Unternehmen aus der europäischen Finanzbranche sind verpflichtet, die Vorgaben der EU-Verordnung 22/2554, dem Digital Operational Resiliance Act (kurz DORA genannt), umzusetzen.
Ein wesentlicher Bestandteil von DORA ist die Vorgabe, dass Finanzunternehmen ein Informationsregister mit Angaben zu beanspruchten IKT-Dienstleistungen und deren Anbietern führen müssen.
Hieraus ergeben sich Anforderungen, die von IKT-Dienstleistungsunternehmen für Finanzunternehmen als Kunden erfüllt werden müssen. Nachfolgend möchten wir Ihnen eine Übersicht über diese Anforderungen geben, damit Sie Ihre Abläufe auf die Anforderungen aus DORA abstimmen können.
Ab wann ist ein Unternehmen ein IKT-Dienstleistungsunternehmen?
In DORA wird ein IKT-Drittdienstleister als ein Unternehmen definiert, das IKT-Dienstleistungen bereitstellt definiert. „IKT-Dienstleistungen“ sind wiederum als digitale Dienste und Datendienste definiert, die über IKT-Systeme dauerhaft bereitgestellt werden. Diese Definition umfasst auch Hardware als Dienstleistung und Hardwaredienstleistungen, zu denen auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.
Somit gilt im Regelfall, dass jeder „IT-Anbieter“ mit vertraglichen Vereinbarungen mit Unternehmen aus der EU-Finanzbranche als IKT-Dienstleistungsunternehmen einzustufen ist. IKT-Dienstleistungen sind hierbei in 19 verschiedene Arten unterteilt. Wenn Sie Dienstleistungen anbieten, welche eine entsprechende IKT-Dienstleistung darstellen oder beinhalten, sollten Sie seit 2024 auf das Informationsregister und weitere DORA-Anforderungen angesprochen worden sein.
Welche Anforderungen gelten für IKT-Drittdienstleister?
Die Anforderungen an IKT-Dienstleistungsunternehmen sind umfangreich. Für vertragliche Vereinbarungen bestehen sogenannte Mindestanforderungen, welche um zusätzliche Mindestanforderungen ergänzt werden, sollte es sich bei der bezogenen IKT-Dienstleistung, aus Sicht des Finanzunternehmens, um eine kritisch / wichtige IKT-Dienstleistung handeln.
Eine kritisch / wichtige IKT-Dienstleistung liegt vor, wenn die Leistung eine kritische oder wichtige Funktion des Finanzunternehmens unterstützt. Vereinfacht formuliert gilt: Kann der Ausfall der IKT-Dienstleistung den Regelbetrieb oder die finanzielle Leistungsfähigkeit eines Finanzunternehmens wesentlich beeinträchtigen oder die Einhaltung regulatorischer Vorgaben durch das Finanzunternehmen erheblich beeinträchtigen, handelt es sich um eine kritisch/wichtige IKT-Dienstleistung.
Für kritisch / wichtige Leistungen ist eine gute Abstimmung mit den Finanzunternehmen erforderlich. Vom Regelbetrieb, über abgestimmte Notfallkonzepte bis hin zu gemeinsamen, Notfalltests bestehen unterschiedliche Anforderungen aus der DORA-Verordnung, welche im Vertrag geregelt werden müssen.
Unabhängig von der Kritikalität / Wichtigkeit der IKT-Dienstleistung besteht die Verpflichtung für Finanzunternehmen Informationen über die vertragliche Vereinbarung an die zuständige Bankenaufsicht weiterzuleiten.
Welche Unternehmensdaten müssen Sie nun Ihren Kunden aus der Finanzbranche bereitstellen?
In allen Fällen besteht eine Verpflichtung des Finanzunternehmens folgende Angaben zu Ihrem Unternehmen und zu weiteren Vertragsparteien zu melden:
- Offizielle Unternehmensbezeichnung gemäß Unternehmensregister
- Unternehmenskennungen
- Die Information, in welchem Land Ihr Unternehmen seinen Sitz hat (in der Regel das Land der steuerlichen Ansässigkeit)
Im Fall, dass Ihr Unternehmen ein Mutterunternehmen hat, muss das Finanzunternehmen die aufgeführten Informationen auch für die oberste Muttergesellschaft erhalten.
Unsere Empfehlung: Stellen Sie sicher, dass in BRIS und GLEIF eine Abfrage Ihrer Unternehmensdaten möglich ist. Aktualisieren Sie bei Bedarf die Informationen, die Ihrem Legal Entity Identifier (LEI) zugeordnet sind. Insbesondere optionale Angaben, wie Angaben zu Mutter- oder Tochtergesellschaften, ermöglichen Finanzunternehmen und der Bankenaufsicht eine einfache Prüfung der Daten und reduziert Nachfragen zu Unternehmenssitz und Unternehmenskennungen.
Zusätzliche Anforderungen für kritisch/wichtige IKT-Dienstleistungen
Sofern es sich bei Ihrer IKT-Dienstleistung um eine kritisch/wichtige Leistung handelt, werden zusätzliche Angaben benötigt. Insbesondere werden die genannten Unternehmensdaten nun ebenfalls für alle Unterauftragnehmer, die die vertraglich vereinbarte IKT-Dienstleistung wesentlich unterstützen ebenfalls benötigt. Diese Anforderung gilt hierbei auch für Unterauftragnehmer Ihrer Unterauftragnehmer, wenn diese Dritte mit der Erbringung von (Teil-)Leistungen beauftragen. Der Fokus liegt hierbei ausschließlich auf Unternehmen, die die zwischen Ihnen und dem Finanzunternehmen vereinbarte Leistung maßgeblich unterstützen und deren Ausfall somit Auswirkungen auf die IKT-Dienstleistung beim Finanzunternehmen hat.
Welche Informationen zur IKT-Dienstleistung müssen Sie Finanzunternehmen bereitstellen?
Finanzunternehmen ordnen eine IKT-Dienstleistung mindestens einer der 19 definierten Arten zu. Handelt es hierbei um eine Dienstleistung mit Datenübertragung oder Datenverarbeitung, werden Angaben zu den Ländern benötigt, in denen eine Speicherung oder Verarbeitung der Daten erfolgt. Auch innerhalb der EU besteht die Verpflichtung zur Nennung der konkreten Länder, in denen die Leistung erbracht wird und Daten gespeichert oder verarbeitet werden. Stellen Sie daher sicher, dass Finanzunternehmen diese Informationen im Vertrag oder über begleitende Unterlagen erhalten.
Zusätzliche Anforderungen an Unternehmensgruppen
Für IKT-Dienstleistungsanbieter innerhalb von Unternehmensgruppen, denen Finanzunternehmen angehören, sowie für Unternehmen, die ausschließlich oder vorwiegend IKT-Dienstleistungen für eine Gruppe von Finanzunternehmen anbieten, gelten zusätzliche Anforderungen. Sie müssen die erste Ebene von Unterauftragnehmern, die nicht Teil der Unternehmensgruppe sind, auch bei nicht als kritisch/wichtig eingestuften IKT-Dienstleistungen offenlegen. Zudem müssen Sie Finanzunternehmen ermöglichen eine Ausstiegsstrategie für diese Unterauftragnehmer zu erstellen, da diese ebenfalls der Bankenaufsicht mitgeteilt werden muss.
IKT-Dienstleistungsunternehmen und NIS-2
Die Anforderungen von NIS-2 sind derzeit noch nicht so weitreichend, wie die Anforderungen aus DORA. Unternehmen aus dem KRITIS-Sektor, die nicht der Finanz- oder Versicherungsbranche angehören, müssen beispielweise kein Informationsregister melden. Für jedes Unternehmen gilt jedoch: Eine Übersicht der Abhängigkeiten in der Lieferkette, insbesondere auch bei IKT-Dienstleistungen ist essentiel für die Absicherung von Schwachstellen. Eine Dienstleistersteuerung gemäß DORA, erfolgt daher teilweise auch außerhalb des Geltungsbereichs im Sinne der operativen Resilienz. Die Bereitstellung von Informationen stellt sicher, dass Kunden und IKT-Dienstleister wissen, welche Abhängigkeiten bestehen und wo Ausstiegsstrategien, Wiedereingliederungspläne und Notfallpläne den Betrieb absichern können.
Benötigte Informationen bereitstellen – einfach für alle Beteiligten
Ergänzend zu einer Aktualisierung von Angaben zu Ihrem Unternehmen in GLEIF, empfehlen wir auch Ihre Unterauftragnehmer zu einer entsprechenden Aktualität zu verpflichten. Als Anbieter kritisch/wichtiger IKT-Dienstleistungen stellen Sie sicher, dass Sie über ein funktionierendes Drittparteienmanagement verfügen und Ihre Kunden aus der Finanzbranche jederzeit über Veränderungen an den zuvor genannten Daten informieren. Bewerten Sie ihre internen Abläufe, um zu identifizieren, welche Abhängigkeiten zu Dritten bestehen und erstellen Sie erforderliche Notfallkonzepte. Eine proaktive Absicherung der Abläufe beim IKT-Dienstleister schützt nicht nur die abhängigen Abläufe im Finanzunternehmen, sondern reduziert den Aufwand aller Beteiligten im Ernstfall und bei der Zusammenstellung von Informationen für die Bankenaufsicht.
Noch in 2026 werden wir unseren Kunden anbieten, Informationen zu IKT-Dienstleistern direkt aus einem zentralen Musterinstitut abzufragen. Sie erstellen bereits Berichte, informieren über Zertifizierungen oder möchten lediglich sicherstellen, dass ihre Unternehmensdaten einfach bei unseren gemeinsamen Kunden ankommen? Dann melden Sie sich bei uns und gemeinsam nehmen wir Ihre Daten in das bit-Compliance Musterinstitut auf und verteilen diese auf Knopfdruck. Ergänzungen und Aktualisierungen können Sie auf diese Weise zentral vornehmen und innerhalb kürzester Zeit an alle angebundenen Finanzunternehmen verteilen.
Derzeit stehen wir zusätzlich mit Unternehmen und IKT-Dienstleistern mehrerer Finanzgruppen im Austausch, um ein einheitliches Format für die Bereitstellung von Daten zum Informationsregister zu ermöglichen. Zum zweiten Halbjahr 2026 wird dieses Format veröffentlicht und ermöglicht so eine gruppenübergreifenden Bereitstellung und Verarbeitung der Daten in wenigen Schritten. Gleichzeitig stellt die Verwendung dieses Formats sicher, dass Ihre Daten schnell und einfach in bit-Compliance eingelesen werden können – unabhängig davon, ob es sich um die Umgebung des Finanzunternehmens oder um das zentrale Musterinstitut handelt.
Sie wünschen weitere Informationen zu DORA und Anforderungen an IKT-Drittdienstleister?
Wir stehen für individuelle Schulungsangebote, Beratungsgespräche oder die Einführung unseres Moduls Drittparteienmanagement als Ansprechpartner zur Verfügung.
Sie sind ein Finanzunternehmen und möchten mehr über die zusätzlichen Anforderungen an Sie und die einfache Umsetzung mit bit-Compliance erfahren?
Wir bieten unverbindliche Präsentationen und individuelle Einführungsprojekte inklusive der Aufbereitung und Übernahme von Bestandsdaten an.