Finanzunternehmen müssen das Informationsregister gemäß Art. 28 Abs. 3 UAbs. 4 DORA der BaFin auf Verlangen vollständig melden oder auf Anfrage bestimmte Teile dieses Registers zur Verfügung stellen. Da die Europäischen Aufsichtsbehörden gemäß Leitlinie 5.1 der Leitlinien über die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden die Informationsregister als Grundlage für die jährliche Einstufung kritischer IKT-Drittdienstleister nach Art. 31 DORA nutzen und dazu von den national zuständigen Behörden deren Weiterleitung an das Überwachungsforum verlangen, müssen Finanzunternehmen die Informationsregister mindestens jährlich an die Aufsicht übermitteln. Für 2025 haben die ESAs in ihrer Decision of ESAs on reporting of information for CTPP designation präzisiert, dass sie eine Übermittlung der Register durch die zuständigen Behörden bis zum 30. April 2025 erwarten. Hierin sollen sämtliche Vertragsinformationen mit Stichtag 31. März 2025 enthalten sein. Finanzunternehmen unter Aufsicht der BaFin müssen die Informationsregister daher bis spätestens zum 11. April 2025 erstmals der BaFin übermitteln. Ab 2026 findet die Übermittlung der Register an die ESAs durch die zuständigen Behörden jeweils bis zum 31. März statt. Ab diesem Zeitpunkt gilt zudem, dass die Register sämtliche Vertragsinformationen mit Stichtag 31. Dezember des vorherigen Kalenderjahres umfassen müssen.

Die BaFin wird im Laufe des ersten Quartals 2025 ein Testverfahren zur Verfügung stellen. Das Testverfahren wird freigeschaltet, sobald die Formulare nach den internen Tests freigegeben werden.

Finanzunternehmen sind verpflichtet, Änderungen vertraglicher Vereinbarungen über die Nutzung von durch IKT-Drittdienstleistern bereitgestellten IKT-Dienstleistungen umgehend in ihr Informationsregister einzutragen. Gemeldet wird diese Änderung jedoch nicht proaktiv an die Aufsicht. Sobald die Aufsicht das Informationsregister vom Finanzunternehmen anfordert, ist dieses in der aktuellen Version zu übermitteln. Zu beachten ist jedoch, dass– unabhängig vom Informationsregister – eine Anzeigepflicht nach Art. 28 Abs. 3 UAbs. 5 DORA besteht. Hiermit soll die Aufsicht auch unterjährig wichtige Informationen über den Abschluss von Verträgen über IKT-Dienstleistungen erhalten. Demnach müssen Finanzunternehmen die Aufsicht zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist informieren. Weitere Informationen zur Umsetzung dieser Meldepflicht finden Sie hier.

Für bedeutende Institute ist auch unter DORA gemäß Art. 46 lit. a DORA die Europäische Zentralbank (EZB) die zuständige Behörde, weshalb diese Finanzunternehmen ihren regulatorischen Verpflichtungen gegenüber der EZB nachkommen. Demnach übermitteln sie auch ihre Informationsregister an die EZB. Alle anderen Kreditinstitute und Finanzunternehmen in Deutschland reichen ihre Informationsregister bei der BaFin ein.

Da nur das Tochterunternehmen einen Sitz in der Europäischen Union hat, fällt auch nur dieses in den DORA-Anwendungsbereich und muss daher ein Informationsregister führen und einreichen.

Die Anforderung des Art. 28 Abs. 3 UAbs. 1 DORA gilt nur für Finanzunternehmen, die jedoch teilweise bei der Erstellung der Informationsregister auf die Mitwirkung ihrer IKT-Drittdienstleister angewiesen sind. Daher ist es empfehlenswert, wenn diese den Finanzunternehmen die notwendigen Informationen (z.B. zu IKT-Dienstleistungsketten) zur Verfügung stellen.

Diese Einschätzung ist nicht richtig. Informationen zum direkten IKT-Drittdienstleister (Rang 1) sind immer und damit unabhängig davon anzugeben, ob das Finanzunternehmen die IKT-Dienstleistung zur Unterstützung einer kritischen oder wichtigen Funktion nutzt. Informationen zu Ketten von Unterauftragsvergaben sind in diesem Fall jedoch nicht erforderlich.

Sofern die IKT-Dienstleistung nicht der Unterstützung einer kritischen oder wichtigen Funktion des Finanzunternehmens dient, muss nur die Information zum IKT-Drittdienstleister aufgeführt werden, der in einem direkten Vertragsverhältnis zum Finanzunternehmen steht (Rang 1). Eine Ausnahme besteht bei der Nutzung gruppeninterner IKT-Dienstleister: (vgl. Durchführungsverordnung (EU) 2024/2956 Anhang 1, Teil 2: Anleitung zum Ausfüllen der Vorlage B_05.02 – IKT-Dienstleistungsketten):

d) wenn ein gruppeninterner IKT-Dienstleister zur Erbringung seiner IKT-Dienstleistungen für das Finanzunternehmen Unterauftragnehmer einsetzt, zumindest den ersten Unterauftragnehmer außerhalb der Gruppe, auch wenn die erbrachten IKT-Dienstleistungen keine kritische oder wichtige Funktion oder wesentliche Bereiche davon unterstützen

Die Informationsregister sind für das jeweilige Finanzunternehmen entsprechend der Vorgaben zu erstellen. Auch überwachte kritische IKT-Drittdienstleister müssen in das Informationsregister eingetragen werden, wenn sie für das Finanzunternehmen IKT-Dienstleistungen erbringen.

Ja, die Finanzunternehmen dürfen die Informationsregister in der Amtssprache ihres Mitgliedstaates befüllen.

Die geforderten LEI-Nummern und/oder EUIDs erhalten Finanzunternehmen von den IKT-Drittdienstleistern selbst.

Nein, da mit einer fiktiven Dummy-LEI (z.B. 01234567890123456789) das Ziel dieser Abfrage in den Informationsregistern, nämlich die eindeutige Identifikation der IKT-Drittdienstleister, leerlaufen würde. Neben der LEI dürfen IKT-Drittdienstleister auch per EUID identifiziert werden, sofern sie einen Sitz in der EU haben. Laut Artikel 3 Absatz 5 der Durchführungsverordnung (EU) 2024/2956 zum Informationsregister müssen alle IKT-Drittdienstleister mit einer dieser beiden IDs identifiziert werden. Verfügt ein Drittdienstleister über beide IDs, müssen beide angegeben werden. Handeln natürliche Personen als Dienstleister, können diese auf die Handelsregisternummer, die Umsatzsteuer-Identifikationsnummer, die Reisepassnummer oder die Personalausweisnummer als Identifikationscodes zurückgreifen.

Staatliche Behörden, die IKT-bezogene Dienste im Zusammenhang mit Funktionen des Staates bereitstellen, sind keine IKT-Drittdienstleister im Sinne der DORA, siehe Erwägungsgrund 63. Daher fällt das MVP-Portal der BaFin nicht unter die Anforderungen zum IKT-Drittparteienrisikomanagement. Dies gilt auch für die Deutsche Bundesbank.

Das Format wurde von der EBA im Dezember 2024 im Rahmen des Technical Package 4.0 veröffentlicht. Die BaFin wird im Laufe des ersten Quartals 2025 eine Excelvorlage zur Verfügung stellen, die genutzt werden kann, um die Informationsregister auszufüllen. In diesem Fall übernimmt die BaFin die Konvertierung in das Zielformat der EBA.
Daneben steht es den Unternehmen frei, die Anforderungen der EBA durch eigene Implementierungen zu erfüllen.

Die BaFin verwendet die Register ausschließlich im Rahmen ihrer gesetzlichen Befugnisse zu den in DORA vorgesehenen Zwecken und hält sich dabei an die gesetzlichen Anforderungen an den Schutz der Daten der Finanzunternehmen.

Die Führung des Auslagerungsregisters ist eine bestehende regulatorische Pflicht für nach dem KWG und ZAG beaufsichtigte Institute. Die Pflicht zur Führung eines Auslagerungsregisters wird durch die Einführung der Informationsregister nicht aufgehoben (vgl. auch Erwägungsgrund 29 DORA: Diese Prinzipien ergänzen die für die Auslagerung geltenden sektorspezifischen Rechtsvorschriften.). Während beim Auslagerungsregister der Fokus auf allen Auslagerungen liegt, unabhängig davon, ob es sich um IT-Auslagerungen handelt, ist das Informationsregister auf IKT-Dienstleistungen beschränkt, umfasst dort jedoch alle Drittparteibeziehungen. Die Anforderungen in diesen Registern bzw. die Daten der Finanzunternehmen darin können teilweise übereinstimmen, jedoch werden die Register bzw. die Daten insgesamt nicht deckungsgleich sein.

Derartige Pläne sind uns derzeit nicht bekannt und ist aufgrund des unterschiedlichen Fokus der Register auch nicht ohne weiteres möglich. Da die Pflicht zur Führung eines Auslagerungsregisters in Umsetzung der EBA Leitlinien zu Auslagerungen (EBA/GL/2019/02) Einzug in das KWG und ZAG genommen hat und anschließend national in den MaRisk und ZAG-MaRisk konkretisiert wurden, setzen Änderungen an den Anforderungen an das Auslagerungsregister zunächst eine Überarbeitung der EBA Leitlinien zu Auslagerungen voraus. Eine solche grundsätzliche Überarbeitung die Leitlinien erfolgt derzeit mit Blick auf DORA. Wenn es dabei zu Anpassungen der Anforderungen an das Auslagerungsregister kommen sollte, würden diese in der Konsequenz auch Anpassungen der nationalen Regelungen nach sich ziehen.