Im Kontext von DORA steigt der Druck mit Blick auf das Informationsregister auf die betroffenen Institute.
Daher haben wir die wichtigsten Erkenntnisse der bit Informatik GmbH als Ergänzung zu den offiziellen Info-Seiten der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der europäischen Bankenaufsichtsbehörde (EBA) nachfolgend zusammengestellt.
Die Fragen und Antworten werden regelmäßig auf Basis der Erkenntnisse der bit Informatik GmbH und aus Abstimmungen mit externen Partnern und zuständigen Stellen aktualisiert.
Zeitpunkt der letzten Aktualisierung: 24.04.2025
Was ist das DORA Informationsregister?
Die Anforderung des Informationsregisters erfolgt im Kontext des Digital Operational Resilience Acts (DORA, EU-Verordnung 2022/2554) und der Durchführungsverordnung 2024/2956.
Das Informationsregister ist eine Sammlung von Daten rund um IKT-Verträge, d.h. Verträge mit Bezug zu Informations- und Kommunikationstechnologie.
Es dient auf nationaler Ebene und auf EU-Ebene der Sammlung von Daten zu IKT-Dienstleistungsverträgen und wird als Grundlage für die Bestimmung von kritischen IKT-Dienstleistern durch die EU-Behörden verwendet.
Durch die Identifikation und Überwachung kritischer IKT-Dienstleister soll die operative Resilienz des europäischen Finanzmarkts gestärkt werden.
Wann muss das Informationsregister eingereicht werden?
Das Informationsregister muss in Deutschland bis spätestens zum 28. April 2025 mit Daten vom Stichtag 31. März 2025 bei der BaFin eingereicht werden.
Die Meldefristen für andere Länder und von der EZB überwachte Institute können abweichen.
Ab 2026 erfolgt die Meldung des Informationsregisters jeweils jährlich bis zum 31. März mit dem Stichtag 31. Dezember für den Datenbestand.
Welche Version von bit-Compliance wird für die Generierung des Informationsregisters benötigt?
Die Generierung des Informationsregisters ist ab der Version 24.3 möglich.
Für die Ausgabe des Informationsregisters im XBRL-CSV Format und unter Berücksichtigung aller technischen und fachlichen Erkenntnisse sollte das aktuellste Build (24.3.5 oder höher) von bit-Compliance eingesetzt werden.
Bei der Generierung des Registers unter älteren Versionen erfolgen z.T. weniger oder zu weitreichende Validierungen.
Wie ist erkennbar, ob die Einreichung des Informationsregisters erfolgreich war?
Die Verarbeitung der eingereichten Register erfolgt in mehreren Stufen. Nach Abschluss der letzten Verarbeitungsstufe durch die EBA wird im MVP Portal ein entsprechendes Protokoll bereitgestellt. Dieses Protokoll wird in Form einer ZIP-Datei bereitgestellt, aus dessen Name der Status der Einreichung hervorgeht.
- bei fehlgeschlagener Einreichung:
Bezeichnung-des-eingereichten-Informationsregisters_NOK_JJJJMMTThhmmssfff - bei erfolgreicher Einreichung (ggf. mit Warnmeldungen):
Bezeichnung-des-eingereichten-Informationsregisters_RES_JJJJMMTThhmmssfff
Innerhalb der ZIP-Datei mit dem Feedback finden Sie zwei Dateien. In der „instance-status.csv“ wird der Status der Verarbeitung und Meldung zusammengefasst.
Die Zeile „feedbackMain“ enthält den Status der Verarbeitung. Bei Ablehnung des Register lautet dieser „REJECTED“.
Aus der Zeile „feedbackText“ geht hevor, welche Validierungsregeln zur Ablehnung oder zur Annahme mit Warnungen geführt haben.
Wie ist das Validierungsergebnis zur Einreichung des Informationsregisters zu lesen?
Kommt es bei der Validierung zu Warnungen oder schlägt die Validierung fehl finden Sie in der Feedback-ZIP-Datei eine Datei „detailed-feedback.csv“. Diese enthält detaillierte Meldungen zur Validierung des Informationsregisters. Im Regelfall finden Sie hier in der ersten Spalte den Code des betroffenen Datenblatts (z.B. b0201 für die Datei b_02.01.csv). In der nächsten Spalte wird die Zeile angegeben, die für die Meldung ursächlich war. Dahinter folgt die Angabe der Spalte, in der ein ursächlicher Wert zu finden ist (z.B. c0030, Die Kombination der ersten und dritten Spalte ergibt somit die vollständige Felderkennung, z.B. B_02.01.0030). Nach der Spalte wird der Code der nicht eingehaltenen Validierungsregel (z.B. 807) angezeigt. Abschließend wird eine Beschreibung des Regelverstoßes, gefolgt vom auslösenden Wert ausgegeben.
Bei Verstoßen gegen die Taxonomie können die Meldungen jedoch auch kryptischer ausfallen. Dies tritt bei bit-Compliance nicht auf. Für weitergehende Informationen zur Interpretation komplexerer Validierungsmeldungen können Sie die Hinweise der BaFin, die Hinweise der EBA und die Präsentationsunterlagen der EBA zu häufigen Fehlern im Informationsregister konsultieren.
Wie kann mit der Validierungsmeldung VR_72 bei erfolgreicher Einreichung umgegangen werden?
Die Validierungsmeldung VR_72 wird ausgelöst, wenn im Informationsregister EUIDs (B.05.01.0010) angegeben sind, die nicht im BRIS des europäischen Justizportals gefunden werden können.
Die Ursache kann hierbei eine fehlerhafte EUID sein (z.B. Tippfehler, Zahlendreher, unvollständige ID). In diesem Fall sollte die EUID korrigiert werden oder, wenn möglich, auf eine LEI zurückgegriffen werden.
Ist jedoch keine LEI verfügbar und die EUID nach Ihrer Einschätzung gültig, kann die Angabe unverändert bleiben. Die VR_72 führt bei der Meldung des Informationsregisters in 2025 nur zu Warnungen und stellt somit kein Hindernis für eine erfolgreiche Meldung des Informationsregisters dar.
Wie kann mit der Validierungsmeldung VR_78 bei erfolgreicher Einreichung umgegangen werden?
Die Validierungsmeldung VR_78 entspricht der Meldung VR_72, bezieht sich jedoch auf die alternative Kennung des IKT-Drittdienstleisters (B.05.01.0030). Wenn in diesen Fällen eine gültige LEI als primäre Kennung (B.05.01.0010) gemeldet wurde, kann die optionale Angabe der EUID als alternative Kennung wegfallen.
Was ist im Falle einer fehlgeschlagenen Validierung zu tun?
Bis zum 28.04.2025 muss ein inhaltlich vollständiges Informationsregister über das MVP Portal einreicht werden. Hierbei kann es weiterhin zu Fehler- und Warnmeldungen kommen. Für die Bereinigung der Ursachen für diese Meldungen haben Institute bis zum 23. Mai 2025 Zeit. Die Einreichung einer Korrektur erfolgt hierbei durch erneuten Upload des Informationsregisters.
Wie kann das Informationsregister mit bit-Compliance erstellt werden?
Das Informationsregister kann mit wenigen Klicks im Modul Vertragsverwaltung und Dienstleistersteuerung generiert werden.
Eine versionsspezifische Anleitung der Vorgehensweise finden Sie in der integrierten Hilfe im Dokument „Generierung des Informationsregisters“.
Welche Datensätze aus bit-Compliance fließen in das Informationsregister ein?
In das Informationsregister fließen Daten aus folgenden Datenquellen ein:
- Vertragspartner (inkl. Weiterverlagerungspartner)
- Verträge (mit IKT-Bezug)
- Weiterverlagerungen / Unterbeauftragungen
- Datenklassen
- Geschäftsprozesse
- Business Impact Analysen
- Konfiguration
Eine versionsspezifische Dokumentation und Zuordnung der einzelnen Datenfelder finden Sie in der integrierten Hilfe im Dokument „DORA Informationsregister“.
Wie kann das Informationsregister überprüft werden?
Bei der Generierung des Informationsregisters werden alle möglichen Validierungen und Plausibilisierungen durchgeführt.
Das Ergebnis wird als Logeintrag im Modul Einstellungen und als Text im Begleitdokument Informationsregister ausgegeben.
Es besteht aus drei Arten von Meldungen:
- Fehlermeldungen: Mängel im Datenbestand, die eine erfolgreiche Einreichung des Informationsregisters mit höchster Wahrscheinlichkeit verhindern. Fehlermeldungen müssen somit immer bereinigt werden.
- Warnmeldungen: Mängel oder Unstimmigkeiten im Datenbestand, die eine erfolgreiche Einreichung des Informationsregisters möglicherweise beeinträchtigen können.
Oder identifizierte Unstimmigkeiten, die automatisiert bereinigt wurden.
Warnmeldungen müssen somit geprüft und nach Bedarf (z.B. bei falscher automatischer Bereinigung) bereinigt werden. - Infomeldungen: Informative Meldungen, welche fachlich zu prüfen sind, i.d.R. aber nicht zur technischen Ablehnung des Informationsregisters führen. Infomeldungen sollten somit geprüft und nach Bedarf bereinigt werden.
Prüfen und Bearbeiten Sie die Meldungen aus der Generierung, um die Qualität des Informationsregisters zu verbessern.
Zusätzlich können Sie die Ausgabe des Informationsregisters als XLSX-Datei aktivieren, um den Datenbestand vor der Meldung zu prüfen.
Beachten Sie jedoch, dass die XLSX-Datei nicht dem Meldeformat entspricht. Für Meldungen muss das XBRL-CSV Format (ZIP-Datei) genutzt werden.
Die BaFin stellt zudem eine Übersicht der möglichen Fehlercodes bei der Einreichung des Informationsregisters und Abhilfemöglichkeiten zur Verfügung.
Wie kann ein IKT-Drittdienstleister mit mehreren IKT-Leistungen abgebildet werden?
Die Abbildung von Dienstleistungen in der Vertragsverwaltung ist je nach vertraglicher Ausgangslage unterschiedlich.
In der Praxis kommen am häufigsten folgende Konstellationen bei mehreren Leistungen vor:
Ein Rahmenvertrag mit Unterverträgen. Über den Rahmenvertrag erfolgt die Dienstleistersteuerung, Risikoanalyse nach MaRisk und die leistungsübergreifende Regelung von Rahmenbedingungen.
In den Unterverträgen erfolgt die Regelung von Einzelleistungen oder die Bündelung von vergleichbaren Leistungen (z.B. nach Art des IKT-Bezugs und Kritikalität/Wichtigkeit).
Die Beurteilung von (IKT-)Risiken erfolgt auf Ebene der Einzelleistungen bzw. Leistungsbündel.
Welche Datenklassen fließen in das Informationsregister ein?
In das Informationsregister fließt die technische Sensitivität der Datenklassen ein, die im vertraglichen Verhältnis und gleichzeitig in mindestens einem vom Vertrag abhängigen Geschäftsprozess vorkommen.
Welche Rolle spielt die Branche des IKT-Drittdienstleisters im Informationsregister?
Die Branche von Vertrags- und Weiterverlagerungspartnern fließt nicht in das Informationsregister ein.
Unternehmen der S-Finanzgruppe können die Branchenangabe von Dienstleistungsunternehmen im Rahmen des Auskunftsbogens jedoch anfordern und importieren.
Bitte beachten Sie, dass die Vorgabewerte von bit-Compliance den Wirtschaftszweigen 2025 vom Statistischen Bundesamt entsprechen und somit von den Hilfestellungen aus den Versionen 1.0 bis 1.2 des Auskunftsbogens abweichen.
Wie kann ein konsolidiertes Informationsregister mit bit-Compliance erstellt werden?
Derzeit unterstützt bit-Compliance die Ausgabe von individuellen (nicht (teil-)konsolidierten) Informationsregistern im XBRL-CSV Format.
Eine Erweiterung von bit-Compliance um Funktionen zur Konsolidierung befindet sich in der Prüfung, wird jedoch nicht vor dem 28. April 2025 bereitgestellt.
Welches Format des Informationsregisters unterstützt bit-Compliance?
bit-Compliance ermöglicht die Ausgabe des Informationsregisters im EBA konformen XBRL-CSV Format als ZIP-Datei. Dieses Format kann für Meldungen genutzt werden.
Eine Ausgabe in andere länderspezifische Formate (z.B. XLSM-Format der BaFin, XLSX-Format der FMA) wird nicht unterstützt. Bei den nationalen Formaten handelt es sich teilweise um Vorabversionen, welche von den EBA-Vorgaben abweichen. Zudem wird für die Nutzung des XLSM-Formats der BaFin die Freigabe von Makros benötigt, welche in den meisten Instituten aus Sicherheitsgründen nicht möglich ist.
Ergänzend besteht die Möglichkeit zur Ausgabe im nicht für Meldungen vorgesehenen XLSX-Format, damit das Ergebnis einfach geprüft werden kann.
Sind der bit Informatik GmbH die Inhalte der Info-Veranstaltung der BaFin vom 06.03.2025 bekannt?
Ja. Mitarbeiter der bit Informatik GmbH haben an der Veranstaltung teilgenommen. Die vorgestellten fachlichen und technischen Aspekte waren der bit Informatik GmbH bereits über andere Kanäle (EBA, andere Meldebehörden, Info-Veranstaltung vom 26.09.2024) bekannt und sind in der Version 24.3 Build 2 berücksichtigt. Auch die große Sorge über teilweise fehlende Eingabefelder und Ausgabemöglichkeiten in Tools anderer Anbieter wurde zur Kenntnis genommen. Wir können Ihnen jedoch zusichern, dass bit-Compliance eine fristgerechte Einreichung des Informationsregisters unter Berücksichtigung der Taxonomie unterstützt, solange die notwendigen Daten in der Anwendung erfasst sind. Seit Dezember 2024 kann die Ausgabe des Informationsregisters über bit-Compliance erfolgen, um zu validieren, ob in Bezug auf die Datenqualität Handlungsbedarf besteht. Weitergehende Informationen zur Ausgabe des Informationsregisters finden Sie in der integrierten Hilfe im Dokument „Generierung des Informationsregisters“.
Welche Auswirkungen hat eine unvollständige, fehlende oder verspätete Einreichung des Informationsregisters?
Die Abgabe des Informationsregisters muss in Deutschland spätestens zum 28. April 2025 erfolgen. Derzeit liegen keine weitergehenden Informationen zu den Auswirkungen und Möglichkeiten einer verspäteten oder unvollständigen Datenlieferung vor. Zum 30. April 2025 muss das Informationsregister von den nationalen Aufsichtsbehörden (inkl. BaFin) an die europäischen Behörden weitergeleitet werden, sodass kaum Spielraum für Terminverschiebungen besteht. Im Mai 2025 erfolgt eine Prüfung der Informationsregister auf EU-Ebene, sodass es hier zu Rückmeldungen und Rückfragen an die Institute kommen kann.
Weitere Fragen
Sollten Sie weitere Fragen haben, stehen wir über die gewohnten Support-Kanäle zur Verfügung. Zusätzlich bieten wir diverse Veranstaltungen rund um DORA und das Informationsregister an. In der integrierten Hilfe finden Sie außerdem viele Detailinformationen zur Umsetzung des Informationsregisters.