maßgebliche Änderungen beschlossen, die betroffene Unternehmen zum (erneuten) Handeln zwingen.
Bedeutung des DORA-Informationsregisters
Die Einführung des Informationsregisters im Rahmen des Third Party Risk Managements (TPRM) stellt Finanzinstitute vor große Herausforderungen. Während der Dry-Run-Phase für DORA hatten viele Unternehmen deshalb bereits mit der Implementierung des Informationsregisters auf Grundlage des bis Dato gültigen Datenmodells begonnen.
Nach Veröffentlichung der finalen Implementing Technical Standards (ITS) zeigen sich jedoch einige technische Änderungen, die Anpassungen am Vorgehensmodell zur Folge haben.
Änderungen am Zielbild des Informationsregisters
Im Dry-Run wurden verschiedene Templates durch die Europäische Bankenaufsichtsbehörde (EBA) veröffentlicht, um die für den Testlauf erforderlichen Daten zu erheben. Mit der finalen Version der ITS gibt es nun einige Änderungen. Die Anpassungen am Datenmodell haben zur Folge, dass das ursprüngliche Excel-Template zur Erhebung der Daten nicht mehr verwendet werden kann. Auch der von der EBA bereitgestellte CSV-Converter verliert seine Bedeutung, da sich die Struktur der Daten geändert hat.
Besonders für kleinere Finanzinstitute, die keine Kapazitäten haben, ein Informationsregister gemäß den Anforderungen selbständig umzusetzen, sind diese Änderungen problematisch.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagierte jedoch und kündigte an, ein neues Excel-Template bereitzustellen, mit dem Finanzinstitute die Daten analog zum bisherigen Excel-Template der EBA erheben können. Die neue Vorlage soll es außerdem ermöglichen, die Daten direkt im MVP-Portal der BaFin hochzuladen, wodurch der bisherige Konvertierungsprozess entfällt.
Die BaFin teilte auf Anfrage von activeMind mit, dass die Veröffentlichung dieses Excel-Templates Ende Februar / Anfang März 2025 auf der Website www.bafin.de/dora erfolgen soll.
Zeitrahmen und Fristen im Rahmen des Informationsregisters
Die Anpassungen am Informationsregister bringen auch einen veränderten Zeitrahmen mit sich. Die ursprünglich geplante Meldefrist zum 17. Januar 2025 wurde durch die European Supervisory Authorities (ESA) auf den 30. April 2025 verschoben.
Wichtig ist jedoch, dass dies nicht die Meldefrist für die Finanzinstitute betrifft, sondern die Frist für die nationalen Behörden an die ESA.
Finanzinstitute müssen ihre Daten bis spätestens 11. April 2025 an die BaFin übermitteln. Der 31. März 2025 ist dabei der Stichtag für den Datenstand, alle Verträge und relevanten IKT-Dienstleister müssen für diesen Zeitpunkt erfasst und dokumentiert sein.
Fazit: Daten am besten schon jetzt erheben
Trotz der angekündigten Erleichterungen durch die Bereitstellung einer neuen Excel-Vorlage durch die BaFin ist die Zeit für Finanzinstitute knapp. Es empfiehlt sich, bereits jetzt mit der Erfassung der relevanten Daten zu beginnen, da die Änderungen zwischen der alten und neuen Vorlage voraussichtlich nur geringfügig ausfallen werden. So können mögliche Verzögerungen vermieden und die Frist zur Abgabe an die BaFin eingehalten werden.