DORA – IKT-Drittparteienrisiko: BaFin kündigt sich bei allen Finanzinstituten ab Januar 2025 an!
DORA hat auch die Risiken im Blick, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können. Von den Finanzinstituten verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteirisiken – und zwar während des gesamten Lebenszyklus des Bezugs. Gemäß Artikel 28 Abs. 3 der DORA-Verordnung sind künftig alle Vertragsbeziehungen mit IKT-Drittdienstleistern in einem umfassenden Informationsregister zu erfassen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteirisiken strukturiert zu managen.
Zweitens dient es der lokalen Finanzaufsicht als Grundlage, um Konzentrationsrisiken („Single Point of Failure“) zu erkennen. Drittens wird das Informationsregister durch die europäische Aufsicht herangezogen, um die kritischen IKT-Drittdienstleister zu bestimmen und damit die Basis für ein europäisches Überwachungsrahmenwerk zu schaffen.
Wichtige Fakten zum Informationsregister, die Sie wissen sollten:
- Es wurden wesentliche Prinzipien definiert, u.a. die Richtigkeit der Informationen zur Datenqualität und Vollständigkeit aller IKT-Dienstleistungen (auch bisher nicht erfasste IT-Fremdbezüge sind betroffen)
- Das Informationsregister ist dauerhaft regelmäßig zu überprüfen und Korrekturen sind unverzüglich der Aufsicht zu melden.
- Im Informationsregister sind alle IKT-Dienstleister zu erfassen. Für die Dienstleister, die kritische und wichtige Funktionen unterstützen, sind ebenso alle wesentlichen Weiterverlagerungen (Untervergabe) zu erfassen, d.h. Sub-Dienstleister, welche einen materiellen Einfluss auf die Erbringung der ausgelagerten Services haben.
- Alle per Januar 2025 bestehenden Verträge sind im Informationsregister auch nach Vertragskündigung für fünf Jahre vorzuhalten. Wenn eine Vertragsauflösung bevorsteht, sollte diese bestenfalls noch bis 31.12.2024 erfolgen, um der Aufbewahrungsfrist zu entgehen.
- Die Meldung des Informationsregisters erfolgt über das MVP-Portal (Melde- und Veröffentlichungsplattform) der BaFin. Eine Registrierung hierfür ist direkt bei der BaFin möglich und sollte frühzeitig erfolgen.
Weitere Hinweise und ein FAQ finden Sie auf den Seiten der EBA
Informationsregister vs. bestehende Regularien
Die BaFin hat nochmals bestätigt, dass heutige Regularien bestehen bleiben. Somit behalten das Auslagerungsregister nach MaRisk und weitere Anforderungen nach wie vor ihre Gültigkeit. Die BAIT jedoch soll mit Anwendung der DORA in 2025 aufgehoben werden – gleiches gilt für die weiteren XAIT-Vorgaben. Die heutigen EBA Guidelines für Outsourcing werden derzeit durch die europäische Aufsicht überarbeitet – eine erneute Veröffentlichung ist kurzfristig nicht zu erwarten.
BaFin fordert Informationsregister ab Januar 2025 an
In einem Workshop vom 20. und 21. Juni 2024 informierte die BaFin die betroffenen Finanzunternehmen über die Anforderungen an das Informationsregister. Sie betonte dabei, dass davon auszugehen sei, dass die europäische Aufsicht mit Anwendung der DORA ab Mitte Januar 2025 die BaFin mit der Einholung der Informationsregister beauftragen wird. Damit ist klar: Ab Januar 2025 ist zu erwarten, dass die BaFin sich bei allen Finanzinstituten ankündigen wird und ein vollständig ausgefülltes und stimmiges Informationsregister erwartet.
Nutzung von Best-Practices und Ausfüllhilfen
Severn unterstützt bereits zahlreiche Kunden in der Befüllung des Informationsregisters gemäß DORA-Vorgaben. Kunden profitieren dabei von bewährten Vorlagen, Ausfüllanleitungen und Maßnahmen zur Qualitätssicherung, um die Erwartungen der Aufsicht erfüllen und sich bestens auf Januar 2025 vorzubereiten.
Gerne steht Ihnen Norman Nehls für eine erste Kontaktaufnahme und für weitere Fragen zur Verfügung.
Nehmen Sie Kontakt zu unseren Experten auf!