DORA Content Hub
Das DORA Informationsregister
Was muss im DORA-Informationsregister erfasst werden? Meldung an die Aufsichtsbehörde und praktische Umsetzung.
Das DORA-Informationsregister: Transparenz uber alle IKT-Drittanbieter
Das Informationsregister gemas Artikel 28 Absatz 3 der DORA-Verordnung ist eine der operativ anspruchsvollsten Pflichten fur Finanzunternehmen. Es verlangt eine vollstandige, stets aktuelle Dokumentation aller Vereinbarungen mit IKT-Drittdienstleistern — einschliesslich aller Unterauftragnehmer in der gesamten Lieferkette.
Das Register dient nicht nur der internen Steuerung, sondern muss jahrlich an die zustandige Aufsichtsbehorde ubermittelt werden. Es bildet die Datenbasis, auf der die Aufsichtsbehorden Konzentrationsrisiken im Finanzsektor analysieren und kritische IKT-Drittdienstleister (CTPPs) identifizieren. Das Informationsregister ist damit ein zentrales Element des IKT-Drittparteienrisikomanagements.
Was ist das Informationsregister?
Das Informationsregister ist ein strukturiertes Verzeichnis aller vertraglichen Vereinbarungen uber die Nutzung von IKT-Dienstleistungen, die von Drittanbietern erbracht werden. Anders als ein einfaches Vertragsregister verlangt DORA eine tiefgreifende Dokumentation, die uber reine Vertragsdaten hinausgeht und auch die Kritikalitatesbewertung, Standortinformationen und Unterauftragsketten umfasst.
Die Rechtsgrundlage findet sich in Artikel 28 Absatz 3 der DORA-Verordnung (EU 2022/2554). Die konkreten Datenfelder und Formate werden durch Implementing Technical Standards (ITS) der Europaischen Aufsichtsbehorden (ESAs) spezifiziert.
Was muss im Register erfasst werden?
Das Informationsregister muss fur jeden IKT-Drittanbieter und jeden Vertrag umfassende Informationen enthalten. Die folgende Tabelle zeigt die wesentlichen Datenkategorien:
| Datenkategorie | Erforderliche Informationen | Zweck |
|---|---|---|
| Anbieteridentifikation | Name, LEI (Legal Entity Identifier), Registernummer, Rechtsform, Sitz | Eindeutige Identifikation des Dienstleisters |
| Art der Dienstleistungen | Beschreibung der IKT-Dienste, betroffene Geschaftsfunktionen, Cloud-/On-Premise-Modell | Verstandnis des Leistungsumfangs |
| Vertragsinformationen | Vertragslaufzeit, Beginn, Ende, Kundigungsfristen, Verlängerungsoptionen | Vertragssteuerung und Exit-Planung |
| Kritikalitatsbewertung | Einstufung als kritische/wichtige Funktion, Begrundung der Bewertung | Risikopriorisierung und Aufsichtsmeldung |
| Standortinformationen | Standort der Datenverarbeitung, Datenspeicherung, des Dienstleistungsmanagements | Jurisdiktionsanalyse, Datenschutz-Compliance |
| Unterauftragnehmer | Name, Art der weitervergebenen Leistung, Standort, eigene Unterauftragnehmer | Transparenz uber die gesamte Lieferkette |
| Letzte Prufung/Audit | Datum der letzten Uberprufung, Art der Prufung, wesentliche Ergebnisse | Nachweis der laufenden Uberwachung |
Jahrliche Meldung an die Aufsichtsbehorde
Finanzunternehmen sind verpflichtet, das Informationsregister mindestens einmal jahrlich an ihre zustandige nationale Aufsichtsbehorde (in Deutschland: BaFin) zu ubermitteln. Die Aufsichtsbehorde leitet die Daten an die zustandige ESA (EBA, EIOPA oder ESMA) weiter.
Die ESAs verwenden die aggregierten Daten aller Finanzunternehmen, um:
- Konzentrationsrisiken im Finanzsektor zu identifizieren (z. B. wenn ein Cloud-Anbieter von Hunderten von Finanzunternehmen genutzt wird)
- Kritische IKT-Drittdienstleister (CTPPs) zu bestimmen, die der direkten EU-Aufsicht unterliegen
- Systemische Risiken durch IKT-Abhangigkeiten im Finanzsystem zu bewerten
EBA/EIOPA/ESMA Implementing Technical Standards (ITS)
Die konkreten Datenformate und Meldevorlagen werden durch Implementing Technical Standards (ITS) der ESAs spezifiziert. Diese ITS definieren:
- Das genaue Datenformat (Felder, Datentypen, Pflicht- und Optionalfelder)
- Die Meldefrequenz und den Meldezeitpunkt
- Klassifikationsschemata fur Dienstleistungstypen und Kritikalitatsstufen
- Validierungsregeln fur die eingereichten Daten
Die ITS orientieren sich an bestehenden Meldestandards und zielen darauf ab, den Verwaltungsaufwand fur Finanzunternehmen zu begrenzen, gleichzeitig aber eine ausreichende Datenqualitat fur die Aufsichtsanalyse sicherzustellen.
Praktische Umsetzung: Excel vs. GRC-Tool
Viele Finanzunternehmen stehen vor der Frage, wie sie das Informationsregister praktisch umsetzen. Die beiden gangigsten Ansatze haben deutlich unterschiedliche Vor- und Nachteile:
Manuelle Excel-Listen
Vorteile: Geringe Anfangsinvestition, schneller Start, flexibel anpassbar. Nachteile: Fehleranfallig bei der Datenpflege, keine automatische Validierung, keine Versionierung, schwierige Zusammenarbeit bei mehreren Verantwortlichen, kein automatischer Export im ITS-Format, manuelle Konzentrationsrisiko-Analyse. Bei wachsender Anzahl von Drittanbietern (mehr als 20) wird die manuelle Pflege zunehmend riskant und zeitaufwändig.
GRC-Tool mit integriertem Register
Vorteile: Strukturierte Dateneingabe mit Validierung, automatischer Export im aufsichtskonformen Format, integrierte Konzentrationsrisiko-Analyse, Versionierung und Audit Trail, Verknupfung mit Risikobewertungen und Vertragen, Benachrichtigungen bei Vertragslaufzeiten. Nachteile: Hohere Anfangsinvestition, Implementierungsaufwand.
Fur Unternehmen mit mehr als einer Handvoll IKT-Drittanbieter ist ein GRC-Tool langfristig die effizientere und sicherere Losung. Die initiale Investition wird durch reduzierte Fehlerquoten, Zeitersparnis und Auditbereitschaft schnell amortisiert.
Konzentrationsrisiko-Analyse aus dem Register
Das Informationsregister ist nicht nur eine Meldepflicht, sondern ein strategisches Steuerungsinstrument. Durch die systematische Auswertung des Registers konnen Finanzunternehmen:
- Cluster-Abhangigkeiten erkennen: Welcher Anbieter unterstutzt mehrere kritische Funktionen?
- Geographische Risiken bewerten: Sind kritische Daten in Jurisdiktionen gespeichert, die regulatorische Risiken bergen?
- Substitutionsfahigkeit prufen: Fur welche Anbieter gibt es realistische Alternativen?
- Vertragslaufzeiten uberwachen: Wann laufen kritische Vertrage aus? Ist die Exit-Strategie vorbereitet?
- Unterauftragsketten visualisieren: Wie tief reicht die Lieferkette? Gibt es versteckte Abhangigkeiten?
Die Konzentrationsrisiko-Analyse ist eng verknupft mit den Anforderungen an das IKT-Drittparteienrisikomanagement (Art. 29). Eine vollstandige Ubersicht aller Pflichten findest du in unserer DORA-Anforderungsübersicht. Fur eine operative Checkliste empfehlen wir unsere DORA-Checkliste.
Informationsregister automatisiert fuhren
Kopexa bietet ein integriertes IKT-Drittanbieter-Register mit automatischer Validierung, Konzentrationsrisiko-Analyse und aufsichtskonformem Export. Erfasse alle Anbieter, Vertrage und Unterauftragnehmer an einem Ort — jederzeit auditbereit.
Jetzt Informationsregister aufbauenWeitere DORA-Themen
DORA-Übersicht
Pillar Page und Gesamtüberblick
Anforderungen
Alle DORA-Anforderungen im Überblick
IKT-Risikomanagement
Risikorahmen, Governance und Strategie (Art. 5–16)
Meldepflicht
IKT-Vorfälle melden: Fristen und Prozess (Art. 17–23)
Resilienztests
Basis-Tests und TLPT (Art. 24–27)
Drittparteienrisiko
IKT-Dienstleister managen (Art. 28–44)
Checkliste
10 Schritte zur DORA-Compliance
Kosten & Ablauf
Timeline, Budget und Ressourcen
BAIT/VAIT-Migration
Von BAIT/VAIT/KAIT/ZAIT zu DORA
Proportionalität
Vereinfachter Rahmen für Kleinstunternehmen (Art. 16)
ISO 27001 Mapping
Cross-Mapping und Dual-Compliance
Strafen
Sanktionen und Enforcement
Lass uns gemeinsam prüfen, wo du stehst
Kostenlos & unverbindlich