Das DORA-Informationsregister: Schlüssel zur operationellen Resilienz im Finanzsektor

Mit der Einführung des Digital Operational Resilience Act (DORA) wird für Finanzunternehmen ein Informationsregister verpflichtend. Ziel ist es, die Risiken aus der Abhängigkeit von IKT-Drittdienstleistern zu minimieren und die operationelle Resilienz nachhaltig zu stärken.
Das Register dient als zentrale Übersicht aller Verträge und Beziehungen mit IKT-Dienstleistern, die kritische oder wichtige Funktionen unterstützen.

MiCA: Die neue Ära der Kryptowährungsregulierung

Überblick: DORA-Informationsregister und seine Bedeutung

BaFin und DORA

Die BaFin hat klare Anforderungen an das Informationsregister formuliert. Ab Januar 2025 müssen Unternehmen die Register jährlich einreichen.
Meldepflichten, Formate (z. B. standardisierte Excel-Vorlagen) und Fristen sind genau vorgegeben.

➡ Mehr Infos:

Europäische Aufsichtsbehörden & technische Standards

Die EBA, ESMA und EIOPA (die „ESAs“) arbeiten gemeinsam an technischen Standards, die für eine einheitliche Umsetzung des DORA-Informationsregisters sorgen – insbesondere bei der Erfassung kritischer IKT‑Dienstleister.

➡ Mehr Infos:

ESMA – Register Information Templates Illustration
(Vorlagen und Strukturmodelle für das Informationsregister)
EBA – Vorbereitung auf DORA-Reporting
(Toolkit, Dry-Run-Materialien & Reporting-Vorlagen)

Ziel und Zweck des Registers

Laut Artikel 28 Abs. 3 DORA müssen Finanzunternehmen ein umfassendes Informationsregister führen, das:

Alle IKT-Dienstleistungen und deren Verträge erfasst (intern wie extern)
Unterauftragnehmer in der gesamten Auslagerungskette berücksichtigt
Die Überwachung und Risikobewertung kritischer IKT-Dienstleister erleichtert

Das Register soll von den Aufsichtsbehörden jederzeit angefordert werden können und dient zur Bewertung der Resilienz der Finanzindustrie gegenüber Cyberangriffen oder IT-Ausfällen.

Anforderungen an Aufbau und Inhalte

Das Register muss kontinuierlich gepflegt und regelmäßig aktualisiert werden. Erfasst werden:

Kritische oder wichtige Funktionen und deren Bewertung
Verträge mit internen und externen IKT-Dienstleistern
Unterauftragnehmer in der Kette der Auslagerung

Hinweis: Die Reichweite des Registers geht über klassische Auslagerungsregister hinaus – erfasst werden auch sonstige IKT-Dienstleistungen, die kritische Funktionen unterstützen.

DORA-Informationsregister – Inhalte und Beispiele

Kategorie	Beschreibung	Beispiele
Kritische Funktionen	Operative oder geschäftliche Funktionen, deren Ausfall wesentliche Auswirkungen auf die Geschäftsabläufe hätte.	Handelsplattform, Zahlungsabwicklung, Kernbankensysteme
IKT-Dienstleister	Externe oder interne Anbieter, die kritische oder wichtige Funktionen unterstützen.	Cloud-Anbieter, Rechenzentren, IT-Sicherheitsdienstleister
Unterauftragnehmer	Dienstleister, die vom Haupt-IKT-Dienstleister beauftragt werden.	Datenbackup-Provider, spezialisierte Softwareentwickler
Vertragsdetails	Relevante Vertragsinformationen zu Leistungsumfang, SLA, Kündigungsfristen und Sicherheitsauflagen.	SLA-Vereinbarungen, Datenschutzklauseln, Audit-Rechte
Regelmäßige Aktualisierung	Pflicht zur laufenden Pflege und Anpassung bei Änderungen.	Änderung des Cloud-Providers, neue Unterauftragnehmer

Meldepflichten und Prozesse

Jährliche Meldung an die nationale Aufsichtsbehörde (BaFin)
Nutzung von standardisierten Vorlagen
Dry-Runs zur Prozessoptimierung vor dem Start
Frühzeitige Registrierung der Melder bei der BaFin

Handlungsanweisungen für Finanzunternehmen

Kritische Funktionen identifizieren
Detaillierte Analyse aller Betriebs- und IT-Prozesse durchführen.
Alle relevanten IKT-Dienstleister erfassen
Verträge und Leistungsketten vollständig dokumentieren.
Regelmäßige Aktualisierung
Änderungen – besonders in der Unterauftragskette – zeitnah einpflegen.
Kooperation mit der BaFin
Fristen einhalten, Änderungen melden, Vorlagen korrekt nutzen.
IT-Umsetzung vorbereiten
Systeme für Erfassung und Meldung anpassen, Testläufe durchführen.
Schulung & Sensibilisierung
IT, BCM und Risikomanagement auf die Anforderungen vorbereiten.

Fit für DORA mit S+P Seminaren

Die Umsetzung der DORA-Anforderungen – einschließlich des Informationsregisters – erfordert aktuelles Fachwissen und praxisnahe Strategien.
Unsere S+P Seminare für Information Security Officer sowie der Lehrgang Resilience Officer bereiten dich gezielt auf die neuen regulatorischen Pflichten vor.

Deine Vorteile:

Praxisnahe Umsetzungstipps von erfahrenen DORA-Experten
Vorlagen und Tools für ein vollständiges Informationsregister
Verständnis für EBA-, ESMA- und EIOPA-Standards
Austausch mit Fachkollegen aus Finanz- und Wertpapierbranche

➡ Jetzt Platz sichern und optimal vorbereitet in die DORA-Umsetzung starten.

Jetzt Platz sichern

Fazit: Informationsregister als Resilienz-Booster

Das DORA-Informationsregister ist ein zentrales Steuerungsinstrument für die digitale Resilienz im Finanzsektor.
Durch die strukturierte Erfassung aller IKT-Dienstleister und deren Unterauftragnehmer können Risiken gezielt bewertet und minimiert werden.

Frühzeitige Planung, strukturierte Prozesse und das nötige Know-how sind der Schlüssel, um die gesetzlichen Vorgaben einzuhalten und die Resilienz gegen technologische Risiken zu stärken.

Eine starke Marke für deine Zertifizierung – S+P Certified

Weltweites Netzwerk: Verbinde dich mit einem globalen Netzwerk von Fachleuten.

Flexible Online-Prüfung: Lege deine Multiple Choice-Prüfung bequem in einer Online-Umgebung ab.

Schneller Qualifikationsnachweis: Erhalte in nur 45 Minuten ein markenrechtlich geschütztes Zertifikat.

Karrierefördernd: Gib deiner Karriere einen internationalen Impuls mit S+P Certified.