News Feed

2.12.2024 DORA-Anforderungen zum Informationsregister final

Am 2.12.2024 wurde der technische Durchführungsstandard zur Erstellung und Aktualisierung des Informationsregisters im Amtsblatt der EU-Kommission unter der Kennung 2024/2956 veröffentlicht. Die finale Version stimmt mit dem aus Januar 2024 stammenden Entwurf weitestgehend überein. Eine wesentliche Änderung besteht in Bezug auf die eindeutige Kennzeichnung der IKT-Dienstleister. Diese ist jetzt neben der typischerweise verwendete LEI (Legal European Identifier) auch durch die EUID (European Unique Identifier) möglich.

25.11.2024 Letzte Aktualisierung Informationsregister

Das Informationsregister (kurz: Inforegister) ist eines der „Filetstücke“ von DORA. Das Inforegister liefert eine Übersicht aller Informations- und Kommunikationsdienstleister (IKT-Dienstleister) des reportenden Unternehmens. Es ist in einem von der europäischen Aufsicht festgelegten Excelformat zu berichten. Das aktuelle Informationsregister und weitere zugehörige Ressourcen finden Sie am Ende dieses Artikels. Mit 105 Datenfeldern und 15 separaten Reitern ist es umfangreich. Es deckt die folgenden sechs Themengebiete ab:

Verantwortliche und meldende Einheiten
Vertragsdaten
Auftragnehmer und Auftraggeber inkl. eventueller Konzernverflechtungen
Providerdaten
Funktionen/Prozesse
IKT-Dienste

Die Speicherung aller IKT-Dienstleistungen in einer Excel-Datei ist zulässig. Es ist jedoch auf Ebene des gesamten Konzerns sowie seiner Tochterunternehmen separat bei der Aufsicht einzureichen. Für Tochterunternehmen mit teilweiser Beherrschung ist zusätzlich ein teilkonsolidiertes Register einzureichen. Damit verlangt die Aufsicht für alle meldepflichtigen Unternehmen die Meldung eines separaten Registers, das die jeweils beherrschten Unternehmen berücksichtigt.

Die Verantwortlichkeit zur Anlage und dauerhaften Aktualisierung sowie Meldung resultiert aus DORA Art. 28 (3). Das Informationsregister ist mindestens einmal jährlich der verantwortlichen Aufsicht zu melden. In Deutschland geschieht dies über die Melde- und Veröffentlichungsplattform MVP der BaFin. Auf der entsprechenden Internetseite finden sich auch alle Hinweise für eine Erstregistrierung und die Folgeschritte.

Gemäß DORA Art. 28 (9) wird das Informationsregister durch einen technischen Regulierungsstandard detailliert. Dieser Standard ist 113-seitenlang und enthält unter anderem die genaue Klassifikation der zu berücksichtigenden IKT-Dienstleistungen. Der Standard befindet sich in dem Status „Entwurf“, da die Konsultationsphase gegenwärtig noch läuft und dementsprechend die offizielle Freigabe durch die Europäische Kommission noch nicht erteilt wurde. Das Ende der Konsultationsphase wurde auf September 2024 verschoben.

Aktuell findet ein Testlauf zum Informationsregister statt, der am 31.5.2024 gestartet wurde. Der Testlauf wird von der Europäischen Bankenaufsicht durchgeführt. Der Testlauf endete offiziell am 31.10.2024 mit Feedback an die teilnehmenden Institute. Am 18. Dezember 2024 findet ein Bericht zur Datenqualität der im Rahmen des Testlaufs eingereichten Informationsregister statt. Die Anmeldung zum Workshop ist bis zum 16.12.2024 über die Website der EBA möglich.

Meldepflicht für Institute zum 31.3.2025 – Stellungnahme der EBA vom 15.11.2024

Die europäische Aufsicht teilte am 15.11.2024 in einer Stellungnahme auf ihrer Website mit, dass sie die vollständige Einreichung der Informationsregister durch die verantwortlichen Behörden spätestens bis zum 30.4.2025 erwartet. Es ist die Pflicht der jeweiligen nationalen Behörden, die Informationsregister von den meldepflichtigen Finanzinstituten im Vorfeld einzufordern. Für die Meldung sind die im Januar 2024 von der europäischen Bankenaufsicht veröffentlichten Vorgaben maßgeblich. Damit erwarten Experten den Endtermin 31.3.2025 für die vollständige Meldung ihrer Informationsregister durch die Finanzinstitute.

Stellungnahme der EU-Kommission vom 23.7.2024

Die EU-Kommission teilt mit, dass sie den technischen Regulierungsstandard zum Informationsregister zurückweist, bzw. dies bedenkt. Beide Formulierungen kommen in der offiziellen Stellungnahme vor. Das wesentliche Argument hierfür besteht in der eindeutigen Kennung der IKT-Dienstleister. Der Regulierungsstandard sieht hierfür den Legal Entity Identifier (LEI) vor. Gemäß EU-Kommission soll die eindeutige Kennzeichnung (auch) durch den European Unique Identifier (EUID) erfolgen können. Dieser ist in einigen bereits bestehenden Direktiven die führende Kennung von Unternehmen und zudem kostenlos verfügbar.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

News Feed

IQThirdParty – Exzellenz und Effizienz im Drittparteienmanagement

Automate Compliance