DORA Informationsregister

360°-Lösung: Solution und Consulting

100 % Fehlerfreiheit

EBA Update vom 17.12.2024 inkludiert
Alle 178 Validierungen automatisiert testen
Quellsysteme per API/Excel anbinden

Komfortable Aktualisierung des Registers
Effizienz durch Best Practice-Prozesse
Import bestehender Register per Klick

Automatisiert an die BaFin melden

Teilkonsolidierter und konsolidierter Export
Automatisiert an BaFin melden/archivieren
Revisionssichere Versionierung

Von Mehrwerten profitieren

Übersichtlicher Fehlerbericht
Konzentrationsrisiko steuern
Compliance automatisieren

DORA Informationsregister – Erste Meldung für alle Institute zum 11.4.2025

Ein zentrales Ziel von DORA besteht in der risikobasierten Steuerung von IKT-Drittparteien. Hierzu müssen Finanzinstitute alle fremdbeauftragten IKT-Dienstleistungen in einem komplexen Format, dem DORA Informationsregister, melden. Die Meldepflicht besteht für alle IKT-Dienstleistungen, die regelmäßig für interne und externe Nutzer bereitgestellt werden. Die europäische Finanzaufsicht verlangt die erste Meldung aller Informationsregister von der BaFin zum 30.4.2025. Die BaFin hat den 11.4.2025 als spätesten Endtermin für alle Finanzinstitute kommuniziert. Zu diesem Termin müssen alle von der BaFin regulierten Finanzinstitute ihr Informationsregister bei der BaFin eingereicht haben.

Für diese Meldung ist der am 2.12.2024 im Amtsblatt der EU-Kommission veröffentlichte Durchführungsstandard 2024/2956 zu berücksichtigen. Das maßgebliche Datenmodell und die Regeln, auf die die Aufsicht alle eingereichten Informationsregister prüft, wurden von der EBA am 17.12.2024 veröffentlicht.

Diese Seite beschreibt wesentliche Fakten zum Informationsregister sowie unser Leistungsangebot. Hierdurch erfüllen unsere Kunden alle regulatorischen Pflichten und generieren wertvolle Mehrwerte.

Konkreter Handlungsbedarf nach dem 17.12.2024

1. Institute müssen das alte Datenmodell des Informationsregisters in das neue überführen. Typischerweise halten Institute ihr Register in dem Format des Testlaufs („Dry Run“) der Europäischen Finanzaufsicht vor. In Bezug auf dieses Datenmodell sind drei Felder zur eindeutigen Kennzeichnung der IKT-Dienstleister zu ergänzen.

2. Falls Institute neben den Codes der Dry Run-Vorlage Angaben in Klartext in ihren Registern führen, sind diverse Bezeichnungen und Listen anzupassen.

3. Alle Informationsregister werden nach Einreichen durch die Aufsicht einem automatisierten Test unterzogen. Hierfür sind 178 Validierungsregeln maßgeblich, die am 17.12.2024 von der Europäischen Finanzaufsicht veröffentlicht wurden. Der gesamte Datenbestand ist in Bezug auf die Validierungsregeln zu testen. Aufgrund der Vielzahl der Regeln und der typischerweise vorliegenden hohen Komplexität des Datenbestands ist ein automatisierter Test notwendig.

4. Durch die obigen Tests wird ein formal 100 % fehlerfreies Register sichergestellt. Bei einigen Mängeln verweigert die Aufsicht die Annahme des Registers. Andere Fehler werden unmittelbar nach dem Einreichen mit der Auflage zur Bereinigung an das meldende Institut kommuniziert.

Die 360°-Lösung für das DORA Informationsregister in Kürze

Wir empfehlen die Umsetzung der DORA-Anforderungen zum Informationsregister durch vollautomatisierte IT-Dienste. Hierfür bieten wir die Applikation IQRegister an, die den gesamten Lebenszyklus von der erstmaligen Erstellung, über den automatisierten Test aller Validierungen bis zur automatisierten Meldung an die BaFin abdeckt. Falls neben IQRegister weitere Unterstützung notwendig ist, erbringen wir gerne eine (strategische) Beratung bzw. operative Unterstützung. Eine Optimierung und Aktualisierung des Informationsregisters erfolgen durch spezialisierte Professional Services, entweder in Ihren IT-Systemen oder in unserer eigenen Solution IQRegister.

Die 360°-Lösung IQRegister vermeidet konsequent Doppeleingaben. So wird z.B. die in neun Datenfeldern geforderte Vertragsnummer genau einmal eingegeben. Neben einer Aufwandsersparnis vermeidet dieses Vorgehen unnötige Fehleingaben, die zu Qualitätsverlusten und Mehrarbeit führen. Ihre vorhandenen Datenquellen werden optimal genutzt. Dies kann in einer intelligenten API-basierten Anbindung oder einem halbautomatischen Export-/Import bestehen. Jede der Aufsicht gemeldete Version des Informationsregisters wird revisionssicher archiviert. Unterschiede zwischen Versionen können automatisiert erkannt und dadurch gegenüber Auditoren einfach erläutert werden.

Konzerne melden ihre IKT-Dienstleister konsolidiert sowie gegebenenfalls je Tochter teilkonsolidiert. Die jeweiligen Sichten werden auf Knopfdruck aus der führenden Datenbasis ohne Fehlerpotenzial erstellt.

Unternehmen auf hohen Reifegraden profitieren von einer KI-basierten Erkennung logischer Fehler, die über die 178 Validierungsregeln der Aufsicht hinausgeht.

Die oben beschriebenen Vorteile werden entweder auf Basis unserer Solution IQRegister oder durch Best Practice-Abläufe auf Basis Ihrer IT-Systeme erzielt. Entscheidend ist Ihr Bedarf: Die erbrachte Leistung besteht in einer kapazitativen Unterstützung, Beratung und/oder der Bereitstellung unserer Solution. Gerne unterstützen wird den gesamten Lebenszyklus oder Teile hiervon.

Die Webseite der Applikation IQRegister erreichen Sie über diesen Link. Zu grundsätzlichem Beratungsbedarf im Thema IT-Compliance können Sie sich hier informieren.

Die Solution IQRegister

IQRegister ist die Software Solution für den gesamten Lebenszyklus des Informationsregisters. Dadurch werden ein minimaler Aufwand bei der Erstellung des Informationsregisters sowie eine bestmögliche Datenqualität erzielt. IQRegister kann komfortabel als webbasierte SaaS auf „Knopfdruck“ bezogen werden. Je nach speziellem Anwendungsfall ist jedoch auch ein On-Prem Betrieb möglich. Die Philosophie der Software besteht darin, dass nur nicht digital verfügbare Informationen manuell erfasst werden. Jedes Datenfeld wird genau einmal gespeichert und für die an die Aufsicht zu meldende Version bzw. Versionen an die jeweils notwendigen Stellen dupliziert. Die Semantik der zu tätigenden Eingaben wird durch eine interaktive Hilfe bestmöglich unterstützt.

IQRegister ist multiuser- und mehrmandantenfähig. Es werden höchste Ansprüche in Bezug auf IT-Sicherheit, z.B. durch eine durchgängige Ende-zu-Ende-Verschlüsselung bei Datenspeicherung und -übertragung auf Basis von starken Algorithmen, erfüllt.

Mehrwerte und Vorteile

Jede Information einmal eingeben und automatisch duplizieren
Validität aller Daten sofort bei Import bzw. Eingabe prüfen
Workflowgestützte Anlage und Vervollständigung der Datensätze
Vorhandene Datenquellen automatisiert anbinden
Jede gemeldete Version automatisch versionieren
Unterschiede zwischen gemeldeten Versionen automatisch erkennen
Konzentrationsrisiko automatisch berechnen und visualisieren
Weiterverlagerungsketten auf Knopfdruck hinterlegen
….

Diskutieren Sie Ihre Bedarfe

Buchen Sie ein erstes kostenloses 30-minütiges Beratungsgespräch mit unseren Experten. Je nach Ihrer Aufgabenstellung führt das Gespräch ein erfahrener Managementberater, Software Architekt oder Prozessspezialist.

Testzugang IQRegister

Schalten Sie Ihren Testzugang für IQRegister frei. Die Zugangsdaten erhalten Sie innerhalb von 24 Stunden.

IQRegister als Teil einer leistungsstarken Drittparteien-Software

IQRegister ist ein wesentlicher Teil unserer Software IQThird Party zum Drittparteienmanagement und Drittparteienrisikomanagement. Die weiteren Kernfunktionen bestehen in einer multidimensionalen Analyse des Konzentrationsrisikos, der erstmaligen und regelmäßigen Risikoanalyse von Drittparteien, einem harmonisierten Auslagerungs- und Informationsregister sowie in automatisierten regulatorischen Workflows. Ein Beispiel für einen regulatorischen Workflow ist die mindestens jährliche Kenntnisnahme des Konzentrationsrisikos durch den verantwortlichen Vorstand. Die Funktionen decken dabei sowohl die neuen DORA-Anforderungen als auch die bereits bestehenden Anforderungen aus KWG, BAIT und MaRisk ab.

IQRegister ist ein vollintegriertes Modul der Software IQThird Party, die das gesamte Themenspektrum und den Lebenszyklus des Drittparteienmanagements abdeckt. Jedoch ist auch der alleinige Bezug möglich. Die Integration in komplexe IT-Umgebungen erfolgt mit geringem Aufwand sowohl für IQRegister als auch für IQThird Party durch eine bidirektionale API-Schnittstelle.

DORA Informationsregister - Aktueller Stand

Letzte Aktualisierung: 15.1.2025

Das Informationsregister (kurz: Inforegister) ist eines der "Filetstücke" von DORA. Das Inforegister liefert eine Übersicht aller Informations- und Kommunikationsdienstleister (IKT-Dienstleister) des reportenden Unternehmens. Es ist in einem von der europäischen Aufsicht festgelegten Format zu berichten. Die bei dem Dry Run in 2024 verwendete Excel-Vorlage des Informationsregisters und weitere zugehörige Ressourcen finden Sie am Ende dieses Artikels. Die Excel-Vorlage des Dry Run stimmt nicht genau mit dem geforderten Zielformat überein. Es existiert keine Excel-Vorlage für die verbindlich abzugebende Meldung. Mit 108 Datenfeldern und 15 separaten Tabellen ist das von der Europäischen Finanzaufsicht geforderte Format umfangreich. Es deckt die folgenden sechs Themengebiete ab:

Verantwortliche und meldende Einheiten
Vertragsdaten
Auftragnehmer und Auftraggeber inkl. eventueller Konzernverflechtungen
Providerdaten
Funktionen/Prozesse
IKT-Dienste

Die Speicherung aller IKT-Dienstleistungen in einer Excel-Datei ist zulässig. Es ist typischerweise auf Ebene des gesamten Konzerns sowie gegebenenfalls für Tochterunternehmen separat bei der Aufsicht einzureichen. Für Tochterunternehmen mit teilweiser Beherrschung ist (gegebenenfalls) zusätzlich ein teilkonsolidiertes Register einzureichen.

Die folgende Grafik zeigt einen Auszug der im Informationsregister gespeicherten Inhalte für Vertragsdaten, Providerdaten und IKT-Dienste (Dry Run-Vorlage):

Die Verantwortlichkeit zur Anlage und dauerhaften Aktualisierung sowie Meldung resultiert aus DORA Art. 28 (3). Das Informationsregister ist mindestens einmal jährlich der verantwortlichen Aufsicht zu melden. In Deutschland geschieht dies über die Melde- und Veröffentlichungsplattform MVP der BaFin. Auf der entsprechenden Internetseite finden sich auch alle Hinweise für eine Erstregistrierung und die Folgeschritte.

Gemäß DORA Art. 28 (9) wird das Informationsregister durch einen technischen Durchführungsstandard detailliert. Dieser Standard ist 43 Seiten lang und enthält unter anderem die genaue Klassifikation der zu berücksichtigenden IKT-Dienstleistungen. Der Standard befand sich bis zum 2.12.2024 in dem Status "Entwurf", da es eine langlaufende Konsultationsphase gab. Zudem wurde der ursprünglich vorgelegte Entwurf von der EU-Kommission abgelehnt.

Am 31.5.2024 wurde ein Testlauf zum Informationsregister gestartet. Der Testlauf wurde von der Europäischen Finanzaufsicht durchgeführt. Der Testlauf endete offiziell am 31.10.2024 mit Feedback an die teilnehmenden Institute. Am 18. Dezember 2024 fand ein Bericht zur Datenqualität der im Rahmen des Testlaufs eingereichten Informationsregister statt.

Ca. 6,5 Prozent der teilnehmenden Institute durchliefen die Datenvalidierungen ohne Fehler. Weitere 50 % der Institute verstießen gegen weniger als fünf Validierungsregeln. Den ausführlichen Bericht über die Ergebnisse des Dry Run finden Sie hier.

Alle Institute müssen Ihre Meldung bis zum 11.4.2025 bei der BaFin einreichen.

Stellungnahme der EU-Kommission vom 23.7.2024

Die EU-Kommission teilt mit, dass sie den technischen Durchführungsstandard zum Informationsregister zurückweist, bzw. dies bedenkt. Beide Formulierungen kommen in der offiziellen Stellungnahme vor. Das wesentliche Argument hierfür besteht in der eindeutigen Kennung der IKT-Dienstleister. Der Durchführungsstandard sieht hierfür den Legal Entity Identifier (LEI) vor. Gemäß EU-Kommission soll die eindeutige Kennzeichnung (auch) durch den European Unique Identifier (EUID) erfolgen können. Dieser ist in einigen bereits bestehenden Direktiven die führende Kennung von Unternehmen und zudem kostenlos verfügbar.

Meldepflicht für Institute zum 11.4.2025 - Stellungnahme der EBA vom 15.11.2024

Die europäische Aufsicht teilte am 15.11.2024 in einer Stellungnahme auf ihrer Website mit, dass sie die vollständige Einreichung der Informationsregister durch die verantwortlichen Behörden spätestens bis zum 30.4.2025 erwartet. Es ist die Pflicht der jeweiligen nationalen Behörden, die Informationsregister von den meldepflichtigen Finanzinstituten im Vorfeld einzufordern. Für die Meldung sind die am 2.12.2024 und 17.12.2024 veröffentlichten Vorgaben maßgeblich. Der späteste Endtermin für die vollständige Meldung ihrer Informationsregister durch die Finanzinstitute an die BaFin ist der 11.4.2025.

2.12.2024 - Technischer Durchführungsstandard zum DORA Informationsregister final

Am 2.12.2024 wurde der finale technische Durchführungsstandard für das Informationsregister im Amtsblatt der EU-Kommission veröffentlicht. Damit sind die Anforderungen an die Erstellung, Aktualisierung und Meldung des Informationsregisters final konkretisiert.

Für die finale Version gibt es keine Excel-Vorlage. In dem Verständnis der Europäischen Finanzaufsicht stellen die Formatangaben des technischen Durchführungsstandards sowie die enthaltenen Listen die Vorlage dar. Auf Basis dieser Vorgaben sind die Institute von der Aufsicht angehalten, "den für sie geeigneten Weg zu wählen und über geeignete Technologien zu entscheiden".

17.12.2024 - Datenmodell und Prüfregeln für das Informationsregister final

Am 17.12.2024 wurde das finale Datenmodell auf der Seite der EBA veröffentlicht. Damit sind die Detailanforderungen an die Datentypen und -längen sowie die Validierungsregeln final spezifiziert.

Alle Meldungen der Informationsregister werden auf Basis von insgesamt 178 Validierungsregeln geprüft. Die Validierungsregeln unterteilen sich in 52 formale und 126 inhaltliche.

Das Meldeformat besteht in einem Zip-Ordner, der die 15 Tabellenblätter des Informationsregisters gemäß technischem Durchführungsstandard enthält. Die Daten sind dabei in 15 CSV-Dateien ohne Zusatz ("Plain CSV") zu speichern.

Ressourcen

Dry Run-Vorlage des Informationsregisters

Technischer Regulierungsstandard Inforegister

Melde- und Veröffentlichungsplattform der BaFin

Präsentation zum Testlauf des Informationsregisters

FAQ des Testlaufs zum Informationsregisters (29.7.2024)

Seite der European Banking Authority zum Inforegister

Cookie	Dauer	Beschreibung
__RequestVerificationToken	session	This cookie is set by web application built in ASP.NET MVC Technologies. This is an anti-forgery cookie used for preventing cross site request forgery attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_108126659_1	1 minute	Set by Google to distinguish users.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.