Der Countdown läuft: Am 17. Januar 2025 tritt der Digital Operational Resilience Act (DORA) in Kraft, und der Finanzsektor bereitet sich intensiv auf die neuen Anforderungen vor. DORA ist aktuell das dominierende Thema in der Branche – das zeigte auch die große Resonanz auf die BaFin-Konferenz “IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?” vom 26. September 2024. Tausende Teilnehmende informierten sich über die letzten Schritte zur Umsetzung. Ein zentrales Instrument in der Praxisumsetzung von DORA ist das Informationsregister. In diesem Beitrag erfahren Sie, worum es beim Informationsregister geht, wie Sie es erstellen und warum die richtige Herangehensweise entscheidend ist, um die Anforderungen fristgerecht und effizient zu erfüllen.
Was ist das Informationsregister nach DORA?
Das Informationsregister nach DORA ist eine standardisierte zentrale Datenbank, in der alle vertraglichen Vereinbarungen eines Finanzunternehmens mit IKT-Drittdienstleistern erfasst werden. Es enthält detaillierte Informationen zu den genutzten IKT-Dienstleistungen, den Dienstleistern sowie den unterstützten Geschäfts- und Betriebsfunktionen. Das Register ermöglicht eine systematische Überwachung von Abhängigkeiten und Risiken, die durch den Einsatz von IKT-Drittanbietern entstehen, und dient der Bereitstellung dieser Informationen an die zuständigen Aufsichtsbehörden. Es umfasst alle IKT-Dienstleistungen, jedoch müssen besonders kritische oder wichtige Funktionen detaillierter aufgeführt werden.
Hauptnutzen:
- Für Finanzunternehmen: Das Informationsregister unterstützt die Unternehmen dabei, alle vertraglichen Abhängigkeiten von IKT-Dienstleistungen systematisch zu erfassen und zu überwachen. Dies erleichtert das Risikomanagement, verbessert die Transparenz in Bezug auf kritische IKT-Drittdienstleister und ermöglicht eine bessere Vorbereitung auf potenzielle IKT-bezogene Vorfälle.
- Für den gesamten Finanzsektor: Das Informationsregister ermöglicht Aufsichtsbehörden, die Abhängigkeiten von Finanzinstituten zu IKT-Drittanbietern umfassend zu überwachen und kritische Dienstleister zu identifizieren. Dadurch können systemische Risiken frühzeitig erkannt und Maßnahmen zur Sicherstellung der digitalen Resilienz im gesamten Finanzsektor koordiniert werden.
Wie erstellen Sie ein DORA-konformes Informationsregister?
Die Erstellung eines DORA-konformen Informationsregisters erfolgt in vier wesentlichen Schritten:
- Identifikation kritischer und wichtiger Funktionen: Bestimmen Sie zunächst, welche operativen und geschäftlichen Funktionen für den Erhalt des Geschäftsbetriebs und die Erfüllung regulatorischer Anforderungen entscheidend sind.
- Erfassung der IKT-Drittdienstleister: Erfassen Sie alle Dienstleister, die IKT-Dienstleistungen bereitstellen, und dokumentieren Sie die vertraglichen Details und Abhängigkeiten.
- Erfassung der IKT-Dienstleistungen: Erfassen Sie sämtliche IKT-Dienstleistungen und ordnen Sie diese den identifizierten kritischen oder wichtigen Funktionen zu.
- Bündeln der Informationen: Tragen Sie die gesammelten Informationen in die von DORA vorgegebenen Standardvorlagen ein, um eine einheitliche Berichterstattung zu gewährleisten.
Warum Excel nicht ausreicht
Viele Unternehmen setzen für die Verwaltung des Informationsregisters zunächst auf Excel, da es als schnelle und kostengünstige Lösung erscheint. Doch in der Praxis zeigt sich, dass Excel für die langfristige Verwaltung eines solch komplexen und dynamischen Registers schnell an seine Grenzen stößt:
- Begrenzte Skalierbarkeit: Mit wachsender Komplexität des Unternehmens wird die Pflege eines Informationsregisters in Excel unübersichtlich und schwer zu handhaben (PwC, 2023).
- Sicherheitsrisiken: DORA verlangt strenge Sicherheitsvorkehrungen, um sensible Daten zu schützen. Excel bietet jedoch nur rudimentäre Sicherheitsfunktionen (EBA, 2023).
- Fehlende Versionierung und Konsistenz: In Excel ist es schwierig, Änderungen nachzuvollziehen und Konsistenz zu gewährleisten, insbesondere wenn mehrere Personen gleichzeitig daran arbeiten (BaFin, 2024b).
- Hoher manueller Aufwand und Fehleranfälligkeit: Das Zusammenführen und Konsolidieren von Daten aus verschiedenen Quellen ist zeitaufwendig und durch menschliche Fehler anfällig.
Die Vorteile unserer toolgestützten Lösung
Um den Anforderungen von DORA gerecht zu werden und das Informationsregister effizient zu verwalten, sollten Unternehmen auf eine toolgestützte Lösung setzen. Diese bietet folgende Vorteile:
- Automatisierung: Reduzieren Sie manuelle Eingaben und minimieren Sie Fehler durch automatisierte Prozesse.
- Zentrale Datenverwaltung: Anstatt in verschiedenen Excel-Dateien zu arbeiten, können alle Beteiligten über eine zentrale Plattform auf das aktuelle Informationsregister zugreifen.
- Erhöhte Sicherheit: Toolgestützte Lösungen wie die GRC Toolbox bieten fortschrittliche Sicherheitsfunktionen, um den Schutz sensibler Daten gemäß DORA sicherzustellen (European Commission, 2023).
Fazit
Das Informationsregister ist ein essenzieller Bestandteil der DORA-Anforderungen und wird zum Dreh- und Angelpunkt für die digitale Resilienz von Finanzdienstleistern. Angesichts des bevorstehenden Inkrafttretens von DORA und der zunehmenden Relevanz des Themas ist es für Unternehmen entscheidend, jetzt die richtigen Schritte zu unternehmen. Wer frühzeitig auf eine strukturierte und effiziente Lösung setzt, ist bestens gerüstet, um den neuen regulatorischen Anforderungen nicht nur gerecht zu werden, sondern langfristig von den gewonnenen Erkenntnissen zu profitieren.
Möchten Sie mehr darüber erfahren, wie Sie Ihr Informationsregister effizient und DORA-konform gestalten können? Kontaktieren Sie uns gerne für weitere Informationen zu den Lösungen von Swiss GRC. Sie können auch direkt einen Discovery Call buchen, um herauszufinden, wie wir Ihr Unternehmen unterstützen können: swissgrc.com/discoverycall.
Weiterführende Informationen
- BaFin (2023) Anforderungen an IT-Systeme im Finanzsektor, BaFin.
- BaFin (2024a) IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?
- BaFin (2024b) DORA und die Anforderungen an das Informationsregister.
- European Banking Authority (2024) DORA Dry Run FAQ.
- European Commission (2023) DORA Implementation Guidelines.
- European Union (2023) DORA Legislative Text.
- PwC (2023) Herausforderungen beim Einsatz von Excel in der Compliance.
- PwC (2024) FAQ zum Informationsregister und DORA.