Wenn Finanzunternehmen die Angebote von Drittdienstleistern der Informations- und Kommunikationstechnologie (IKT) nutzen, verstärkt das die Vernetzung im Finanzsektor und schafft neue Abhängigkeiten und Risiken. Zugleich wächst die Angriffsfläche. IT-Vorfälle bei zentralen IKT-Dienstleistern können schnell viele Finanzunternehmen gleichzeitig betreffen. Im schlimmsten Fall können sie den gesamten Finanzmarkt gefährden. Der IT-Vorfall bei Crowdstrike im Sommer 2024 hat verdeutlicht, wie schnell sich Probleme bei zentralen Dienstleistern auf die globale Wirtschaft auswirken können.

Vernetzungen erkennen

Für ein effektives Risikomanagement und die Analyse von Drittparteienrisiken müssen Finanzunternehmen und Aufsichtsbehörden einen Überblick über die Nutzung von IKT-Drittdienstleistern haben. Nur so lassen sich Vernetzungen erkennen, Risiken gezielt angehen und kritische IKT-Drittdienstleister (Critical ICT third-party service provider – CTPP) identifizieren. IKT-Drittdienstleister gelten im Sinne von DORA dann als kritisch, wenn ein bedeutender Teil des europäischen Finanzsektors von ihnen abhängig ist. Artikel 28 des Digital Operational Resilience Act (DORA) legt hierfür klare Dokumentations- und Anzeigepflichten fest. DORA ist ab dem 17. Januar 2025 anzuwenden.

Besonders wichtig: Finanzunternehmen müssen ein Informationsregister führen. Dies schreibt Artikel 28 Absatz 3 Unterabsatz 1 vor. Dieses Register soll alle Verträge mit Drittdienstleistern erfassen, die dem Finanzunternehmen IKT-Dienstleistungen bereitstellen. Bei IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, müssen im Register nicht nur die direkten IKT-Drittdienstleister erfasst werden, sondern auch alle Unterauftragnehmer, die die Erbringung der IKT-Dienstleistung sicherstellen.

Das Informationsregister: Hilfreich für Aufsicht und Unternehmen

Das Informationsregister dient nicht nur der Aufsicht. Unternehmen können es für das Management ihres ITK-Drittparteienrisikos nutzen. Sie können Konzentrationen und geografische Abhängigkeiten bei IKT-Dienstleistungen erkennen und die daraus resultierenden Risiken gezielt managen.

Aufsichtsbehörden werden die Register nutzen, um das IKT-Drittparteienrisiko der Unternehmen zu beaufsichtigen und um Risiken auf Makroebene zu analysieren, die durch die Vernetzung des Finanzsektors mit IKT-Drittdienstleistern entstehen. Die BaFin kann so Konzentrationsrisiken auf Unternehmens-, Sektor- und Finanzmarktebene untersuchen und kritische IKT-Drittdienstleister für Finanzunternehmen identifizieren. Die Europäischen Aufsichtsbehörden (ESAs) werden die Register gemäß der Leitlinien über die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden für die jährliche Einstufung kritischer IKT-Drittdienstleister nutzen.

Neben Konzentrationsrisiken können mit dem Register auch andere Risiken genauer analysiert werden. Beispielsweise können Aufsichtsbehörden regionale Abhängigkeiten erkennen und die Auswirkungen geopolitischer Verwerfungen auf den Finanzmarkt analysieren. Geopolitische Unsicherheiten erhöhen die Wahrscheinlichkeit von Ausfällen bei Dienstleistern und damit verbundenen ITK-Dienstleistungen. Zugleich kann die Aufsicht durch die Daten der Register auch die Auswirkungen von IT-Vorfällen bei Dienstleistern besser abschätzen. Potenziell betroffene Unternehmen können so frühzeitig identifiziert und gewarnt werden.

Testlauf im Sommer 2024

Um Finanzunternehmen bei der Entwicklung ihrer Informationsregister zu unterstützen und die eigenen Systeme zu testen, führten die Europäischen und nationalen Aufsichtsbehörden wie die BaFin im Sommer 2024 einen Testlauf für die Einreichung der Informationsregister durch. Die Teilnehmer erhielten ein individuelles Feedback zur Datenqualität ihrer Register, um 2025 ein vollständiges und fehlerfreies Register einreichen zu können.

Auch die Aufsichtsbehörden haben wertvolle Erkenntnisse gewonnen. Daraufhin haben sie die Anforderungen der Durchführungsverordnung (EU) 2024/2956 zum Informationsregister überarbeitet und präzisiert. Zusätzlich haben sie Validierungsregeln angepasst, um die Datenqualität zu verbessern.

Ihre Erkenntnisse haben die ESAs in einem Report veröffentlicht, der Mängel aufzeigte. So wurden beispielsweise Pflichtfelder nicht ausgefüllt. Häufig waren zudem Identifizierungscodes für Finanzunternehmen und IKT-Drittdienstleister fehlerhaft oder nicht vorhanden.

LEI-Pflicht für IKT-Drittdienstleister?

Der zentrale Identifikationscode für Finanzunternehmen ist unter DORA der Legal Entity Identifier (LEI). Jedes Finanzunternehmen muss einen LEI haben und sich damit gemäß Kapitel III DORA im Informationsregister und bei IKT-Vorfallsmeldungen identifizieren. Dies gilt auch für konsolidierte Informationsregister von Gruppen oder Konzernen und aggregierte Vorfallsmeldungen von Dienstleistern. In beiden Fällen müssen alle Unternehmen des Finanzsektors, die die jeweilige Meldung bzw. das Register umfasst, per LEI identifiziert werden (siehe Abbildung 1).

Abbildung 1: Identifikationscodes

Quelle: BaFin

Lange unklar war, ob der LEI auch für die Identifikation von IKT-Drittdienstleistern verpflichtend wird. Mit der Durchführungsverordnung (EU) 2024/2956 zum Informationsregister vom 29. November 2024 wurde hier Klarheit geschaffen. Die EU-Kommission entschied, dass neben dem LEI auch der European Unique Identifier (EUID) zur Identifikation dieser Drittdienstleister verwendet werden darf. Laut Artikel 3 Absatz 5 der Durchführungsverordnung (EU) 2024/2956 zum Informationsregister müssen alle IKT-Drittdienstleister mit einer dieser beiden IDs identifiziert werden. Verfügt ein Drittdienstleister über beide IDs, müssen beide angegeben werden. Handeln natürliche Personen als Dienstleister, können sie auf weitere Identifikationscodes wie die Personalausweisnummer zurückgreifen.

Wie geht es nun weiter?

Finanzunternehmen müssen ihr vollständiges Informationsregister der zuständigen Behörde auf Anfrage bereitstellen. Das schreibt Artikel 28 Absatz 3 Unterabsatz 4 vor. Da die ESAs die Register für die jährliche Einstufung kritischer IKT-Drittdienstleister benötigen, sieht Leitlinie 5 der Gemeinsamen Leitlinie über die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den Europäischen Aufsichtsbehörden vor, dass die zuständigen Behörden ihnen diese Register übermitteln
.
Für 2025 haben die ESAs in ihrer Decision of ESAs on reporting of information for CTPP designation klargestellt, dass sie die Übermittlung der Register durch die zuständigen Behörden bis zum 30. April 2025 erwarten. Diese sollen alle Vertragsinformation mit Stichtag 31. März 2025 enthalten. In den Folgejahren wird der Stichtag der 31. Dezember sein. Die Register sollen den ESAs dann am 31. März übermittelt werden.

Finanzunternehmen unter BaFin Aufsicht müssen sich darauf vorbereiten, die Informationsregister bis spätestens 11. April 2025 erstmals der BaFin zu übermitteln (siehe Abbildung 2). Die BaFin wird die Unternehmen bis dahin eng begleiten und versuchen, möglichst viele offene Fragen zu klären. Hierfür hat die BaFin auf ihrer Website eine neue Informationsseite zum Informationsregister bereitgestellt. Diese wird kontinuierlich erweitert. Dort erfahren Finanzunternehmen auch, ab wann sie die Register bei der BaFin einreichen können.

Abbildung 2: Zeitleiste zur Vorbereitung, Einreichung und Übermittlung der Register

Quelle: BaFin

Die BaFin erhält die Informationsregister über ihre Melde- und Veröffentlichungsplattform (MVP). Jedes Finanzunternehmen muss dafür zunächst seine Melderinnen und Melder für das Fachverfahren „Digital Operational Resilience Act (DORA)“ freischalten lassen. In den vergangenen Monaten hat die BaFin alle Finanzunternehmen dazu kontaktiert. Weitere Informationen zur Melderfreischaltung hat die BaFin auf ihrer Website veröffentlicht.

Die Informationsregister müssen grundsätzlich als strukturierte Datei eingereicht werden, die der Taxonomie der ESAs entspricht. Anders als beim Testlauf im Sommer 2024 gibt es kein Konvertierungstool der ESAs. Die BaFin kennt die Konvertierungsprobleme, besonders für kleine Finanzunternehmen, und wird bald auf ihrer Website eine speziell strukturierte Excel-Vorlage veröffentlichen. Diese können die Unternehmen ebenfalls nutzen, müssen aber die vorgegebene Struktur einhalten.

Neben dem Einreichen der Informationsregister als strukturierte Datei können die Unternehmen auch die ausgefüllte Excel-Vorlage über die MVP einreichen. Finanzunternehmen sollten stets die von den ESAs veröffentlichten Validierungsregeln für die Datenfelder beachten. Bei Fehlern in den Registern oder unvollständigen Datenfeldern müssen sie mit der Aufforderung rechnen, ihre Register zu korrigieren und erneut einzureichen.

Anzeigepflichten bei Vereinbarungen zur Nutzung von IKT-Dienstleistungen

Artikel 28 DORA umfasst neben der Einreichung des Informationsregisters weitere Meldepflichten. Dazu gehört, dass die zuständige Behörde einmal jährlich über die Zahl neuer Vereinbarungen zur Nutzung von IKT-Dienstleistungen informiert wird. Hierzu gehören auch weitere Angaben zu den IKT-Drittdienstleistern und den bereitgestellten IKT-Dienstleistungen (vergleiche Artikel 28 Absatz 3 Unterabsatz 3 DORA).

Diese Informationen sollen laut Artikel 31 Absatz 10 DORA zur Einstufung kritischer IKT-Drittdienstleister dienen. Hierfür werden nun die vollständigen Informationsregister genutzt. Dies ist in der Leitlinie 5.1 der Leitlinien über die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden geregelt. Die Informationsregister werden gemäß Artikel 5 der Decision of ESAs on reporting of information for CTPP designation einmal jährlich gesammelt.

Aktuell geht die BaFin davon aus, dass die Unternehmen durch die jährliche Einreichung der Informationsregister alle in Artikel 28 Absatz 3 Unterabsatz 3 DORA genannten Informationen liefern. Daher sieht sie diese Meldepflicht als erfüllt an. Um die Finanzunternehmen zu entlasten, plant die BaFin, auf Basis dieser Daten selbst Informationen über neue Vereinbarungen zu ermitteln und zu analysieren, und zwar durch den Vergleich mit dem Vorjahresregister. Für Finanzunternehmen bedeutet das: Sie müssen nichts weiter tun.

BaFin verhindert Doppelmeldungen

Artikel 28 Absatz 3 Unterabsatz 5 DORA fordert, dass Finanzunternehmen die Aufsicht über geplante Verträge zur Nutzung von IKT-Dienstleistungen für kritische oder wichtige Funktionen informieren. Dies gilt auch, wenn eine Funktion erst später kritisch oder wichtig wird. Wahrscheinlich werden sich diese DORA-Meldungen oft überschneiden mit den nach den sektoralen Vorschriften anzeigepflichtigen (wesentlichen) Auslagerungen bzw. Ausgliederungen nach dem Kreditwesengesetz (KWG), dem Versicherungsaufsichtsgesetz (VAG), dem Zahlungsdiensteaufsichtsgesetz (ZAG), dem Kapitalanlagegesetzbuch (KAGB) und dem Wertpapierinstitutsgesetz (WpIG) .

Um Doppelmeldungen zu verhindern und die Branche zu entlasten, wird die BaFin das MVP-Fachverfahren „Anzeige von Auslagerungen“ anpassen, das seit Ende 2022 genutzt wird. Sie überarbeitet derzeit das darin enthaltene Formular und wird es voraussichtlich ab dem zweiten Quartal 2025 zur Verfügung stellen. Das Formular wird an die derzeit geltenden Anzeigenverordnungen angepasst und mit einem DORA-Feld ergänzt.

Statt Doppelmeldung Auslagerungen anzeigen

Finanzunternehmen, die doppelt Anzeigenpflichten erfüllen müssten, sollen dann vorrangig die Auslagerung anzeigen und im DORA-Feld einen Haken setzen, mit dem sie erklären, dass sie beide Anzeigepflichten erfüllen. In der Zeit zwischen der Einführung der neuen DORA-Anzeigepflicht und der Aktualisierung des MVP-Formulars zur Anzeige von Auslagerungen sollen Finanzunternehmen wie gewohnt die geplante Auslagerung bzw. Ausgliederung über die MVP melden und die DORA-Anzeige nach der Aktualisierung des Formulars über eine Änderungsanzeige ergänzen. Die BaFin plant Workshops, um das neue MVP-Formular zu erläutern.

Für IKT-Dienstleistungen, die keine Auslagerungs- bzw. Ausgliederungsanzeige erfordern, soll die BaFin über ein Excel-Formular über geplante Verträge oder Änderungen zu kritischen oder wichtigen Funktion informiert werden. Weitere Informationen zu diesem Meldeprozess und das hierfür vorgesehene Excel-Formular hat die BaFin auf ihrer Übersichtsseite zum Informationsregister und den Anzeigepflichten veröffentlicht.

BaFin wird Unternehmen weiter unterstützen

Das Informationsregister und die weiteren Anzeigepflichten des Artikel 28 DORA bringen Herausforderungen mit sich. Das gilt vor allem mit Blick auf die bereits bestehenden sektoralen Anforderungen an das Auslagerungs- bzw. Ausgliederungsmanagement und die entsprechenden Anzeigepflichten. Die BaFin ist sich dessen bewusst und wird die Unternehmen auch nach dem 17. Januar 2025 mit weiteren Informationen und Hilfestellungen unterstützen.

Grundsätzlich spiegelt Artikel 28 DORA den internationalen Trend wider, den Blick zu weiten und nicht nur Auslagerungsrisiken, sondern das Drittparteienrisiko der Finanzunternehmen in den Fokus zu nehmen. Der europäische Gesetzgeber folgt damit neueren internationalen Initiativen, wie denen des Financial Stability Board („Enhancing Third-Party Risk Management and Oversight“), der G7 („G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector“) und den noch laufenden Arbeiten des Basler Ausschuss für Bankenaufsicht („Principles for the sound management of third-party risk“). Auch die Europäische Bankenaufsicht EBA überarbeitet aktuell ihre Leitlinie zu Auslagerungen. Denkbar ist, dass der Trend zur stärkeren Fokussierung auf das Drittparteienrisiko weitere Anpassungen regulatorischer Anforderungen nach sich ziehen wird.