Im Kontext von DORA steigt der Druck mit Blick auf das Informationsregister auf die betroffenen Institute.
Daher haben wir die wichtigsten Erkenntnisse der bit Informatik GmbH als Ergänzung zu den offiziellen Info-Seiten der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der europäischen Bankenaufsichtsbehörde (EBA) nachfolgend zusammengestellt.
Die Fragen und Antworten werden regelmäßig auf Basis der Erkenntnisse der bit Informatik GmbH und aus Abstimmungen mit externen Partnern und zuständigen Stellen aktualisiert.
Zeitpunkt der letzten Aktualisierung: 10.03.2025
Was ist das DORA Informationsregister?
Die Anforderung des Informationsregisters erfolgt im Kontext des Digital Operational Resilience Acts (DORA, EU-Verordnung 2022/2554) und der Durchführungsverordnung 2024/2956.
Das Informationsregister ist eine Sammlung von Daten rund um IKT-Verträge, d.h. Verträge mit Bezug zu Informations- und Kommunikationstechnologie.
Es dient auf nationaler Ebene und auf EU-Ebene der Sammlung von Daten zu IKT-Dienstleistungsverträgen und wird als Grundlage für die Bestimmung von kritischen IKT-Dienstleistern durch die EU-Behörden verwendet.
Durch die Identifikation und Überwachung kritischer IKT-Dienstleister soll die operative Resilienz des europäischen Finanzmarkts gestärkt werden.
Wann muss das Informationsregister eingereicht werden?
Das Informationsregister muss in Deutschland bis spätestens zum 11. April 2025 mit Daten vom Stichtag 31. März 2025 bei der BaFin eingereicht werden.
Die Meldefristen für andere Länder und von der EZB überwachte Institute können abweichen.
Ab 2026 erfolgt die Meldung des Informationsregisters jeweils jährlich bis zum 31. März mit dem Stichtag 31. Dezember für den Datenbestand.
Welche Version von bit-Compliance wird für die Generierung des Informationsregisters benötigt?
Die Generierung des Informationsregisters ist ab der Version 24.3 möglich.
Für die Ausgabe des Informationsregisters im XBRL-CSV Format und unter Berücksichtigung aller technischen und fachlichen Erkenntnisse sollte das aktuellste Build von bit-Compliance eingesetzt werden.
Bei der Generierung des Registers unter älteren Versionen erfolgen z.T. weniger oder zu weitreichende Validierungen.
Wie kann das Informationsregister mit bit-Compliance erstellt werden?
Das Informationsregister kann mit wenigen Klicks im Modul Vertragsverwaltung und Dienstleistersteuerung generiert werden.
Eine versionsspezifische Anleitung der Vorgehensweise finden Sie in der integrierten Hilfe im Dokument „Generierung des Informationsregisters“.
Welche Datensätze aus bit-Compliance fließen in das Informationsregister ein?
In das Informationsregister fließen Daten aus folgenden Datenquellen ein:
- Vertragspartner (inkl. Weiterverlagerungspartner)
- Verträge (mit IKT-Bezug)
- Weiterverlagerungen / Unterbeauftragungen
- Datenklassen
- Geschäftsprozesse
- Business Impact Analysen
- Konfiguration
Eine versionsspezifische Dokumentation und Zuordnung der einzelnen Datenfelder finden Sie in der integrierten Hilfe im Dokument „DORA Informationsregister“.
Wie kann das Informationsregister überprüft werden?
Bei der Generierung des Informationsregisters werden alle möglichen Validierungen und Plausibilisierungen durchgeführt.
Das Ergebnis wird als Logeintrag im Modul Einstellungen und als Text im Begleitdokument Informationsregister ausgegeben.
Es besteht aus drei Arten von Meldungen:
- Fehlermeldungen: Mängel im Datenbestand, die eine erfolgreiche Einreichung des Informationsregisters mit höchster Wahrscheinlichkeit verhindern. Fehlermeldungen müssen somit immer bereinigt werden.
- Warnmeldungen: Mängel oder Unstimmigkeiten im Datenbestand, die eine erfolgreiche Einreichung des Informationsregisters möglicherweise beeinträchtigen können.
Oder identifizierte Unstimmigkeiten, die automatisiert bereinigt wurden.
Warnmeldungen müssen somit geprüft und nach Bedarf (z.B. bei falscher automatischer Bereinigung) bereinigt werden. - Infomeldungen: Informative Meldungen, welche fachlich zu prüfen sind, i.d.R. aber nicht zur technischen Ablehnung des Informationsregisters führen. Infomeldungen sollten somit geprüft und nach Bedarf bereinigt werden.
Prüfen und Bearbeiten Sie die Meldungen aus der Generierung, um die Qualität des Informationsregisters zu verbessern.
Zusätzlich können Sie die Ausgabe des Informationsregisters als XLSX-Datei aktivieren, um den Datenbestand vor der Meldung zu prüfen.
Beachten Sie jedoch, dass die XLSX-Datei nicht dem Meldeformat entspricht. Für Meldungen muss das XBRL-CSV Format (ZIP-Datei) genutzt werden.
Wie kann ein IKT-Drittdienstleister mit mehreren IKT-Leistungen abgebildet werden?
Die Abbildung von Dienstleistungen in der Vertragsverwaltung ist je nach vertraglicher Ausgangslage unterschiedlich.
In der Praxis kommen am häufigsten folgende Konstellationen bei mehreren Leistungen vor:
Ein Rahmenvertrag mit Unterverträgen. Über den Rahmenvertrag erfolgt die Dienstleistersteuerung, Risikoanalyse nach MaRisk und die leistungsübergreifende Regelung von Rahmenbedingungen.
In den Unterverträgen erfolgt die Regelung von Einzelleistungen oder die Bündelung von vergleichbaren Leistungen (z.B. nach Art des IKT-Bezugs und Kritikalität/Wichtigkeit).
Die Beurteilung von (IKT-)Risiken erfolgt auf Ebene der Einzelleistungen bzw. Leistungsbündel.
Welche Datenklassen fließen in das Informationsregister ein?
In das Informationsregister fließt die technische Sensitivität der Datenklassen ein, die im vertraglichen Verhältnis und gleichzeitig in mindestens einem vom Vertrag abhängigen Geschäftsprozess vorkommen.
Welche Rolle spielt die Branche des IKT-Drittdienstleisters im Informationsregister?
Die Branche von Vertrags- und Weiterverlagerungspartnern fließt nicht in das Informationsregister ein.
Unternehmen der S-Finanzgruppe können die Branchenangabe von Dienstleistungsunternehmen im Rahmen des Auskunftsbogens jedoch anfordern und importieren.
Bitte beachten Sie, dass die Vorgabewerte von bit-Compliance den Wirtschaftszweigen 2025 vom Statistischen Bundesamt entsprechen und somit von den Hilfestellungen aus den Versionen 1.0 bis 1.2 des Auskunftsbogens abweichen.
Wie kann ein konsolidiertes Informationsregister mit bit-Compliance erstellt werden?
Derzeit unterstützt bit-Compliance die Ausgabe von individuellen (nicht (teil-)konsolidierten) Informationsregistern im XBRL-CSV Format.
Eine Erweiterung von bit-Compliance um Funktionen zur Konsolidierung befindet sich in der Prüfung, wird jedoch nicht vor dem 11. April 2025 bereitgestellt.
Welches Format des Informationsregisters unterstützt bit-Compliance?
bit-Compliance ermöglicht die Ausgabe des Informationsregisters im EBA konformen XBRL-CSV Format als ZIP-Datei. Dieses Format kann für Meldungen genutzt werden.
Eine Ausgabe in andere länderspezifische Formate (z.B. XLSM-Format der BaFin, XLSX-Format der FMA) wird nicht unterstützt. Bei den nationalen Formaten handelt es sich teilweise um Vorabversionen, welche von den EBA-Vorgaben abweichen. Zudem wird für die Nutzung des XLSM-Formats der BaFin die Freigabe von Makros benötigt, welche in den meisten Instituten aus Sicherheitsgründen nicht möglich ist.
Ergänzend besteht die Möglichkeit zur Ausgabe im nicht für Meldungen vorgesehenen XLSX-Format, damit das Ergebnis einfach geprüft werden kann.
Sind der bit Informatik GmbH die Inhalte der Info-Veranstaltung der BaFin vom 06.03.2025 bekannt?
Ja. Mitarbeiter der bit Informatik GmbH haben an der Veranstaltung teilgenommen. Die vorgestellten fachlichen und technischen Aspekte waren der bit Informatik GmbH bereits über andere Kanäle (EBA, andere Meldebehörden, Info-Veranstaltung vom 26.09.2024) bekannt und sind in der Version 24.3 Build 2 berücksichtigt. Auch die große Sorge über teilweise fehlende Eingabefelder und Ausgabemöglichkeiten in Tools anderer Anbieter wurde zur Kenntnis genommen. Wir können Ihnen jedoch zusichern, dass bit-Compliance eine fristgerechte Einreichung des Informationsregisters unter Berücksichtigung der Taxonomie unterstützt, solange die notwendigen Daten in der Anwendung erfasst sind. Seit Dezember 2024 kann die Ausgabe des Informationsregisters über bit-Compliance erfolgen, um zu validieren, ob in Bezug auf die Datenqualität Handlungsbedarf besteht. Weitergehende Informationen zur Ausgabe des Informationsregisters finden Sie in der integrierten Hilfe im Dokument „Generierung des Informationsregisters“.
Handelt es sich bei der S-Finanzgruppe bzw. der Genossenschaftlichen Finanzgruppe um eine „Gruppe“ gemäß DORA?
Die Begriffsdefinition von „Gruppe“ in DORA verweist auf die Richtlinie 2013/34/EU Artikel 2 Absatz 11. Diese gibt „ein Mutterunternehmen und alle Tochterunternehmen“ als Bedeutung von Gruppe vor. Somit sind die Genossenschaftliche Finanzgruppe und die S-Finanzgruppe jeweils keine Gruppe im Sinne von DORA. Innerhalb der genannten Finanzgruppen können jedoch Gruppen vorkommen.
Welche Auswirkungen hat eine unvollständige, fehlende oder verspätete Einreichung des Informationsregisters?
Die Abgabe des Informationsregisters muss in Deutschland spätestens zum 11. April 2025 erfolgen. Derzeit liegen keine weitergehenden Informationen zu den Auswirkungen und Möglichkeiten einer verspäteten oder unvollständigen Datenlieferung vor. Zum 30. April 2025 muss das Informationsregister von den nationalen Aufsichtsbehörden (inkl. BaFin) an die europäischen Behörden weitergeleitet werden, sodass kaum Spielraum für Terminverschiebungen besteht. Im Mai 2025 erfolgt eine Prüfung der Informationsregister auf EU-Ebene, sodass es hier zu Rückmeldungen und Rückfragen an die Institute kommen kann.
Weitere Fragen
Sollten Sie weitere Fragen haben, stehen wir über die gewohnten Support-Kanäle zur Verfügung. Zusätzlich bieten wir diverse Veranstaltungen rund um DORA und das Informationsregister an. In der integrierten Hilfe finden Sie außerdem viele Detailinformationen zur Umsetzung des Informationsregisters.