Artikel 28 Absatz 3 des Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen nicht nur zur Führung eines Informationsregisters, sondern umfasst zugleich weitere Einreichungs- und Anzeigepflichten. Das Register und die Anzeigepflichten erfüllen mehrere Funktionen. Das Informationsregister soll eine Übersicht über sämtliche Verträge mit Dienstleistern der Informations- und Kommunikationstechnologie (IKT), sog. IKT-Drittdienstleister, die dem Finanzunternehmen IKT-Dienstleistungen bereitstellen, darstellen. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, soll das Register nicht nur direkte IKT-Drittdienstleister umfassen, sondern auch sämtliche Unterauftragnehmer, die die Erbringung der IKT-Dienstleistung sicherstellen. Wenn ein gruppeninterner IKT-Dienstleister zur Erbringung seiner IKT-Dienstleistungen für das Finanzunternehmen Unterauftragnehmer nutzt, muss die IKT-Dienstleistungskette im Register zudem immer mindestens den ersten Unterauftragnehmer außerhalb der Gruppe umfassen, auch wenn die erbrachten IKT-Dienstleistungen keine kritischen oder wichtigen Funktionen unterstützen. Neben dem Informationsregister soll die Aufsicht insbesondere durch die Pflicht zur Anzeige des geplanten Abschlusses eines Vertrages über IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen auch unterjährig wichtige Informationen erhalten.

Die BaFin informiert über die Erstellung des Informationsregisters

Gemäß Artikel 28 Absatz 3 Unterabsatz 4 DORA müssen Finanzunternehmen der zuständigen Behörde das vollständige Informationsregister auf Verlangen zur Verfügung stellen. Da die Europäischen Aufsichtsbehörden (ESAs) die Register für die jährliche Einstufung kritischer IKT-Drittdienstleister benötigen, sieht Leitlinie 5 der Gemeinsamen Leitlinie über die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den Europäischen Aufsichtsbehörden vor, dass die zuständigen Behörden ihnen diese Register übermitteln.

Für 2025 haben die ESAs bereits in ihrer Decision of ESAs on reporting of information for CTPP designation präzisiert, dass sie eine Übermittlung der Register durch die zuständigen Behörden bis zum 30. April 2025 erwarten. Hierin sollen sämtliche Vertragsinformationen mit Stichtag 31. März 2025 enthalten sein. Finanzunternehmen unter Aufsicht der BaFin müssen die Informationsregister daher spätestens am 28. April 2025 erstmals an die BaFin übermitteln. Ab 2026 findet die Übermittlung der Register an die ESAs durch die zuständigen Behörden jeweils bis zum 31. März statt. Ab diesem Zeitpunkt gilt zudem, dass die Register sämtliche Vertragsinformationen mit Stichtag 31. Dezember des vorherigen Jahres umfassen müssen.

Die Übermittlung der Register an die BaFin erfolgt über die MVP der BaFin. Hierfür muss jedes Finanzunternehmen (sofern noch nicht im Rahmen der initialen Melderfreischaltung geschehen) seine vorgesehenen Melderinnen und Melder für das Fachverfahren „Digital Operational Resilience Act (DORA)“ freischalten lassen und innerhalb des Zeitraums vom 14. April bis zum 28. April 2025 eine Einreichung unter dem Formular „Informationsregister“ vornehmen. Informationen zum Fachverfahren sowie zur Melderfreischaltung finden Sie hier.

Finanzunternehmen müssen sich bei der Erstellung der Informationsregister an den Vorgaben der ESAs orientieren. Die Informationsregister müssen grundsätzlich als strukturierte Datei, die der Taxonomie der ESAs entspricht, eingereicht werden. Anders als im Rahmen des im Sommer 2024 durchgeführten Testlaufs gibt es für die reguläre Einreichung kein Konvertierungstool der ESAs. Die BaFin ist sich der Problematik der Konvertierung insbesondere für kleine Finanzunternehmen bewusst und wird daher zeitnah eine spezielle Excel-Vorlage auf dieser Seite veröffentlichen. Diese können Finanzunternehmen an Stelle einer strukturierten Datei befüllen, wobei die vorgegebene Struktur zwingend eingehalten werden muss. Alternativ zum Einreichen des Informationsregisters als strukturiere Datei können Finanzunternehmen so die ausgefüllte Excel-Vorlage über die MVP einreichen.

Grundsätzlich müssen Finanzunternehmen bei der Befüllung des Informationsregisters die von den ESAs veröffentlichten Validierungsregeln für die einzelnen Datenfelder beachten. Im Falle von Fehlern in den Registern oder nicht ausgefüllten Datenfeldern müssen Unternehmen damit rechnen, korrigierte Register einreichen zu müssen. Hierfür ist es erforderlich, den Status der Meldungen im MVP-Portal nachzuverfolgen. Das Dokument „DORA Informationsregister - Hinweise für die Einreichung über das BaFin MVP Portal“ enthält Erläuterungen zum konkreten Ablauf. Wenn die Einreichung von der ESAs akzeptiert wurde, wird dies entsprechend im Protokoll der Meldung im MVP-Portal angezeigt. Erst dann gilt die Meldepflicht als erfüllt. Durch den Weiterleitungsprozess an die ESAs kann es jedoch bis zu einigen Tagen dauern, bis die Meldung im Meldungsprotokoll der MVP erscheint. Sofern die ESAs die Einreichung zurückweisen, werden im MVP-Portal die beanstandeten Fehler aufgeführt. In einem solchen Fall sind die Fehler vom Finanzunternehmen unverzüglich zu beheben und das korrigierte Informationsregister ist erneut im MVP-Portal hochzuladen (mittels separater, neuer Meldung).

Die BaFin informiert über Anzeigepflichten zu Vereinbarungen über die Nutzung von IKT-Dienstleistungen

Neben der Einreichung des Informationsregisters umfasst Artikel 28 Absatz 3 DORA noch weitere Meldeverpflichtungen. Hierzu zählt

1. die Pflicht, der zuständigen Behörde einmal jährlich die Anzahl neuer Vereinbarungen über die Nutzung von IKT-Dienstleistungen inklusive weiterer Informationen zu den IKT-Drittdienstleistern und den bereitgestellten IKT-Dienstleistungen zu berichten (Artikel 28 Absatz 3 Unterabsatz 3 DORA)

   sowie

2. die Pflicht, die zuständige Behörde zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist, zu unterrichten (Artikel 28 Absatz 3 Unterabsatz 5 DORA).

Zu 1.: Aktuell geht die BaFin davon aus, dass mit der jährlichen Einreichung der Informationsregister diese Meldeverpflichtung erfüllt ist. Zur weiteren Entlastung der Finanzunternehmen plant die BaFin, diese Anzahl neuer IKT-Vertragsverhältnisse selbst zu ermitteln.

Zu 2.: Da die sektoralen Vorschriften zu Auslagerungen ergänzend zu den DORA-Vorgaben gelten, ist zu erwarten, dass es in einer Vielzahl von Fällen zu Überschneidungen von nach DORA anzeigepflichtigen vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen mit den nach den sektoralen Vorschriften anzeigepflichtigen (wesentlichen) Auslagerungen bzw. Ausgliederungen kommen wird¹.

Die BaFin setzt hier an, um Doppelmeldungen zu vermeiden und die Industrie zu entlasten. Maßgeblich ist dabei das MVP- Fachverfahren „Anzeige von Auslagerungen“, das die Finanzunternehmen bereits seit Ende 2022 nutzen. Das hierin enthaltene Formular wird derzeit überarbeitet und den Finanzunternehmen voraussichtlich im zweiten Quartal 2025 mit einer Angleichung an die derzeit geltenden Anzeigenverordnungen sowie einem DORA-Feld zur Verfügung stehen. Damit sollen Finanzunternehmen in diesen Fällen der doppelten Anzeigepflicht nur der Pflicht zur Anzeige der Auslagerung nachkommen. Das neu konzipiert Formular zu Anzeige von Auslagerungen im MVP-Portal wird zur gleichzeitigen Erfüllung der Anzeigepflicht nach Artikel 28 Absatz 3 Unterabsatz 5 DORA ein spezielles DORA-Feld vorsehen, mit dem sie durch Setzen eines einfachen Häkchens erklären, mit dieser Anzeige der sektoralen Vorschrift auch ihrer DORA-Anzeigepflicht nachzukommen.

In der Zeit ab dem 17. Januar 2025 und während der Aktualisierung des MVP-Formulars zur Anzeige von Auslagerungen werden die Finanzunternehmen gebeten, die Auslagerungs- bzw. Ausgliederungsanzeigen wie gewohnt über das MVP-Portal anzuzeigen und die Anzeige nach Artikel 28 Absatz 3 Unterabsatz 5 DORA nach der Aktualisierung des Formulars über eine Änderungsanzeige bzw. Updatemeldung nachzutragen. Die BaFin wird zu gegebener Zeit Workshops für die Industrie anbieten, in denen sie das neue MVP-Formular zur Anzeige von Auslagerungen erläutern und auch auf den Prozess zur nachträglichen Anzeige nach DORA eingehen wird.

In den Einzelfällen, in denen ein Finanzunternehmen die geplante vertragliche Vereinbarung zum Bezug einer Dienstleistung bzw. die Änderung hin zu einer kritischen oder wichtigen Funktion anzeigen muss, für die keine Auslagerungs- bzw. Ausgliederungsanzeige erforderlich ist, soll die BaFin über das hier verlinkte Excel-Formular informiert werden. Das ausgefüllte Excel-Formular ist per Mail an DORA-Informationsregister@bafin.de zu senden. Beachten Sie in diesem Zusammenhang auch die Hinweise zur gesicherten E-Mail-Kommunikation.

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.