Informationsregister gemäß DORA: Was ist es und wie erstellt man es richtig?

Gefällt Ihnen dieser Beitrag? Teilen Sie ihn auf Social Media!
Ein zentrales Instrument in der Praxisumsetzung von DORA ist das Informationsregister.

Der Countdown läuft: Am 17. Januar 2025 tritt der Digital Operational Resilience Act (DORA) in Kraft, und der Finanzsektor bereitet sich intensiv auf die neuen Anforderungen vor. DORA ist aktuell das dominierende Thema in der Branche – das zeigte auch die große Resonanz auf die BaFin-Konferenz “IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?” vom  26. September 2024. Tausende Teilnehmende informierten sich über die letzten Schritte zur Umsetzung. Ein zentrales Instrument in der Praxisumsetzung von DORA ist das Informationsregister. In diesem Beitrag erfahren Sie, worum es beim Informationsregister geht, wie Sie es erstellen und warum die richtige Herangehensweise entscheidend ist, um die Anforderungen fristgerecht und effizient zu erfüllen.

Was ist das Informationsregister nach DORA?

Das Informationsregister nach DORA ist eine standardisierte zentrale Datenbank, in der alle vertraglichen Vereinbarungen eines Finanzunternehmens mit IKT-Drittdienstleistern erfasst werden. Es enthält detaillierte Informationen zu den genutzten IKT-Dienstleistungen, den Dienstleistern sowie den unterstützten Geschäfts- und Betriebsfunktionen. Das Register ermöglicht eine systematische Überwachung von Abhängigkeiten und Risiken, die durch den Einsatz von IKT-Drittanbietern entstehen, und dient der Bereitstellung dieser Informationen an die zuständigen Aufsichtsbehörden. Es umfasst alle IKT-Dienstleistungen, jedoch müssen besonders kritische oder wichtige Funktionen detaillierter aufgeführt werden.

 Hauptnutzen:

  • Für Finanzunternehmen: Das Informationsregister unterstützt die Unternehmen dabei, alle vertraglichen Abhängigkeiten von IKT-Dienstleistungen systematisch zu erfassen und zu überwachen. Dies erleichtert das Risikomanagement, verbessert die Transparenz in Bezug auf kritische IKT-Drittdienstleister und ermöglicht eine bessere Vorbereitung auf potenzielle IKT-bezogene Vorfälle.
  • Für den gesamten Finanzsektor: Das Informationsregister ermöglicht Aufsichtsbehörden, die Abhängigkeiten von Finanzinstituten zu IKT-Drittanbietern umfassend zu überwachen und kritische Dienstleister zu identifizieren. Dadurch können systemische Risiken frühzeitig erkannt und Maßnahmen zur Sicherstellung der digitalen Resilienz im gesamten Finanzsektor koordiniert werden.

Wie erstellen Sie ein DORA-konformes Informationsregister?

Die Erstellung eines DORA-konformen Informationsregisters erfolgt in vier wesentlichen Schritten:

  1. Identifikation kritischer und wichtiger Funktionen: Bestimmen Sie zunächst, welche operativen und geschäftlichen Funktionen für den Erhalt des Geschäftsbetriebs und die Erfüllung regulatorischer Anforderungen entscheidend sind.
  2. Erfassung der IKT-Drittdienstleister: Erfassen Sie alle Dienstleister, die IKT-Dienstleistungen bereitstellen, und dokumentieren Sie die vertraglichen Details und Abhängigkeiten.
  3. Erfassung der IKT-Dienstleistungen: Erfassen Sie sämtliche IKT-Dienstleistungen und ordnen Sie diese den identifizierten kritischen oder wichtigen Funktionen zu.
  4. Bündeln der Informationen: Tragen Sie die gesammelten Informationen in die von DORA vorgegebenen Standardvorlagen ein, um eine einheitliche Berichterstattung zu gewährleisten.

Warum Excel nicht ausreicht

Viele Unternehmen setzen für die Verwaltung des Informationsregisters zunächst auf Excel, da es als schnelle und kostengünstige Lösung erscheint. Doch in der Praxis zeigt sich, dass Excel für die langfristige Verwaltung eines solch komplexen und dynamischen Registers schnell an seine Grenzen stößt:

  • Begrenzte Skalierbarkeit: Mit wachsender Komplexität des Unternehmens wird die Pflege eines Informationsregisters in Excel unübersichtlich und schwer zu handhaben (PwC, 2023).
  • Sicherheitsrisiken: DORA verlangt strenge Sicherheitsvorkehrungen, um sensible Daten zu schützen. Excel bietet jedoch nur rudimentäre Sicherheitsfunktionen (EBA, 2023).
  • Fehlende Versionierung und Konsistenz: In Excel ist es schwierig, Änderungen nachzuvollziehen und Konsistenz zu gewährleisten, insbesondere wenn mehrere Personen gleichzeitig daran arbeiten (BaFin, 2024b).
  • Hoher manueller Aufwand und Fehleranfälligkeit: Das Zusammenführen und Konsolidieren von Daten aus verschiedenen Quellen ist zeitaufwendig und durch menschliche Fehler anfällig.

Die Vorteile unserer toolgestützten Lösung

Um den Anforderungen von DORA gerecht zu werden und das Informationsregister effizient zu verwalten, sollten Unternehmen auf eine toolgestützte Lösung setzen. Diese bietet folgende Vorteile:

  • Automatisierung: Reduzieren Sie manuelle Eingaben und minimieren Sie Fehler durch automatisierte Prozesse.
  • Zentrale Datenverwaltung: Anstatt in verschiedenen Excel-Dateien zu arbeiten, können alle Beteiligten über eine zentrale Plattform auf das aktuelle Informationsregister zugreifen.
  • Erhöhte Sicherheit: Toolgestützte Lösungen wie die GRC Toolbox bieten fortschrittliche Sicherheitsfunktionen, um den Schutz sensibler Daten gemäß DORA sicherzustellen (European Commission, 2023).

Fazit

Das Informationsregister ist ein essenzieller Bestandteil der DORA-Anforderungen und wird zum Dreh- und Angelpunkt für die digitale Resilienz von Finanzdienstleistern. Angesichts des bevorstehenden Inkrafttretens von DORA und der zunehmenden Relevanz des Themas ist es für Unternehmen entscheidend, jetzt die richtigen Schritte zu unternehmen. Wer frühzeitig auf eine strukturierte und effiziente Lösung setzt, ist bestens gerüstet, um den neuen regulatorischen Anforderungen nicht nur gerecht zu werden, sondern langfristig von den gewonnenen Erkenntnissen zu profitieren.

Möchten Sie mehr darüber erfahren, wie Sie Ihr Informationsregister effizient und DORA-konform gestalten können? Kontaktieren Sie uns gerne für weitere Informationen zu den Lösungen von Swiss GRC. Sie können auch direkt einen Discovery Call buchen, um herauszufinden, wie wir Ihr Unternehmen unterstützen können: swissgrc.com/discoverycall.

Weiterführende Informationen

Picture of Dr. Fino Scholl

Dr. Fino Scholl

Dr. Fino Scholl ist Managing Director der Swiss GRC Germany GmbH. Mit seiner umfassenden Expertise in der Implementierung von GRC-Lösungen und der Leitung komplexer Projekte trägt er maßgeblich zur Weiterentwicklung und Stärkung von Swiss GRC in Deutschland bei.
Picture of Dr. Fino Scholl

Dr. Fino Scholl

Dr. Fino Scholl ist Managing Director der Swiss GRC Germany GmbH. Mit seiner umfassenden Expertise in der Implementierung von GRC-Lösungen und der Leitung komplexer Projekte trägt er maßgeblich zur Weiterentwicklung und Stärkung von Swiss GRC in Deutschland bei.

Alles zur GRC Toolbox

Sie wünschen mehr Informationen rund um unsere Lösungen oder möchten die GRC Toolbox in einer kostenlosen Demo ansehen?

Nach Tags suchen

UPDATES & NEWS

Swiss GRC Blog

Der vom Weltwirtschaftsforum veröffentlichte Chief Risk Officers Outlook 2024 zeichnet ein klares Bild einer zunehmend volatilen globalen Landschaft. Chief Risk Officers (CROs) stehen vor noch nie dagewesenen Herausforderungen, von wirtschaftlicher Instabilität bis hin zu sich schnell entwickelnden Cyber-Bedrohungen.
DORA ist aktuell das dominierende Thema in der Branche – das zeigte auch die grosse Resonanz auf die BaFin-Konferenz "IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?". Ein zentrales Instrument in der Praxisumsetzung von DORA ist das Informationsregister.
Der Swiss GRC Day 2024 unterstrich eindrucksvoll, wie essentiell eine adaptive, methodologische und technologiegestützte Strategie für das Risikomanagement in einer komplexen, dynamischen und digitalisierten Welt ist.

Für Neuigkeiten & Updates

Abonnieren Sie jetzt unseren Newsletter

Erhalten Sie News und Trends zu Governance, Risk & Compliance (GRC) mit unserem Newsletter. Wir informieren Sie monatlich über aktuelle Themen, Events wie der SWISS GRC DAY und spannende Fachartikel.