Avaloq Vermögensmanagement
STRATEGIE3. September 2024

Die Uhr tickt: Das DORA-Informationsregister

Hartmut Renz und zwei seiner Kollegen von Strateco geben Auskunft zu dem gemäß DORA neu aufzustellenden Informationsregister.
RA Hartmut T. Renz ist Partner Regulatory & Compliance Advisory bei StratecoStrateco

Der vor ein paar Wochen aufgetretene, weltweite Ausfall teils kritischer Rechner­systeme im Zusammen­hang mit dem Cyber­sicherheits­anbieter Crowdstrike zeigt auf eindrückliche Art und Weise, welche Auswirkungen Klumpenrisiken im IT-Bereich haben (können).

von Hartmut Renz, Roger Thiel und Sebastian Barth, Strateco

Die Identifikation und Mitigation genau solcher Klumpenrisiken im Finanz­dienstleistungs­sektor ist daher ein wesentliches Ziel des neu aufzustellenden Informations­registers gemäß Artikel 28 Abs. 3 des Digital Operational Resilience Act (DORA). Als zentrales Element des Dritt­partei­risiko­managements für Informations- und Kommunikationstechnologie-Dienstleister („IKT-Dienstleister“) müssen Unternehmen ein umfassendes Register aller Drittparteivertragsbeziehungen führen und aktualisieren.

Roger Thiel ist Director Regulatory & Compliance Advisory bei Strateco<q>Strateco
Roger Thiel ist Director Regulatory & Compliance Advisory bei StratecoStrateco

Das Informationsregister soll im Wesentlichen drei Aufgaben erfüllen:

1.Unterstützung des internen Risikomanagements

2.Information für die Aufsichtsbehörden, insbesondere bezüglich IKT-Konzentrationsrisiken

3.Bestimmung der kritischen IKT-Drittdienstleister durch die europäischen Aufsichtsbehörden.

Aktuell ist davon auszugehen, dass das Informationsregister zeitnah zum Inkrafttreten von DORA, also nach dem 17. Januar 2025 abgefragt werden wird.”

Sebastian Barth ist Senior Manager Data & Analytics Advisory bei Strateco
Sebastian Barth ist Senior Manager Data & Analytics Advisory bei StratecoStrateco

Aufgrund des knappen Zeitrahmens und der inhaltlichen Herausforderungen, die insbesondere aus dem Umfang der zu meldenden Beziehungen und der komplexen Datenstruktur entstehen, stellt die Umsetzung erhebliche Anforderungen an die durch DORA betroffenen Institute. Daher ist eine ganzheitliche Betrachtung notwendig. Sie erfordert eine enge Zusammenarbeit zwischen IT, Compliance, Risikomanagement und Fachabteilungen. Nur durch eine abteilungsübergreifende und holistische Herangehensweise können Synergien genutzt und Redundanzen vermieden werden.

Umfang des Informationsregisters

Grundsätzlich sind alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zu erfassen. Dies betrifft neben Verträgen zur Bereitstellung von Software, Cloud-Dienstleistungen, Datenzentren und Netzwerkinfrastruktur (ohne Telekommunikationsdienste) insbesondere auch Dienstleistungen der IT-Beratung und der Datenanalyse.

Hierbei sind nicht nur die direkten Vertragspartner in das Register aufzunehmen, sondern die gesamte Auslagerungskette bis zum ersten IKT-Dienstleister außerhalb der Gruppe des berichtenden Unternehmens.”

Unterstützt die IKT-Dienstleistung eine kritische oder wichtige Unternehmensfunktion (gem. DORA, Artikel 3, Punkt 22), müssen zusätzlich alle für die Bereitstellung der IKT-Dienstleistung kritischen weiteren Dienstleister (IKT-Unterauftragnehmer gem. DORA, Artikel 3, Punkt 28) entlang der weiteren Auslagerungskette erfasst werden. Der Final Report zum Regulatory Technical Standard, der dies konkretisiert, wurde vor Kurzem veröffentlicht. Diese Integration der weiteren Stufen in das Register stellt eine zusätzliche Komplexität dar.

Grafik. Präsentation DORA Informationsregister, Quelle: BaFin
Präsentation DORA InformationsregisterBaFin

Struktur des Informationsregisters

Das Informationsregister gemäß DORA erfordert eine umfangreiche und präzise Erfassung und Verwaltung der Daten.

Herausforderungen sind im Wesentlichen:

Komplexe Datenstruktur:

Das Register umfasst 15 Templates mit über 100 Attributen, die über verschiedene Schlüssel wie Vertragsnummern, Legal Entity Identifier (LEI), Funktionsbezeichner und Zweigstellen-Codes untereinander verknüpft sind.”

Zusätzliche Komplexität und die Gefahr inkonsistenter Datenlieferungen entstehen durch die in der vorgegebenen Datenstruktur enthaltenen redundanten Beziehungen zwischen einzelnen Entitäten. Die Datenstruktur ist also (auch) insofern nicht normalisiert. Zwar gibt das vom Joint Committee of the European Supervisory Authorities (ESAs) herausgegebene Schaubild (siehe unten) einen ersten Eindruck von der erwarteten Struktur, in der Praxis ist aber eine saubere Entity-Relationship-Modellierung zwingend notwendig.

Differenzierte Datenerfassung:

Nicht alle Attribute sind für jeden IKT-Datensatz relevant.”

Es gibt Unterschiede zwischen kritischen und nicht-kritischen Funktionen, die die Datenerfassung komplexer machen.

Kontinuierliche Aktualisierung: Die Daten müssen ständig aktuell gehalten und bis zu fünf Jahre nach Beendigung der Leistungsbeziehung ausgewiesen werden.

Grafik: Structure of the Register of Information (Quelle: Final Report on Draft ITS on Register of Information) - Struktur des Informationsregisters
Structure of the Register of InformationFinal Report on Draft ITS on Register of Information

Auslagerungsregister nach MaRisk ausreichend? Weit gefehlt.

Auslagerungsregister nach MaRisk und Informationsregister gemäß DORA unterscheiden sich unter anderem in folgenden Punkten:

Die Autoren
RA Hartmut T. Renz ist Partner Regulatory & Compliance Advisory bei Strateco (Website). Er war zu­vor in ver­ant­wort­li­chen Lei­tungs­funk­tio­nen un­ter an­de­rem bei der DZ Bank AG, Hela­ba, LBBW und Ci­ti­group tä­tig.

Roger Thiel ist Di­rec­tor Re­gu­la­to­ry & Com­p­li­an­ce Ad­vi­so­ry bei Stra­te­co (Website). Vor sei­ner ak­tu­el­len Po­si­ti­on sam­mel­te er um­fang­rei­che Er­fah­rung als Key-Ac­count-Ma­na­ger beim Bank-Ver­lag so­wie in ver­schie­de­nen Rol­len bei der Dresd­ner Bank und Credit Su­is­se. Er hat zu­dem ei­nen Ab­schluss in Wirt­schafts­wis­sen­schaf­ten von der Jo­hann Wolf­gang Goe­the-Uni­ver­si­tät Frank­furt am Main.

Sebastian Barth ist Se­ni­or Ma­na­ger Da­ta & Ana­ly­tics Ad­vi­so­ry bei Stra­te­co (Website). Er war zu­vor bei ei­ner Big Four so­wie bei ei­nem CRM-Soft­ware-Ent­wick­ler tä­tig.

Einträge ins Informationsregister beziehen sich ausschließlich auf IKT-relevante Dienstleistungen, hier aber wie oben beschrieben auf alle.

Die Einteilung erfolgt nicht mehr in sonstiger Fremdbezug, nicht wesentliche und wesentliche Auslagerungen, sondern in die Kategorien Unterstützung kritischer oder wichtiger Funktionen und keine Unterstützung kritischer oder wichtiger Funktionen. Die Inhalte folgen damit einer anderen Logik.

Die vorgeschriebene Struktur des Informationsregisters ist, wie oben beschrieben, deutlich komplexer als die des Auslagerungsregisters.

Welche Vorgehensweise empfiehlt sich?

Neben der allgemeinen Projektvorgehensweise sind bei der Implementierung des Informationsregisters gemäß DORA spezifische Punkte zu beachten, die eine reibungslose und vollständige Erfüllung der regulatorischen Anforderungen sicherstellen:

Analyse der Anforderungen auf Basis der Informationen von BaFin (Website) und der europäischen Aufsicht (Website) inklusive Beobachtung der Kommunikation der Aufsicht (u. a. hinsichtlich MVP-Anmeldung, Anpassungen Datenmodell u. Ä.)

Bestandsaufnahme: Erfassung aller relevanten IKT-Verträge unter Beachtung der gruppeninternen Beziehungen und der kritischen und/oder wichtigen Funktionen des Instituts

Technologieeinsatz: Implementierung einer geeigneten Software-Lösung zur Verwaltung des Informationsregisters

Etablierung einer kontinuierlichen Überwachung: Regelmäßige Überprüfung und Aktualisierung des Registers

Aufgrund des Umfangs und der Komplexität sowie des engen Zeitfensters sollte das Thema Informationsregister bei Finanzinstituten die entsprechende Priorität auf der Agenda haben.Hartmut Renz, Roger Thiel und Sebastian Barth, Strateco

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/215287

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert