Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) am 17. Januar 2025 steht die Finanzbranche in Europa vor umfangreichen neuen Anforderungen an die digitale Widerstandsfähigkeit. Ein zentrales Element dieser Verordnung ist das Informationsregister, das Finanzunternehmen verpflichtend einzuführen und zu pflegen haben. Dieser Beitrag erläutert, welche Aufgaben und Auswirkungen das Informationsregister im Rahmen von DORA hat und worauf Unternehmen achten sollten.
Ziel des Informationsregisters: Transparenz über IKT-Drittdienstleister
Das Informationsregister dient als zentrale Übersicht aller Informations- und Kommunikationstechnologie-(IKT)-Dienstleister, mit denen ein Finanzunternehmen zusammenarbeitet. Erfasst werden dabei sämtliche vertraglichen Vereinbarungen, unabhängig davon, ob sie kritische oder unterstützende Funktionen innerhalb des Unternehmens betreffen. Diese Maßnahme soll Unternehmen und Aufsichtsbehörden ermöglichen, Risiken frühzeitig zu erkennen, insbesondere im Hinblick auf Abhängigkeiten, Konzentrationsrisiken und die Einhaltung von Mindeststandards beim Datenschutz und der IT-Sicherheit.
Die Klassifizierung eines IKT-Dienstleisters erfolgt anhand dessen, ob er „digitale Dienste“ dauerhaft für interne oder externe Nutzer bereitstellt. Dazu zählen auch Hardware-Dienstleistungen sowie technische Supportleistungen, ausgenommen sind jedoch analoge Telefondienste. Besonders im Fokus stehen Dienstleister, deren Ausfall erhebliche Auswirkungen auf die Geschäftskontinuität oder das Erreichen regulatorischer Vorgaben hätte.
Mindestvertragsinhalte und ihre Bedeutung
DORA macht klare Vorgaben zu den Mindestinhalten der Verträge mit IKT-Drittdienstleistern. Neben allgemeinen Aspekten wie Leistungsbeschreibung, Verfügbarkeit oder Sicherheitsvorkehrungen müssen Verträge insbesondere auch Regelungen zur Datenzugänglichkeit, Datenrückgabe im Falle einer Vertragsbeendigung oder Insolvenz, Unterstützung beim Umgang mit Sicherheitsvorfällen und gegebenenfalls zur Unterauftragsvergabe enthalten. Dies gilt vor allem dann, wenn der Dienstleister kritische oder wichtige Funktionen unterstützt.
Die praktische Umsetzung kann je nach Verhandlungsmacht der Beteiligten herausfordernd sein. Während einige Dienstleister auf Anpassungen problemlos eingehen können, könnten andere angesichts des Mehraufwands ihre Leistungen für den Finanzsektor überdenken, insbesondere wenn das Segment für das eigene Geschäftsmodell nachrangig ist. Dennoch bieten die neuen Anforderungen die Chance, Lieferantenbeziehungen systematisch zu überprüfen und Standards zu vereinheitlichen.
Chancen und Herausforderungen für Unternehmen
Das Informationsregister unterstützt Finanzunternehmen dabei, eine zentrale und strukturierte Übersicht über alle auslagerungsbezogenen IKT-Aktivitäten zu gewinnen. Neben der Förderung der Transparenz gegenüber den Aufsichtsbehörden wie der BaFin ermöglicht es Unternehmen, eigene Risiken besser zu verstehen, frühzeitig Schwachstellen im Dienstleistermanagement zu identifizieren und Compliance-Defizite gezielt zu beheben.
Gleichzeitig erfordern die neuen Vorgaben erheblichen organisatorischen und vertraglichen Anpassungsbedarf. Unternehmen müssen Prozesse etablieren, um das Informationsregister aktuell zu halten und Vertragsstandards laufend an neue regulatorische und technische Entwicklungen anzupassen. Dabei ist eine enge Abstimmung zwischen Datenschutz-, IT- und Compliance-Verantwortlichen unerlässlich.
Fazit: Nachhaltige Resilienz durch strukturiertes Dienstleistermanagement
Das Informationsregister ist weit mehr als eine zusätzliche Dokumentationspflicht. Es ist ein zentrales Instrument zur Erhöhung der digitalen Resilienz und Compliance im Finanzsektor. Mit einer sorgfältigen Einführung und Pflege des Registers legen Unternehmen den Grundstein für ein proaktives Risikomanagement, stärken ihre Abwehr gegen Bedrohungen und stellen sicher, dass alle gesetzlichen Vorgaben effektiv umgesetzt werden. Damit wird das Informationsregister zu einem Schlüsselbestandteil moderner Governance-Strukturen für Finanzunternehmen.
