Einige Finanzunternehmen, darunter Kreditinstitute, Zahlungsdienstleister und E-Geldinstitute, sind aufgrund bestehender Regulatorik bereits von umfangreichen Dokumentations- und Berichtspflichten betroffen – unter anderem durch die EBA-Leitlinien, die ein „zentrales“ Register aller Auslagerungen fordern. Mit dem Digital Operational Resilience Act (DORA), der ab 17. Januar 2025 EU-weit umgesetzt sein muss, verschärfen sich die bestehenden Vorgaben im Bereich Cybersicherheit. So sind alle Finanzunternehmen nun verpflichtet, überdies ein Informationsregister aufzusetzen, das sämtliche bezogenen IT-Dienstleistungen enthält.
Die Überschneidungen, die sich aus beiden Registern ergeben, können die Verantwortlichen zu ihrem Vorteil nutzen, wenn sie auf die richtigen, digitalen Tools setzen.
Bekannte Berichtspflichten aus EBA-Leitlinien
Das Berichten von Auslagerungen ist Banken, Zahlungsdienstleistern und E-Geldinstituten bereits aus den EBA-Leitlinien bekannt. Am 25. Februar 2019 hat die Europäische Bankenaufsichtsbehörde (European Banking Authority, EBA) dazu die finale Version der „Guidelines on Outsourcing“ (EBA/GL/2019/02) veröffentlicht. Diese sind seit 30. September 2019 wirksam und fordern dazu auf, „ein aktualisiertes Register mit Informationen über alle Auslagerungsvereinbarungen auf Institutsebene sowie gegebenenfalls auf teilkonsolidierter und konsolidierter Basis zu unterhalten und alle bestehenden Auslagerungsvereinbarungen angemessen zu dokumentieren“. Dieses Auslagerungsregister ist stets zu warten und auf Aufforderung der Behörde bereitzustellen.
Welche Informationen in welchem Detailgrad vorzuhalten sind, hängt von der Höhe des Auslagerungsrisikos ab. Ist eine kritische oder wesentliche Funktion betroffen, benötigt es neben den Mindestanforderungen zudem eine ausgeweitete Risikoanalyse, aktuelle Revisionsberichte sowie Exit-Strategien und alternative Provider.
Neue Vorgaben durch DORA
DORA vertieft jene Anforderungen an das Berichtswesen der bezogenen IT-Services. So müssen sämtliche Finanzunternehmen (darunter auch Versicherungen, Wertpapierfirmen oder Krypto-Dienstleister) in einem Informationsregister detaillierte Angaben zu ihren IKT-Drittdienstleistern festhalten. Die genauen Inhalte und die Struktur der Berichte geben die technischen Implementierungsstandards (ITS) vor, die die ESAs (Europäische Aufsichtsbehörden) basierend auf der EU-Verordnung vorgelegt haben. Ähnlich wie bei den EBA-Leitlinien ist auch bei DORA eine Einstufung der kritischen oder wichtigen Funktionen vorzunehmen. Eine der wesentlichen Neuerungen ist, dass die Dokumentation der IKT-Dienstleister nicht nur deren Subunternehmen beinhaltet, sondern auch die gesamten Lieferketten.
Ziel: Redundanzen vermeiden
Der inhaltliche Überschneidungsgrad von Informations- und Auslagerungsregister ist sehr hoch. So enthalten beide Register teilweise sehr ähnliche oder gar dieselben Informationen: Beispielsweise die vollständige Auflistung der Auslagerungsverträge; Vertragsmetadaten wie Laufzeit und Kündigungsfristen; Lieferanteninformationen wie Name, Adresse, LEI (falls vorhanden) und Konzernstrukturen; Wesentlichkeits- und Kritikalitätsbewertungen sowie Angaben zur Auslagerung (z. B. Funktion und Art/Zuordnung).
Dennoch fällt in der Praxis die Verantwortung für die zwei Register häufig in vollkommen unterschiedliche Zuständigkeitsbereiche. Dies bedeutet doppelten Arbeitsaufwand und kann bei fehlender Abstimmung zu Übertragungsfehlern und Redundanzen führen. Da die Aufsicht in beiden Fällen derselben Behörde obliegt (in Deutschland der BaFin, in Österreich der FMA), könnte es daher passieren, dass Firmen unterschiedliche Informationen zu derselben Auslagerung berichten.
Notwendige Querschnittsdisziplin
Um bei der Umsetzung der regulatorischen Vorgaben Synergien zu schaffen, muss daher eine Abstimmung zwischen Auslagerungs- und Informationsregister stattfinden. Finanzunternehmen sind dabei gefordert, das Silodenken innerhalb der Abteilungen zu durchbrechen und die unterschiedlichen Stakeholder, die über die benötigten Informationen im Betrieb verfügen, in einem digitalen Workflow zu integrieren. Dafür müssen die Verantwortlichen einen Single Point of Truth inklusive durchgängiger Geschäftsprozesse schaffen.
Fabasoft DORA bietet die Möglichkeit, den gesamten Auslagerungszyklus inklusive des erforderlichen Berichtswesens zu automatisieren. Mithilfe eines smarten Datenmodells bildet die standardisierte Software digitale Prozesse ab, die sich an der Ablauforganisation des Finanzunternehmens orientieren. Die unterschiedlichen Akteur:innen greifen auf eine einheitliche Datenbasis zu und generieren auf Knopfdruck die gewünschten Prüfberichte wie das Auslagerungs- und das Informationsregister gemäß den regulatorischen Vorgaben.
Sie möchten mehr darüber erfahren, wie Sie eine standardisierte Software bei der Umsetzung von DORA unterstützt? Entdecken Sie die Vorteile von Fabasoft DORA: www.fabasoft.com/dora
