
BaFin-Workshop zum Informationsregister des Digital Operational Resilience Act (DORA)
Gemäß dem Digital Operational Resilience Act (DORA) müssen Unternehmen des Finanzsektors seit 17.01.2025 ein Informationsregister führen, im dem alle vertraglichen Vereinbarungen über die Nutzung von Dienstleistungen der Informations- und Kommunikationstechnologie zwischen Finanzunternehmen und IKT-Drittdienstleistern enthalten sein müssen. Dieses Register ist jährlich einzureichen – erstmals zum 11.04.2025.
Praktische Hinweise
Die Abgabe der Informationsregister erfolgt über das Fachverfahren „DORA“ in der Melde- und Veröffentlichungsplattform der BaFin. Grundsätzlich sind die Informationsregister als strukturierte Datei (xBRL) einzureichen, die der Taxonomie der European Supervisory Authorities (ESAs) entspricht.
Um insb. kleineren Finanzunternehmen den Einreichungsprozess zu erleichtern, hat die BaFin alternativ dazu die Einreichung einer speziell vorkonfigurierten Excel-Vorlage ermöglicht. Diese Vorlage hat die BaFin hat am 06.03.2025 einschließlich einer Ausfüllanleitung veröffentlicht und parallel einen Workshop zum Informationsregister veranstaltet, indem die Excel-Vorlage vorgestellt wurde.
Bei der bereitgestellten Excel-Vorlage handelt es sich um eine Beta-Version, die in den kommenden Wochen noch auf Fehler überprüft und aktualisiert werden soll. Dabei ist seitens der BaFin darauf hingewiesen worden, dass bei der Einreichung des Informationsregisters zwingend die aktuellste Version der Excel-Vorlage zu verwenden ist. Da die Excel-Vorlage Makros enthält, ist eine automatische Datenübertragung der nicht aktuellen Versionen unmöglich. Dies bedeutet, dass Finanzunternehmen ihre Daten bei jeder Aktualisierung manuell in die neue Version übertragen müssen - ein Prozess, der den Arbeitsaufwand für die Finanzunternehmen erheblich erhöht.
Dazu kommen noch weitere Besonderheiten der Excel-Vorlage, die ein Befüllen erheblich erschweren. So wird etwa die in der Durchführungsverordnung (EU) 2024/2956 (Durchführungsverordnung) vorgegebene Reihenfolge der Spalten nicht immer eingehalten und die Spalten werden teilweise mit ihrem Spaltencode und teilweise mit ihrer Spaltenbezeichnung betitelt. Ein Befüllen der Excel-Vorlage wird damit nur durch eine Abgleich mit Anlage 1 der Durchführungsverordnung möglich.
Somit ist die Bereitstellung einer solchen Excel-Vorlage durch die BaFin ist grundsätzlich positiv zu bewerten. Dennoch sind im Workshop deren Grenzen schnell deutlich geworden.
Weitere Erkenntnisse
In dem Workshop wurden außerdem noch allgemeine Hinweise zu (nicht) einzureichenden Informationen gegeben. So wurde etwa darauf hingewiesen, dass IKT-Dienstleistungen, die Teil einer regulierten Finanzdienstleistung sind, nicht in den Anwendungsbereich von DORA fallen und damit auch nicht im Informationsregister angegeben werden dürfen.
Dagegen muss bei der Identifizierung der Unterauftragnehmerkette von gruppeninternen IKT-Dienstleistern die Kette bis zum ersten gruppenexternen IKT-Drittdienstleister im Informationsregister angegeben werden.
Reger Zulauf
Der Workshop hatte mit mitunter mehr als 3500 Teilnehmern regen Zulauf, was darauf hindeutet, dass das Interesse und vor allem der Bedarf nach einer einfachen Lösung zur Einreichung des Informationsregisters groß ist. Der Hinweis seitens der BaFin, dass die ESAs die bestehende Taxonomie noch im Laufe diesen Jahres überarbeiten wollen, dürfte die Teilnehmer nicht unbedingt erleichtert haben. Jedenfalls aber soll die Überarbeitung der Taxonomie nicht vor dem 11.04.2025 erfolgen.
Ansprechpartner