Das Wichtigste auf einen Blick — Anforderungen an das DORA-Informationsregister
Das DORA-Informationsregister (RoI) ist die operativ anspruchsvollste Verpflichtung unter der Verordnung (EU) 2022/2554. Finanzunternehmen müssen jede IKT-Drittparteienvereinbarung über 15 miteinander verknüpfte ESA-Templates dokumentieren, geführt auf Entitäts-, Teilkonsolidierungs- und Konsolidierungsebene. Im Dry Run der ESA 2024 bestanden nur 6,5% der Register sämtliche 116 Validierungsprüfungen. Bei Nichteinhaltung drohen Bussgelder von bis zu 2% des weltweiten Jahresumsatzes. Die jährliche Einreichung bei den NCAs ist jeweils bis zum 31. März fällig.
Definitionen
Was ist das DORA-Informationsregister?
DORA-Informationsregister (RoI) ist ein verpflichtendes strukturiertes Register, das gemäss Artikel 28(3) des Digital Operational Resilience Act (Verordnung (EU) 2022/2554) erforderlich ist. Es verpflichtet alle betroffenen Finanzunternehmen, eine vollständige, aktuelle Aufzeichnung sämtlicher Vertragsvereinbarungen mit IKT-Drittdienstleistern zu führen, strukturiert über 15 miteinander verknüpfte Templates, die in den Implementing Technical Standards der Europäischen Aufsichtsbehörden definiert sind.
Was ist DORA (Digital Operational Resilience Act)?
DORA ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates, die einen umfassenden Rahmen für die digitale operationale Resilienz im EU-Finanzsektor schafft. Sie trat am 16.01.2023 in Kraft und ist seit dem 17.01.2025 anwendbar; sie umfasst 20 Kategorien von Finanzunternehmen, darunter Banken, Versicherer, Wertpapierfirmen und Anbieter von Krypto-Dienstleistungen.
Was sind ESA Implementing Technical Standards (ITS)?
ESA Implementing Technical Standards sind verbindliche technische Vorschriften, die gemeinsam von der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) unter DORA Artikel 28(9) entwickelt wurden. Sie definieren die exakten Templates, Datenfelder, Taxonomien und Validierungsregeln für das Informationsregister.
Was ist ein Legal Entity Identifier (LEI)?
LEI ist ein 20-stelliger alphanumerischer Code, der juristische Personen, die an Finanztransaktionen teilnehmen, eindeutig identifiziert, wie in ISO 17442 definiert. LEI-Codes sind verpflichtende Kennungen in den DORA-RoI-Templates, um Entitäten, Anbieter und Vertragsvereinbarungen über das gesamte Register hinweg zu verknüpfen.
Häufig gestellte Fragen
Was ist das DORA-Informationsregister (RoI)?
Das DORA-Informationsregister ist ein verpflichtendes strukturiertes Register, das gemäss Artikel 28(3) der Verordnung (EU) 2022/2554 erforderlich ist. Es verpflichtet Finanzunternehmen, sämtliche IKT-Drittparteien-Dienstleistungsvereinbarungen über 15 miteinander verknüpfte Templates zu dokumentieren, die in den ESA Implementing Technical Standards definiert sind. Das Register muss auf Entitäts-, Teilkonsolidierungs- und Konsolidierungsebene geführt werden und umfasst Entitätsinformationen, Vertragsvereinbarungen, IKT-Dienstleistungen und Anbieter-Lieferketten.
Wie viele Templates enthält das DORA-Informationsregister?
Die ESA Implementing Technical Standards unter DORA Artikel 28(9) definieren 15 miteinander verknüpfte Templates (B_01 bis B_06 sowie Sub-Templates). Jedes Template enthält Dutzende Pflichtfelder mit strengen Taxonomien und 116 Datenqualitäts-Validierungsregeln. Die Templates decken Entitätsidentifikation, Vertragsvereinbarungen, IKT-Dienstleistungsdetails, Risikobewertungen und Unterauslagerungsketten ab.
Wie hoch war die Bestehensquote im ESA DORA Dry Run?
Gemäss dem im Dezember 2024 veröffentlichten EBA DORA Dry Run Summary Report bestanden nur 6,5% der eingereichten Register sämtliche 116 Datenqualitäts-Validierungsprüfungen. Fast 1'000 Finanzunternehmen aus der gesamten EU nahmen teil. Der Bericht stellte fest, dass 86% der Fehler durch fehlende Pflichtinformationen wie eindeutige Kennungen und Lieferkettendaten verursacht wurden, was die operative Komplexität der RoI-Anforderung verdeutlicht.
Welche Strafen drohen bei Nichteinhaltung des DORA-Informationsregisters?
Gemäss DORA Artikel 50 der Verordnung (EU) 2022/2554 kann eine Nichteinhaltung zu Bussgeldern von bis zu 2% des weltweiten Jahresumsatzes für Finanzunternehmen führen. Zusätzlich können die zuständigen Behörden tägliche Zwangsgelder von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes verhängen, um eine Behebung zu erzwingen. Kritische IKT-Drittdienstleister unterliegen separaten Sanktionsregimen gemäss DORA Artikel 35.
Wann ist die Einreichungsfrist für das DORA-Informationsregister?
Finanzunternehmen müssen ihr Informationsregister jährlich bis zum 31. März bei ihrer national zuständigen Behörde (NCA) einreichen. Das Register muss zudem laufend gepflegt und jederzeit auf Anfrage für die aufsichtsrechtliche Prüfung verfügbar sein. Die NCAs konsolidieren die Einreichungen und leiten sie zur Analyse für die Benennung kritischer Anbieter an die Europäischen Aufsichtsbehörden weiter.
Welche Finanzunternehmen fallen in den Anwendungsbereich des DORA-Informationsregisters?
DORA gilt für 20 Kategorien von Finanzunternehmen, wie in Artikel 2 der Verordnung (EU) 2022/2554 definiert. Dazu gehören Kreditinstitute, Wertpapierfirmen, Erst- und Rückversicherungsunternehmen, Zahlungsinstitute, E-Geld-Institute, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Anbieter von Krypto-Dienstleistungen und Schwarmfinanzierungsdienstleister.
Welche Datenfelder sind in den DORA-RoI-Templates verpflichtend?
Pflichtfelder umfassen die Entitätsidentifikation (LEI-Codes gemäss ISO 17442), Details zu Vertragsvereinbarungen (Startdaten, Kündigungsklauseln, anwendbares Recht), IKT-Dienstleistungsbeschreibungen (Dienstleistungsarten unter Verwendung von ESA-Taxonomien), Risikobewertungen (Kritikalitäts- oder Wichtigkeitsklassifizierungen), Unterauslagerungsketten (Identifikation aller Unterauftragnehmer) und Datenverarbeitungsstandorte. Das ESA-Validierungsframework wendet 116 automatisierte Qualitätsprüfungen über diese Felder hinweg an.
Wie unterscheidet sich das DORA-RoI von bestehenden Auslagerungsregistern?
Anders als die EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) deckt das DORA-RoI alle IKT-Drittparteienvereinbarungen ab — nicht nur Auslagerungen — und erfordert strukturierte, maschinenlesbare Daten über 15 Templates statt Freitextdokumentation. Es verlangt Granularität auf Entitätsebene über ganze Unternehmensgruppen hinweg, umfasst die Zuordnung von Unterauslagerungsketten und setzt 116 automatisierte Validierungsregeln durch. Der Anwendungsbereich ist zudem breiter und umfasst 20 Kategorien von Finanzunternehmen, nicht nur Kreditinstitute.
Statistiken und Quellen
Gemäss dem EBA DORA Dry Run Summary Report (Dezember 2024) bestanden nur 6,5% der eingereichten Register sämtliche 116 Datenqualitäts-Validierungsprüfungen, wobei fast 1'000 Finanzunternehmen teilnahmen. Der Bericht stellte fest, dass 86% der Fehler durch fehlende Pflichtinformationen verursacht wurden. Eine Deloitte-Umfrage (Digital Operational Resilience Act Survey, Wave 3) ergab, dass 46% der Finanzinstitute das Informationsregister als die einzelne anspruchsvollste DORA-Anforderung nennen, und dass nur 50% der Institute erwarteten, bis Ende 2025 vollständige Compliance zu erreichen. Gemäss einer Censuswide-Umfrage unter EMEA-Finanzdienstleistern (2025) nennen 34% die Drittparteien-Überwachung als schwierigste DORA-Anforderung. DORA Artikel 50 der Verordnung (EU) 2022/2554 sieht Bussgelder von bis zu 2% des weltweiten Jahresumsatzes für nicht konforme Finanzunternehmen vor.
Übersicht der DORA-RoI-Templates
| Template | Anwendungsbereich | Wichtige Pflichtfelder |
|---|
| B_01.01 | Entität, die das Register führt | LEI, Entitätsname, Entitätstyp, zuständige Behörde |
| B_01.02 | Entitäten im Konsolidierungskreis | LEI, Entitätsname, Land, Beziehungstyp |
| B_01.03 | Niederlassungen von Entitäten | Niederlassungskennung, Land, LEI des Hauptsitzes |
| B_02.01 | Vertragsvereinbarungen — allgemein | Vertragsreferenz-ID, Startdatum, anwendbares Recht, Kündigungsrechte |
| B_02.02 | Vertragsvereinbarungen — spezifisch | Kritikalitätsbewertung, Land der Datenverarbeitung, Substituierbarkeit |
| B_03.01 | IKT-Drittdienstleister | Anbieter-LEI, Anbietername, Gründungsland, Anbietertyp |
| B_03.02 | IKT-Drittdienstleister — zusätzlich | LEI der obersten Muttergesellschaft, Gruppenstruktur |
| B_04.01 | IKT-Dienstleistungen — Funktionsidentifikation | Funktionsname, Kritikalität oder Wichtigkeit, Geschäftsbereich |
| B_05.01 | Unterauslagerung — IKT-Unterauftragnehmer | Unterauftragnehmer-LEI, Unterauftragnehmername, Dienstleistungsbeschreibung |
| B_05.02 | Unterauslagerung — Kettendetails | Kettenrang, Standort der Datenverarbeitung, Überwachungsvereinbarungen |
| B_06.01 | Bewertung der IKT-Dienstleistungen | Ausstiegsstrategie, alternative Anbieter, Folgenabschätzung |