Dr. Nuriye Yildirim, LL.M., Fachanwältin für Bank- und Kapitalmarktrecht, Genossenschaftsverband Bayern e.V. (GVB)
Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (kurz: DORA) ist zum 17.01.2025 in Kraft getreten. Damit soll erreicht werden, dass alle Finanzunternehmen und mithin alle bayerischen Kreditgenossenschaften Sicherheitsvorkehrungen etablieren, um Cyber-Angriffe und andere Risiken der Informations- und Kommunikationstechnologie (IKT) abzuwehren. Dabei liegt es in der Natur der Sache, ein Augenmerk auch auf die Resilienz solcher Unternehmen zu richten, die den Finanzunternehmen IKT-Drittdienstleistungen bereitstellen. Denn die Nutzung der IKT-Drittdienstleister schafft nicht nur Abhängigkeiten, sondern bietet zusätzliche Angriffsfläche für Cyber-Angreifer auf die Tätigkeiten der Finanzunternehmen.
Für die Etablierung und Sicherstellung einer digitalen operationalen Resilienz hat der europäische Gesetzgeber in Art. 28 Abs. 3 Unterabsatz 1 DORA eine Verpflichtung der Finanzunternehmen zur Führung eines Informationsregisters vorgesehen, welches nach den Informationen der BaFin einmal jährlich, erstmalig zum 11.04.2025 zur Verfügung gestellt werden soll. Allerdings ist die Frist zur Einreichung des Informationsregisters nunmehr bis 28.04.2025 verlängert worden. Die BaFin übermittelt das Informationsregister sodann an die ESAs. Das Informationsregister soll alle Vertragsinformationen zum Stichtag 31.03.2025 enthalten. In Zukunft soll der Stichtag der 31.12. sein.
Identifikation der IKT-Drittdienstleister
Für die Angabe im Informationsregister muss das Finanzunternehmen zunächst eigenständig bestimmen, welche Funktionen in seinen Geschäftsprozessen ausgeübt werden und nach seiner Bewertung kritisch oder wichtig sind. Hierfür ist die IKT-Dienstleistung zu identifizieren und eine Einordnung des jeweiligen Dienstleisters als IKT-Drittdienstleister erforderlich. Dies betrifft sowohl interne als auch externe Dienstleister.
IKT-Dienstleistungen sind gemäß Art. 3 Abs. 20 DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardware-Dienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Die Dienstleistung muss zudem für eine Geschäftstätigkeit der Bank benötigt werden. Welche Dienstleistungen hierunter fallen, muss im Einzelfall entschieden werden.
Kritische oder wichtige Funktionen
Nach Art. 3 Nr. 22 DORA sind Funktionen kritisch oder wichtig, wenn ihr Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art bedeuten würde. Im Informationsregister sind bei Annahme einer kritischen oder wichtigen Funktion neben den unmittelbaren IKT-Dienstleistern weiter die Unterauftragnehmer anzugeben, bei denen eine Störung sich auf die Sicherheit und die Kontinuität der bereitgestellten IKT-Dienstleistung auswirken würde. Damit ist die IKT-Drittdienstleistungskette weitreichend. Wie weit die Dienstleistungskette im Einzelfall reicht, hängt von dem Einzelfall ab. Die BaFin hat die Anzeige von bis zu vier Unterauftragnehmern vorgesehen.
Auslagerungsrecht und DORA nebeneinander anwendbar
Die Vorschriften zu Auslagerungen gelten ergänzend zu den DORA-Anzeigepflichten. Die BaFin selbst geht davon aus, dass sich eine Vielzahl der anzuzeigenden Nutzungen von IKT-Drittdienstleistern zur Unterstützung kritischer oder wichtiger Funktionen mit den anzeigepflichtigen Auslagerungen etwa nach dem Kreditwesengesetz (KWG), dem Versicherungsaufsichtsgesetz (VAG), dem Zahlungsdiensteaufsichtsgesetz (ZAG), dem Kapitalanlagegesetzbuch (KAGB) und nach dem Wertpapierinstitutsgesetz (WpIG) überschneiden wird.
Wichtig zu erwähnen ist, dass eine Auslagerung bzw. eine Ausgliederung einer IKT nicht per se eine IKT-Dienstleistung darstellt, jedoch im Einzelfall gleichzusetzen sein kann. Dies führt dazu, dass das Informationsregister nach DORA über das Register zur Auslagerung in der Regel hinausgehen wird.
Mögliche Ausnahme für IKT-Dienstleistungen von Finanzunternehmen
Die BaFin hat in Anlehnung an die Q&A 2999 – DORA030 der ESAs zwei Ausnahmen von einer IKT-Dienstleistung in Aussicht gestellt. Demnach können IKT-Dienstleistungen von regulierten Finanzunternehmen sowie IKT-Dienstleistungen, die mit einer regulierten Finanzdienstleistung verbunden oder von dieser abhängig sind, vom Anwendungsbereich der DORA ausgenommen sein. In diesem Fall würde es sich nicht um IKT-Dienstleistungen nach DORA handeln. Finanzunternehmen nach DORA sind solche, die durch eine Finanzaufsichtsbehörde beaufsichtigt werden. Bisherige Anzeigepflichten zur Auslagerung und Ausgliederung bleiben hingegen unverändert bestehen.
Damit würde eine Erleichterung für bestimmte Dienstleistungen geschaffen werden, was zu begrüßen ist. Ob sich diese Auffassung im Ergebnis allerdings durchsetzen wird, bleibt abzuwarten. Einzelheiten zum Umfang der Erleichterung werden derzeit noch im Verbund abgestimmt.
Die BaFin überarbeitet derzeit die rechtlichen Anforderungen zur Vermeidung von Doppelmeldungen. Ferner wurden zum 17.01.2025 Finanzunternehmen nach Art. 5 bis 15 DORA oder nach Art. 16 DORA vom Anwendungsbereich der BAIT ausgenommen. Für die bayerischen Kreditgenossenschaften gelten die BAIT daher bereits nicht mehr, da sie der DORA unterliegen. Sie hat schließlich angekündigt, bis Ende 2026 schrittweise die BAIT aufzuheben. Zudem wurden zum 17.01.2025 die KAIT, VAIT und ZAIT aufgehoben. Auch die EIOPA und ESMA überprüfen die Vermeidung von Doppelregulierungen.
Einreichung des Informationsregisters
Das Informationsregister ist als strukturierte Datei im xBRL-Format einzureichen. Alternativ dazu kann die Einreichung auch über eine Excel-Vorlage erfolgen, welche von der BaFin zur Verfügung gestellt wird. Die Einreichung erfolgt über das MVP-Fachverfahren. Für das MVP-Fachverfahren ist eine Registrierung erforderlich. Nach Einreichung erfolgt eine Rückmeldung über die erfolgreiche bzw. fehlgeschlagene Anzeige. Im Falle einer fehlerfreien Meldung leitet die BaFin die angezeigten Informationsregister an die EBA und an die Deutsche Bundesbank weiter.
PRAXISTIPPS
- IKT-Dienstleister gezielt identifizieren
Stellen Sie frühzeitig fest, welche internen und externen Dienstleister kritische oder wichtige Funktionen unterstützen – inkl. bis zu vier Unterauftragnehmern. - Informationsregister rechtzeitig vorbereiten
Sammeln Sie alle relevanten Vertragsdaten zum Stichtag 31.03.2025. Die Einreichung erfolgt über das MVP-Fachverfahren – wahlweise im xBRL- oder Excel-Format. - DORA- und Auslagerungsanforderungen abgrenzen
Prüfen Sie sorgfältig, welche IKT-Nutzungen bereits als Auslagerungen gemeldet wurden und ob zusätzliche Meldepflichten bestehen. - Unterstützungsangebote nutzen
Für Fragen zu DORA, Auslagerungen oder dem Informationsregister stehen branchenspezifische Hilfestellungen zur Verfügung – etwa durch den Genossenschaftsverband Bayern (GVB).
Beitragsnummer: 22960