DE EN

Datenpotential des DORA-Informationsregisters

14/10/2025

Datenpotential des DORA-Informationsregisters

Die DORA (Digital Operational Resilience Act) ist eine Verordnung der Europäischen Union zur Stärkung der digitalen Resilienz im Finanzsektor und trat im Januar 2025 in Kraft. Sie betrifft Finanzinstitute und deren Dienstleister, indem sie Anforderungen an das IKT-Risikomanagement, Vorfallmeldungen, Tests und den Umgang mit Drittanbietern stellt.

Im Rahmen der Umsetzung der Verordnung (EU) 2022/2554 (DORA) wurde ein Projektteam unseres Unternehmens von einem deutschen Finanzinstitut unter anderem damit beauftragt, das Risikomanagement bei der taxonomischen und inhaltlichen Erstellung des meldepflichtigen Informationsregisters zu unterstützen.

Nach Artikel 28 Absatz 3 der DORA sind Finanzinstitute dazu verpflichtet, ein Informationsregister zu führen. Das Informationsregister bildet nach vorgegebener Taxonomie eine Übersicht über sämtliche Verträge mit Dienstleistern der Informations- und Kommunikationstechnologie (IKT), sog. IKT-Drittdienstleister, die dem Finanzinstitut IKT-Dienstleistungen bereitstellen. Über die aggregierte Auswertung aller Informationsregister der betroffenen Finanzinstitute möchte die EU und nationale Aufsichtsbehörden, Abhängigkeiten, Konzentrationsrisiken und kritische IKT-Drittdienstleister der europäischen sowie nationalen Finanzbranche identifizieren.

Der Nutzen auf europäischer und nationaler Ebene ist eindeutig, aber inwieweit kann ein Finanzinstitut, welches ohnehin durch die regulatorischen Vorgaben der DORA ein Informationsregister erstellen und zyklisch melden muss, daraus einen Mehrwert für das eigene Risikomanagement generieren. Um diese Frage zu beantworten, zeigt dieser Beitrag das Datenpotential des Informationsregisters auf und stellt Key Insights für Finanzinstitute heraus.

Struktur und Inhalte des Informationsregisters

Das Informationsregister folgt einer vorgegebenen tabellarischen Struktur und Inhalten, die sich wie folgt aufbauen:

Jeder Stichpunkt wird taxonomisch als eigenes Tabellenblatt des Informationsregisters dargestellt.

  • allgemeine Informationen über das Finanzinstitut
  • allgemeine Informationen zu in Konsolidierung befindlichen Unternehmen (bei möglicher konsolidierter Meldung des Informationsregisters)
  • allgemeine Informationen zu den vertraglichen Vereinbarungen
  • spezifische Informationen zu den vertraglichen Vereinbarungen
  • Angaben zu den Verbindungen zwischen gruppeninternen vertraglichen Vereinbarungen und vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, die nicht der Gruppe angehören
  • Informationen über die Unternehmen, die vertragliche Vereinbarungen mit den IKT-Drittdienstleistern unterzeichnen
  • Angabe der IKT-Drittdienstleister, die vertragliche Vereinbarungen unterzeichnen
  • Angabe der Unternehmen, die vertragliche Vereinbarungen für andere zum Konsolidierungskreis gehörende Unternehmen unterzeichnen
  • Angaben zu den Unternehmen, die von den IKT-Drittdienstleistern bereitgestellte IKT-Dienstleistungen in Anspruch nehmen
  • Angaben zu den direkten IKT-Drittdienstleistern und deren Unterauftragnehmern
  • Angaben zu IKT-Dienstleistungsketten der Verträge, die eine kritische oder wichtige Unternehmensfunktion unterstützen
  • Angaben zur Identifizierung der Unternehmensfunktionen des Finanzinstituts
  • Angaben zur Bewertung der von IKT-Drittdienstleistern erbrachten IKT-Dienstleistungen, die eine kritische oder wichtige Unternehmensfunktion unterstützen
  • Informationen über die von Finanzinstitut beim Ausfüllen des Informationsregister verwendeten Terminologien

Zusammengefasst sammelt ein Finanzinstitut Daten zur eigenen Organisationsstruktur, Geschäftsfunktionen, vertraglichen IKT-Dienstleistungen sowie den entsprechenden IKT-Drittdienstleistern und deren dienstleistungsbezogenen Subunternehmern. Dies beinhaltet Daten zu Identifikationsmerkmalen der vertraglichen IKT-Dienstleistungen und den entsprechenden IKT-Drittdienstleistern, Kritikalität von Verträgen und Geschäftsfunktionen, den Grad der Abhängigkeit von Geschäftsfunktionen zu einzelnen IKT-Dienstleistungen, Dienstleistungsarten, jährliche vergangene sowie prognostizierte Kosten je Dienstleister und vertraglicher Vereinbarung, Standortinformationen der IKT-Drittdienstleister und eine hierarchische Darstellung der Subunternehmerkette eines IKT-Drittdienstleisters.

Datenaufbereitung

Jedoch liegen diese Daten nach der Taxonomie der DORA in unterschiedlichen Tabellenblättern und sind für eine Datenanalyse unzureichend aufbereitet und modelliert. Für die Entwicklung des Datenmodells müssen eindeutig zu referenzierende Variablen identifiziert werden, sogenannte Primärschlüssel, die Datensätze zwischen Tabellenblätter relationieren und somit Daten über Tabellenblätter hinweg auswertbar machen. Durch die Datenmodellierung stellen sich Variablen heraus, die sich kategorisch nach Primärschlüssel für die Datenanalyse eignen.

Im Informationsregister konnten wir drei Primärschlüssel identifizieren:

  • Vertrag
  • vertragliche IKT-Dienstleistung
  • IKT-Drittdienstleister

Dementsprechend können Daten auf Ebene von einzelnen Verträgen mit IKT-Drittdienstleistern, einzelnen vertraglichen IKT-Dienstleistungen sowie IKT-Drittdienstleistern als Vertragspartner des Finanzinstituts analysiert werden.

Für die Datenanalyse ermöglicht das Datenmodell, folgende Inhalte je Primärschlüssel darzustellen:

Vertrag:

  • Art der vertraglichen Vereinbarung
  • Jährliche Kosten für das zurückliegende Jahr
  • Kritikalität des Vertrags
  • IKT-Drittdienstleister als Vertragspartner

Vertragliche Dienstleistung:

  • Organisationseinheit, welche die vertragliche Dienstleistung in Anspruch nimmt
  • IKT-Drittdienstleister als Leistungserbringer
  • Geschäftsfunktion, welche die vertragliche Dienstleistung unterstützt
  • Kritikalität der Geschäftsfunktion
  • Die DORA-Leistungsart (vorgegebene Leistungskategorie der DORA)
  • Grad der Abhängigkeit der Geschäftsfunktion von der vertraglichen Dienstleistung
  • Standort der Leistungserbringung
  • Standort der Datenspeicherung
  • Standort der Datenverwaltung
  • Sensibilität der vom IKT-Drittdienstleister gespeicherten Daten

IKT-Drittdienstleister:

  • Verträge mit einem IKT-Drittdienstleister
  • kritisch-wichtige Verträge mit einem IKT-Drittdienstleister
  • vertraglicher IKT-Dienstleistungen je IKT-Drittdienstleister
  • kritisch-wichtiger vertraglicher IKT-Dienstleistungen je IKT-Drittdienstleister
  • unterstützte Geschäftsfunktionen
  • unterstützte kritisch-wichtige Geschäftsfunktionen

Anhand dieser Informationen können in der folgenden Datenanalyse Häufigkeiten und Verteilungen dargestellt werden, um Abhängigkeiten und Konzentrationsrisiken im eigenen Unternehmen zu identifizieren.

Datenanalyse

Im Projekt konnten über die Datenanalyse auf Basis des zugrunde liegenden Datenmodells wesentliche Erkenntnisse zu den bestehenden Abhängigkeiten des Finanzinstituts von IKT-Drittdienstleistern gewonnen werden.

Somit konnte ein Überblick über die Häufigkeiten von aktiven IKT-Verträgen, den enthaltenden vertraglichen IKT-Dienstleistungsarten, IKT-Drittdienstleistern als Vertragspartner und Geschäftsfunktionen gegeben werden. Dabei wurde innerhalb der Häufigkeiten die relative Verteilung des Kritikalitätsgrads miteinbezogen. Eine Rangliste an IKT-Drittdienstleistern, welche die meisten kritisch-wichtigen Geschäftsfunktionen mit dem Großteil an vertraglichen IKT-Dienstleistungen wesentlich oder vollständig unterstützen, konnte aufzeigen, zu welchen IKT-Drittdienstleistern die höchsten Abhängigkeiten bestehen.

Des Weiteren machte eine relative Verteilung zu Datenspeicherungstandorten deutlich, bei wie vielen kritisch-wichtigen IKT-Dienstleistungen, außerhalb der EU und dem EWR Daten gespeichert und verarbeitet werden.

Zuletzt konnten wir im Rahmen einer Kostenanalyse je eine Rangliste für die höchsten IKT-Gesamtausgaben des letzten Jahres nach IKT-Einzelverträgen und für die höchsten voraussichtlichen jährlichen IKT-Gesamtausgaben nach IKT-Drittdienstleistern als Vertragspartner erzeugen.

Fazit

Das Informationsregister bringt von Grund auf kein hinreichendes Datenmodell für aussagekräftige Datenerkenntnisse mit sich. Zudem gibt es viele Variablen, die in diesem Beitrag ausgegliedert wurden, da diese der Datenanalyse im Bereich des Risikomanagements nicht von Nutzen wären.

Jedoch ergibt sich nach Datenaufbereitung und Entwicklung des aufgezeigten Datenmodells für das Risikomanagement eines Finanzinstituts großes Potential für eine Datenanalyse im Kontext von Abhängigkeiten und Konzentrationsrisiken bei IKT-Drittdienstleistern, deren Ergebnisse beispielsweise im internen Berichtswesen Anwendung finden können.

 

Nutzen Sie das volle Potential Ihres Informationsregisters und generieren Sie aus meldepflichtigen Daten wertvolle Insights für Ihr Unternehmen.

Sprechen Sie uns als erfahrener Ansprechpartner zu diesem Thema gerne an und lassen Sie uns in den Austausch gehen (mail@complion.de).



Verfasser: Florian Müller