Zum Inhalt springen
Resilience Platform Resilience Platform

DORA Chapter VI

Information Register as a Transparency Instrument.

The information register makes ICT dependencies and risks transparent for supervisors and the institution. Regulated activities and EBA identifiers are central data quality anchors.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • Das Informationsregister erfasst alle IKT-Drittdienstleistungen mit Zuordnung zu regulierten Tätigkeiten.
  • Genehmigte / regulierte Tätigkeiten werden mit Code of Licensed Activity und EBA-Identifikatoren abgebildet.
  • Datenqualitätskontrollen, Verantwortlichkeiten und Fehlerprotokolle sichern die Vollständigkeit und Korrektheit.
  • Review-Zyklen und Einreichungsprozesse sind dokumentiert und managementseitig gesteuert.

Sollzustand

  • IKT-Drittparteien und deren Leistungen sind im Register erfasst und regulierten Tätigkeiten zugeordnet.
  • Kritikalitätsbewertung und kwF-Relevanz sind dokumentiert.
  • EBA-Identifier sind für jede regulierte Tätigkeit hinterlegt.
  • Datenqualität und Aktualität sind durch regelmässige Kontrollen sichergestellt.
  • Einreichung an BaFin ist fristgerecht möglich.

Umsetzungsschritte

  • Registerstruktur und Datenmodell mit regulierten Tätigkeiten definieren.
  • Drittparteien-Inventar mit Leistungszuordnung aufbauen.
  • Code of Licensed Activity und EBA-Identifier integrieren.
  • Verantwortlichkeiten fuer Datenpflege und -qualität festlegen.
  • Datenqualitätskontrollen und Fehlerprotokolle etablieren.
  • Einreichungsprozess und Fristen managen.
  • Review-Zyklen für Registerdaten institutionalisieren.

Regulierte Tätigkeiten und Vertragsanbindung im Informationsregister

Genehmigte Tätigkeiten

Alle regulierten Tätigkeiten aus der Zulassung werden im Register erfasst und den IKT-Dienstleistungen zugeordnet.

Code of Licensed Activity

Standardisierte Codes für genehmigte Tätigkeiten ermöglichen die konsistente Abbildung im Meldewesen.

EBA-Identifier

EU-weit einheitliche Identifikatoren dienen als Datenqualitätsanker für das Informationsregister.

Datenqualität

Regelmässige Qualitätskontrollen, Fehlerprotokolle und Korrekturprozesse sichern die Registerdatenqualität.

IKT-Verträge Anbindung

Jeder IKT-Drittdienstleistung im Register sind die zugrunde liegenden Verträge zugeordnet, inklusive Kündigungsfristen, SLA-Parameter und Exit-Bedingungen.

Regulierte Tätigkeiten (DORA-RTA)

Die Zuordnung regulierter Tätigkeiten zu IKT-Dienstleistungen ist der zentrale Datenqualitätsanker des Informationsregisters und Voraussetzung für aufsichtsrechtliche Einreichungen.

Management-Zusammenfassung

  • Governance und Verantwortlichkeiten sind klar auf Management-Ebene verankert.
  • Risikobasierte Umsetzung und Nachweislogik sind verbindlich definiert.
  • Wesentliche Feststellungen werden regelmaessig in Steuerungsgremien berichtet.
  • Abweichungen werden mit Fristen, Ownern und Reifegradwirkung nachverfolgt.

Typische Lücken & ISO/IEC 27001-Verbindung

  • Unklare Ownership zwischen Fachbereichen, Auslagerungsmanagement und Informationsregister-Beauftragten.
  • Fehlende oder inkonsistente Zuordnung regulierter Tätigkeiten zu IKT-Dienstleistungen.
  • ISO/IEC 27001:2022 Bezug auf Rollen, Kontrollen, Lieferantensteuerung und kontinuierliche Verbesserung herstellen.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen, um DORA-Anforderungen in ein wirksames ISMS zu integrieren.

  • A.5 Informationssicherheitsrichtlinien und Governance
  • A.5.19 bis A.5.23 Lieferantenbeziehungen und Cloud-/Dienstleistersteuerung
  • A.5.24 bis A.5.27 Incident-, Continuity- und Lernprozesse
  • A.5.33 bis A.5.34 Dokumentation und Informationsregister
  • A.8 Technologische Kontrollen fuer Resilienz, Ueberwachung und Wiederherstellung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung