Die Uhr tickt: Das DORA-Informationsregister

Hartmut Renz und zwei seiner Kollegen von Strateco geben Auskunft zu dem gemäß DORA neu aufzustellenden Informationsregister. — RA Hartmut T. Renz ist Partner Regulatory & Compliance Advisory bei StratecoStrateco

Der vor ein paar Wochen aufgetretene, weltweite Ausfall teils kritischer Rechnersysteme im Zusammenhang mit dem Cybersicherheitsanbieter Crowdstrike zeigt auf eindrückliche Art und Weise, welche Auswirkungen Klumpenrisiken im IT-Bereich haben (können).

von Hartmut Renz, Roger Thiel und Sebastian Barth, Strateco

Die Identifikation und Mitigation genau solcher Klumpenrisiken im Finanzdienstleistungssektor ist daher ein wesentliches Ziel des neu aufzustellenden Informationsregisters gemäß Artikel 28 Abs. 3 des Digital Operational Resilience Act (DORA). Als zentrales Element des Drittparteirisikomanagements für Informations- und Kommunikationstechnologie-Dienstleister („IKT-Dienstleister“) müssen Unternehmen ein umfassendes Register aller Drittparteivertragsbeziehungen führen und aktualisieren.

Roger Thiel ist Director Regulatory & Compliance Advisory bei Strateco<q>Strateco — Roger Thiel ist Director Regulatory & Compliance Advisory bei StratecoStrateco

Das Informationsregister soll im Wesentlichen drei Aufgaben erfüllen:

1.Unterstützung des internen Risikomanagements

2.Information für die Aufsichtsbehörden, insbesondere bezüglich IKT-Konzentrationsrisiken

3.Bestimmung der kritischen IKT-Drittdienstleister durch die europäischen Aufsichtsbehörden.

Aktuell ist davon auszugehen, dass das Informationsregister zeitnah zum Inkrafttreten von DORA, also nach dem 17. Januar 2025 abgefragt werden wird.”

Sebastian Barth ist Senior Manager Data & Analytics Advisory bei StratecoStrateco

Aufgrund des knappen Zeitrahmens und der inhaltlichen Herausforderungen, die insbesondere aus dem Umfang der zu meldenden Beziehungen und der komplexen Datenstruktur entstehen, stellt die Umsetzung erhebliche Anforderungen an die durch DORA betroffenen Institute. Daher ist eine ganzheitliche Betrachtung notwendig. Sie erfordert eine enge Zusammenarbeit zwischen IT, Compliance, Risikomanagement und Fachabteilungen. Nur durch eine abteilungsübergreifende und holistische Herangehensweise können Synergien genutzt und Redundanzen vermieden werden.

Umfang des Informationsregisters

Grundsätzlich sind alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zu erfassen. Dies betrifft neben Verträgen zur Bereitstellung von Software, Cloud-Dienstleistungen, Datenzentren und Netzwerkinfrastruktur (ohne Telekommunikationsdienste) insbesondere auch Dienstleistungen der IT-Beratung und der Datenanalyse.

Hierbei sind nicht nur die direkten Vertragspartner in das Register aufzunehmen, sondern die gesamte Auslagerungskette bis zum ersten IKT-Dienstleister außerhalb der Gruppe des berichtenden Unternehmens.”

Unterstützt die IKT-Dienstleistung eine kritische oder wichtige Unternehmensfunktion (gem. DORA, Artikel 3, Punkt 22), müssen zusätzlich alle für die Bereitstellung der IKT-Dienstleistung kritischen weiteren Dienstleister (IKT-Unterauftragnehmer gem. DORA, Artikel 3, Punkt 28) entlang der weiteren Auslagerungskette erfasst werden. Der Final Report zum Regulatory Technical Standard, der dies konkretisiert, wurde vor Kurzem veröffentlicht. Diese Integration der weiteren Stufen in das Register stellt eine zusätzliche Komplexität dar.

Grafik. Präsentation DORA Informationsregister, Quelle: BaFin — Präsentation DORA InformationsregisterBaFin

Struktur des Informationsregisters

Das Informationsregister gemäß DORA erfordert eine umfangreiche und präzise Erfassung und Verwaltung der Daten.

Herausforderungen sind im Wesentlichen:

–Komplexe Datenstruktur:

Das Register umfasst 15 Templates mit über 100 Attributen, die über verschiedene Schlüssel wie Vertragsnummern, Legal Entity Identifier (LEI), Funktionsbezeichner und Zweigstellen-Codes untereinander verknüpft sind.”

Zusätzliche Komplexität und die Gefahr inkonsistenter Datenlieferungen entstehen durch die in der vorgegebenen Datenstruktur enthaltenen redundanten Beziehungen zwischen einzelnen Entitäten. Die Datenstruktur ist also (auch) insofern nicht normalisiert. Zwar gibt das vom Joint Committee of the European Supervisory Authorities (ESAs) herausgegebene Schaubild (siehe unten) einen ersten Eindruck von der erwarteten Struktur, in der Praxis ist aber eine saubere Entity-Relationship-Modellierung zwingend notwendig.

–Differenzierte Datenerfassung:

Nicht alle Attribute sind für jeden IKT-Datensatz relevant.”

Es gibt Unterschiede zwischen kritischen und nicht-kritischen Funktionen, die die Datenerfassung komplexer machen.

–Kontinuierliche Aktualisierung: Die Daten müssen ständig aktuell gehalten und bis zu fünf Jahre nach Beendigung der Leistungsbeziehung ausgewiesen werden.

Grafik: Structure of the Register of Information (Quelle: Final Report on Draft ITS on Register of Information) - Struktur des Informationsregisters — Structure of the Register of InformationFinal Report on Draft ITS on Register of Information

Auslagerungsregister nach MaRisk ausreichend? Weit gefehlt.

Auslagerungsregister nach MaRisk und Informationsregister gemäß DORA unterscheiden sich unter anderem in folgenden Punkten:

Die Autoren

RA Hartmut T. Renz ist Partner Regulatory & Compliance Advisory bei Strateco (Website). Er war zuvor in verantwortlichen Leitungsfunktionen unter anderem bei der DZ Bank AG, Helaba, LBBW und Citigroup tätig.

Roger Thiel ist Director Regulatory & Compliance Advisory bei Strateco (Website). Vor seiner aktuellen Position sammelte er umfangreiche Erfahrung als Key-Account-Manager beim Bank-Verlag sowie in verschiedenen Rollen bei der Dresdner Bank und Credit Suisse. Er hat zudem einen Abschluss in Wirtschaftswissenschaften von der Johann Wolfgang Goethe-Universität Frankfurt am Main.

Sebastian Barth ist Senior Manager Data & Analytics Advisory bei Strateco (Website). Er war zuvor bei einer Big Four sowie bei einem CRM-Software-Entwickler tätig.

–Einträge ins Informationsregister beziehen sich ausschließlich auf IKT-relevante Dienstleistungen, hier aber wie oben beschrieben auf alle.

–Die Einteilung erfolgt nicht mehr in sonstiger Fremdbezug, nicht wesentliche und wesentliche Auslagerungen, sondern in die Kategorien Unterstützung kritischer oder wichtiger Funktionen und keine Unterstützung kritischer oder wichtiger Funktionen. Die Inhalte folgen damit einer anderen Logik.

–Die vorgeschriebene Struktur des Informationsregisters ist, wie oben beschrieben, deutlich komplexer als die des Auslagerungsregisters.

Welche Vorgehensweise empfiehlt sich?

Neben der allgemeinen Projektvorgehensweise sind bei der Implementierung des Informationsregisters gemäß DORA spezifische Punkte zu beachten, die eine reibungslose und vollständige Erfüllung der regulatorischen Anforderungen sicherstellen:

–Analyse der Anforderungen auf Basis der Informationen von BaFin (Website) und der europäischen Aufsicht (Website) inklusive Beobachtung der Kommunikation der Aufsicht (u. a. hinsichtlich MVP-Anmeldung, Anpassungen Datenmodell u. Ä.)

–Bestandsaufnahme: Erfassung aller relevanten IKT-Verträge unter Beachtung der gruppeninternen Beziehungen und der kritischen und/oder wichtigen Funktionen des Instituts

–Technologieeinsatz: Implementierung einer geeigneten Software-Lösung zur Verwaltung des Informationsregisters

–Etablierung einer kontinuierlichen Überwachung: Regelmäßige Überprüfung und Aktualisierung des Registers

Aufgrund des Umfangs und der Komplexität sowie des engen Zeitfensters sollte das Thema Informationsregister bei Finanzinstituten die entsprechende Priorität auf der Agenda haben.Hartmut Renz, Roger Thiel und Sebastian Barth, Strateco

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/215287