.svg)
Am 17.01.2024 wurde die finale Version des Informationsregisters (Register of Information) von den drei Aufsichtsbehörden (European Supervisory authorities – kurz: ESA,) bestehend aus EBA, ESMA und EIOPA, veröffentlicht. Nach einem formalen Absegnen durch die Europäische Kommission wird das Ausfüllen, Vorhalten und die Berichterstatten des Informationsregisters für Finanzinstitute, die in den Betroffenenkreis von DORA fallen (EU - 2022/2554), verpflichtend.
Artikel 28(3) der Verordnung (EU) 2022/2554 (DORA) verlangt von Finanzinstituten (FIs) als Teil ihres IKT-Risikomanagementrahmens, auf Einzel-, Teilkonsolidierungs- und Konsolidierungsebene ein Informationsregister zu allen vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten, die von IKT-Dienstleistern bereitgestellt werden, zu führen und zu aktualisieren. Die FIs müssen zudem den zuständigen Behörden das Informationsregister sowie alle Informationen, die für eine effektive Aufsicht über die FIs und zum Verständnis der IKT-Abhängigkeiten der FIs erforderlich sind, zur Verfügung stellen, um das Überwachungsrahmenwerk für kritische IKT-Dienstleister von Drittanbietern zu unterstützen.
Um diese Anforderungen zu erfüllen, wurde das Informationsregister bestehend aus 15 Templates mit über 100 Attributen geschaffen, das folgende Zwecke hat:
a. Erfassung der minimalen und notwendigen Informationen über die vertraglichen Vereinbarungen und die Bewertung der damit verbundenen Risiken für Finanzinstitute. b. Dokumentation der gesamten Lieferkette (Auslagerungskette) für IKT-Dienstleistungen, wobei der Fokus auf Subunternehmern von IKT-Dienstleistungen liegt, die eine kritische oder wichtige Funktion oder wesentliche Teile davon unterstützen.
c. Eindeutige Identifikation von IKT-Dienstleistern und konsistente Zuordnung zu den leistungsempfangenden FIs, um eine effiziente Aggregation relevanter Informationen zu ermöglichen.
d. Identifikation der von den IKT-Dienstleistern bereitgestellten kritischen oder wichtigen (wesentlichen) Funktionen, indem die folgenden Schritte befolgt werden:
i. FIs identifizieren alle ihre operativen und geschäftlichen Funktionen. Dies bedeutet, dass FIs ihre Geschäftsprozesse in aktueller und konsistenter Form dokumentieren und diesen die IKT-Dienstleistungen und Auslagerungen zuordnen müssen.
ii. FIs bestimmen, welche Funktionen gemäß ihrer internen Bewertung und der Definition in Artikel 3(22) der DORA als kritisch oder wichtig gelten. Dies bedeutet, dass die Definition in Artikel 3(22) in die Risikoanalyse integriert werden muss und dass spätestens im Rahmen der Risikoanalyse bewertet wird, ob die auszulagernde Funktion kritisch oder wichtig ist (dies stimmt mit der Definition gemäß EBA/GL/2019/02 überein).
iii. FIs identifizieren alle ausgelagerten IKT-Dienstleistungen (nicht nur wesentliche bzw. die, die kritische oder wichtige Funktionen unterstützen).
iv. FIs identifizieren und dokumentieren ihre gruppeninternen und -externen IKT-Dienstleistungen.
e. Berichterstattung dieser Informationen an die zuständigen Behörden.
Es bestehen aktuell schon zahlreiche Anforderungen an das Datenmanagement und die Berichterstattung im Auslagerungsmanagement. So müssen sowohl BaFin- als auch EZB-beaufsichtigte Institute unterschiedlichen Auslagerungsregister vorhalten, um den Meldeanforderungen an das MVP-Portal der BaFin bzw. an das IMAS-Portal der EZB nachzukommen.
Nun kommt zusätzlich ein Register dazu, dass Stand jetzt zusätzlich zu erstellen und zu pflegen ist und das inhaltlich von den bekannten Auslagerungsregistern abweicht. Dies würde bedeuten, dass ein Institut mindestens zwei Auslagerungsregister (das Auslagerungsregister nach MVP oder IMAS und das Informationsregister) pflegen muss, was einen erhöhten Aufwand bedeutet.
Eine Erweiterung des bestehenden Auslagerungsregisters um die zusätzlichen Felder aus dem neuen Informationsregister ist nicht immer sinnvoll, da oft für dieselben Felder unterschiedliche Inhalte für die beiden Register von den Aufsichtsbehörden erwartet werden (wie z. B. Art des Unternehmens oder die Leistungskategorien).
Nachfolgend werden ausgewählte Anforderungen hinsichtlich Informationsregister aus dem finalen Entwurf näher betrachtet.
RT.01.02 —List of entities within the scope of the register of information
Institute müssen ein Informationsregister vorhalten, dass alle IKT-Dienstleistungen mit Dienstleistern innerhalb und außerhalb des aufsichtlichen Konsolidierungskreises enthält. Dabei ist es erforderlich, die Struktur des aufsichtlichen Konsolidierungskreises (Gruppenstruktur) in das Register zu integrieren. Zu jedem Unternehmen sind einige Felder wie Art des Unternehmens, Hierarchie in der Gruppenstruktur, Datum, wann das Unternehmen ins Register aufgenommen wurde und Bilanzsumme anzugeben.
Diese Anforderungen sind in diesem Umfang neu und führen zu einer mehrdimensionalen Datenstruktur, was ohne eine automatisierte technische Lösung nicht beherrschbar ist.
RT.05.02: ICT service supply chains:
Dabei erwarten die Aufsichtsbehörden eine lückenlose Abbildung der gesamten Auslagerungskette für jede wesentliche IKT-Dienstleistung. Dies ist zwar an sich nicht ganz neu, dennoch sind die Anforderungen an die Daten umfangreicher, was nochmal zeigt, wie wichtig die Themen Weiterverlagerungen und Konzentrationsrisiken entlang der Auslagerungskette sind. Zum Beispiel ist anzugeben, in welchem Rang sich der Sub-Dienstleister in der Auslagerungskette befindet und ob und welche alternativen Dienstleister bereits identifiziert wurden.
RT.06.01: Functions identification
Neben allgemeinen Attributen der ausgelagerten Funktion und der Leistungsempfänger, werden die Verfügbarkeitskennzahlen wie RTO (Recovery Time Objective) und RPO (Recovery Point Objective) gefordert, die im Rahmen des Business Continuity Managements (BCM) für die betroffenen Funktionen zu ermitteln sind. Dies würde eine engere Verzahnung mit BCM / IT-SCM verlangen, um die Datenqualität sicherzustellen.
- Das Informationsregister beinhaltet weitere Neuerungen, die für Finanzinstitute aller Größen eine neue Ära der Datenhaltung im Auslagerungsmanagement einleitet.
- Das Vorhalten und Pflegen des Informationsregisters wird die Aufwände im Auslagerungsmanagement extrem erhöhen.
- Ohne die geeignete technische Lösung kann weder Compliance noch Effizienz sichergestellt werden
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Block quote zxcZDcasdcasdcasd
Ordered list
Unordered list
Bold text
Emphasis
Superscript
Subscript
