normal keine LG

DORA-Verordnung: Technischer Durchführungsstandard für das Informationsregister liegt vor

Einreichungsfrist in der Melde- und Veröffentlichungsplattform ( MVP Portal) der BaFin endet am 11. April 2025

07.01.2025
@anayberkut, istockphoto.com, #1516609875
@anayberkut, istockphoto.com, #1516609875
Aktualisierte Fassung eines am 20. Dezember 2024 erschienen Beitrags.

Am 2. Dezember 2024 wurde im Amtsblatt der EU die Durchführungsverordnung mit dem technischen Durchführungsstandards „im Hinblick auf Standardvorlagen für das Informationsregister“ veröffentlicht. Er bildet einen wichtigen Baustein für Finanzunternehmen bei der Anwendung der DORA-Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor. Das Informationsregister zielt auf die Analyse von Risiken und Abhängigkeiten, die durch den Einsatz von IKT-Dienstleistern entstehen können. Im Bereich der betrieblichen Altersversorgung verpflichtet es Lebensversicherungsunternehmen, Pensionskassen und Pensionsfonds dazu, umfangreiche Angaben zu ihren Vertragsbeziehungen mit IT-Dienstleistern zu machen, potentiell über mehrere Ebenen von Sub-Unternehmen hinweg.

Nationale Aufsichtsbehörden werden diese Daten u.a. für die Analyse von Konzentrationsrisken und für die Folgenabschätzung nach Meldungen über IT-Vorfälle nutzen. Für die Europäischen Aufsichtsbehörden (ESA) bilden die Informationsregister eine wichtige Grundlage für die Identifikation derjenigen IKT-Dienstleister, die als „kritisch“ im Sinne der Art. 32 ff. der DORA-Verordnung gelten. Diese kritischen IKT-Dienstleister unterliegen künftig einem eigenen, auf europäischer Ebene angesiedelten Überwachungsrahmen.

Für die Vorbereitung auf die Führung der Informationsregister wurden seitens der ESA umfangreiche Informationen bereitgestellt. Im Sommer 2024 fand eine sog. „Trockenübung“ statt. Auf der dafür von der Europäischen Bankenaufsichtsbehörde (EBA) eingerichtete Themenseite wurden leere und beispielhaft ausgefüllte Templates, Ausfüllhinweise sowie Fragen und Antworten (Q&A) zusammengestellt. Mitte Dezember 2024 haben die ESA eine Auswertung und Bilanz dieser Trockenübung veröffentlicht. Diese Ergebnisse wurden im Rahmen eines Online-Workshops der ESA am 18. Dezember 2024 präsentiert und weitere Angaben zur Terminplanung des Registers im Zeitraum nach dem 17. Januar 2025 gemacht. Alle relevanten Unterlagen, auch eine Videoaufzeichnung des Workshops, sollen auf der hier verlinkten Themenseite der EBA veröffentlicht werden.

Zu einer zeitlichen Verzögerung bei der Veröffentlichung hatte in den letzten Wochen ein Dissens zwischen Kommission und ESA über die Frage geführt, welcher „Identifier“ im Informationsregister für IKT-Dienstleister zu verwenden ist. Die ESA hatten sich in ihrem Entwurf für die ausschließliche Verwendung des Legal Entity Identifiers (LEI) ausgesprochen (hier definiert von der BaFin). Die Kommission hatte hingegen vorgeschlagen, dass für IKT-Dienstleister alternativ zum LEI-Code auch die sog. „Einheitliche Europäische Kennung“ (EUID) verwendet werden darf. Diese wurde auf Basis einer Richtlinie zu gesellschaftsrechtlichen Fragen (Richtlinie (EU) 2017/1132) sowie einer (mittlerweile außer Kraft getretenen) Durchführungsverordnung (EU) 2015/884 zum Zwecke einer europaweiten Identifikation von Unternehmen auf Basis ihrer nationalen Handelsregistereinträge geschaffen. Die Endfassung des technischen Durchführungsstandards ist im Sinne der Kommission ausgestaltet, das heißt die Verwendung von LEI oder EUID als Identifier für IKT-Dienstleister ist möglich.

Weiterer Zeitplan für DORA-Anwender: Am 15. November 2024 haben die ESA bekannt gegeben, dass die nationalen Aufsichtsbehörden ihre aggregierten, auf nationaler Ebene erstellten Informationsregister bis 30. April 2025 einreichen müssen. Vor diesem Hintergrund haben Vertreter der BaFin angekündigt, ihrerseits die von ihnen beaufsichtigten Finanzunternehmen im Anwendungsbereich der DORA mit „etwas zeitlichem Vorlauf“ um die Einreichung ihrer Register zu bitten.

Aktualisierung am 7.1.2025: Anfang Januar 2025 gab die BaFin in diesem Beitrag auf der BaFin-Website das genaue Enddatum für die Einreichung bekannt. Es handelt sich um den 11. April 2025.

Die Einreichung der Informationsregister durch Finanzunternehmen erfolgt in Deutschland über ein neu eingerichtetes Fachverfahren im Rahmen der „Melde- und Veröffentlichungsplattform“ (MVP), für das die BaFin im Herbst 2024 den Prozess der Melderfreischaltung durchgeführt hat. Die Geschäftsstelle der aba hat dazu folgende ergänzende Informationen von der BaFin erhalten: 

"Bei dem Informationsregister wird von den ESAs ein Data Point Model vorgegeben. Das ist in der finalen Version für Frühjahr 2025 angekündigt. Aktuell ist geplant, dass hierfür BaFin-seitig eine Excel-Datei zur Verfügung gestellt wird, die von den Unternehmen genutzt werden kann, um das Register zu pflegen. Wegen der wahrscheinlich engen Zeitfenster wird empfohlen, die zu übermittelten Informationen (siehe ITS zum Informationsregister) jetzt schon vorzubereiten.“

Ausfüllbare (und europaweit einheitlich einsetzbare) Templates, die von den ESA bereitgestellt werden, wird es demnach, anders als im Rahmen der „Trockenübung“, nicht geben.