Es ist so weit: Die zweijährige Übergangszeit seit dem Inkrafttreten der DORA am 16. Januar 2023 ist abgelaufen und seit dem 17. Januar 2025 ist die DORA anzuwenden. Die betroffenen Finanzunternehmen und IKT-Drittdienstleister müssen nun die neuen Anforderungen erfüllen, die durch DORA eingeführt wurden. Finanzunternehmen müssen ihre digitale operationale Resilienz an den Vorschriften der DORA messen lassen. Die DORA umfasst 64 Artikel, die durch eine Reihe von Regulatory Technical Standards (sogenannte RTS) ergänzt werden. Durch die RTS werden einheitliche Standards in der gesamten EU geschaffen, sodass alle betroffenen Finanzunternehmen unionsweit dieselben Anforderungen erfüllen müssen. So sollen die Niederlassungsfreiheit und die digitale operationale Resilienz des gesamten europäischen Finanzmarkts gestärkt werden. DORA adressiert IKT-Risiken durch spezifische Vorgaben zu Kapazitäten im IKT-Risikomanagement, zur Meldung von Vorfällen, zu Tests der operationellen Resilienz sowie zur Überwachung von Risiken im Zusammenhang mit der Nutzung von IKT-Drittdienstleistern. Die BaFin hat bereits mehrfach geäußert, dass es nach der zweijährigen Übergangszeit keine weitere Übergangsfrist mehr geben wird. Das bedeutet, dass die Finanzunternehmen die DORA-Vorgaben bereits jetzt erfüllen müssen. Doch wie steht es mit spezifischen Melde- und Berichtspflichten, die von den Finanzunternehmen an die BaFin übermittelt werden müssen? Zu denken ist hier vor allem an das Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht und von den Finanzunternehmen im Rahmen ihres IKT-Risikomanagements geführt werden muss.

Was ist das DORA-Informationsregister?

Einen wichtigen Teil der DORA-Regulierung bildet die Anforderung an Finanzunternehmen, ein solides Management für IKT-Drittparteienrisiken zu etablieren. Hierzu gehört zum Beispiel eine Strategie für das Management des IKT-Drittparteienrisikos und optional eine Strategie zur Nutzung mehrerer IKT-Anbieter. Es ist außerdem eine Leitlinie für die Nutzung von IKT-Drittdienstleistungen zu erstellen, insbesondere für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Auch das Informationsregister ist ein maßgeblicher Bestandteil des Managements des IKT-Drittparteienrisikos. Finanzunternehmen müssen dieses Informationsregister über alle vertraglichen Vereinbarungen zur Nutzung von durch IKT-Drittdienstleister bereitgestellte IKT-Dienstleistungen führen. Es ist zwischen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen und solchen zu unterscheiden, bei denen dies nicht der Fall ist. Konkretisiert werden die Anforderungen an das Register of Information (RoI) im Einzelnen durch die Verordnung zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister (ITS ). Finanzunternehmen müssen der zuständigen Behörde – in Deutschland der BaFin – auf Verlangen das vollständige Informationsregister oder auf Anfrage bestimmte Teile dieses Registers zusammen mit allen Informationen zur Verfügung stellen, die für eine wirksame Beaufsichtigung des Finanzunternehmens als notwendig erachtet werden. Die BaFin hat nun angekündigt, dass sie Finanzunternehmen dazu auffordern wird, die Informationsregister spätestens bis zum 11. April 2025 erstmals bei der BaFin einzureichen. Hierzu hat die BaFin erst vor wenigen Tagen eine Reihe von Beiträgen auf ihrer Website veröffentlicht. Hintergrund ist, dass die BaFin die Informationsregister bis zum 30. April 2025 an die Europäischen Aufsichtsbehörden übermitteln muss, damit diese die überwachungsbedürftigen IKT-Drittdienstleister ggf. als kritische IKT-Dienstleister im Sinne der DORA einstufen können, die nach der DORA besonders überwacht werden.

Wie soll das Informationsregister eingereicht werden?

Für Finanzunternehmen, die die Implementierung der DORA bereits vollständig abgeschlossen haben, sollte die Übermittlung des Informationsregisters an die BaFin kein Problem darstellen. Auch Finanzunternehmen, bei denen die Anpassung an die DORA-Anforderungen noch nicht vollständig abgeschlossen sind, sollten nicht in Panik verfallen, sondern zügig die Erstellung des Informationsregisters in Angriff nehmen, damit dieses bereitliegt, sobald die BaFin danach verlangt. Auch die BaFin forderte die betroffenen Finanzunternehmen in einem vor kurzem veröffentlichten Beitrag dazu auf, sich darauf vorzubereiten, die Informationsregister bis spätestens 11. April 2025 erstmals der BaFin zu übermitteln. Die Behörde sicherte aber zugleich zu, die Unternehmen bis dahin eng zu begleiten und versuchen zu wollen, möglichst viele offene Fragen zu klären. Die BaFin hat dementsprechend ausführliche Informationen auf ihrer Website veröffentlicht. Die Übermittlung der Informationsregister an die BaFin erfolgt über die Melde- und Veröffentlichungsplattform (MVP) der BaFin. Bei der Erstellung der Register müssen sich Finanzunternehmen an den Vorgaben der Europäischen Aufsichtsbehörden (ESAs) orientieren. Die Register sind grundsätzlich als strukturierte Datei einzureichen, die der von den ESAs vorgegebenen Taxonomie entspricht. Um insbesondere kleineren Finanzunternehmen die Konvertierung zu erleichtern plant die BaFin, zeitnah eine spezielle Excel-Vorlage auf ihrer Website bereitzustellen. Diese Vorlage kann dann von den Finanzunternehmen anstelle einer strukturierten Datei genutzt werden, sofern die vorgegebene Struktur der Excel-Vorlage genau eingehalten wird. Alternativ zur Einreichung des Informationsregisters als strukturiere Datei sollen Finanzunternehmen so die ausgefüllte Excel-Vorlage über die MVP einreichen können. Auch für Unternehmen, die in nächster Zeit eine Erlaubnis für die Tätigkeit als Finanzunternehmen bei der BaFin beantragen möchten, sollte unbedingt sichergestellt werden, dass die Vorgaben der DORA umgesetzt wurden. So können Verzögerungen bei der Bearbeitung des Erlaubnisantrags am besten vermieden werden. Die Anforderungen der DORA sind zwar sehr komplex. Sie unterscheiden sich jedoch nicht grundlegend von den Anforderungen, die die BaFin bereits vor dem Inkrafttreten der DORA an Finanzunternehmen gestellt hat. Sofern bereits ein solides Informationssicherheitsmanagementsystem (ISMS) im Unternehmen existiert, sollten die Anpassungen in den meisten Fällen zügig umgesetzt werden können.

Rechtsanwalt Anton Schröder