DORA Kapitel VI
Informationsregister als Transparenzinstrument.
Das Informationsregister macht IKT-Abhängigkeiten und -Risiken fuer Aufsicht und Institut transparent. Regulierte Tätigkeiten und EBA-Identifier sind zentrale Datenqualitätsanker.
Management-Zusammenfassung
- Das Informationsregister erfasst alle IKT-Drittdienstleistungen mit Zuordnung zu regulierten Tätigkeiten.
- Genehmigte / regulierte Tätigkeiten werden mit Code of Licensed Activity und EBA-Identifikatoren abgebildet.
- Datenqualitätskontrollen, Verantwortlichkeiten und Fehlerprotokolle sichern die Vollständigkeit und Korrektheit.
- Review-Zyklen und Einreichungsprozesse sind dokumentiert und managementseitig gesteuert.
Sollzustand
- IKT-Drittparteien und deren Leistungen sind im Register erfasst und regulierten Tätigkeiten zugeordnet.
- Kritikalitätsbewertung und kwF-Relevanz sind dokumentiert.
- EBA-Identifier sind für jede regulierte Tätigkeit hinterlegt.
- Datenqualität und Aktualität sind durch regelmässige Kontrollen sichergestellt.
- Einreichung an BaFin ist fristgerecht möglich.
Umsetzungsschritte
- Registerstruktur und Datenmodell mit regulierten Tätigkeiten definieren.
- Drittparteien-Inventar mit Leistungszuordnung aufbauen.
- Code of Licensed Activity und EBA-Identifier integrieren.
- Verantwortlichkeiten fuer Datenpflege und -qualität festlegen.
- Datenqualitätskontrollen und Fehlerprotokolle etablieren.
- Einreichungsprozess und Fristen managen.
- Review-Zyklen für Registerdaten institutionalisieren.
Regulierte Tätigkeiten und Vertragsanbindung im Informationsregister
Genehmigte Tätigkeiten
Alle regulierten Tätigkeiten aus der Zulassung werden im Register erfasst und den IKT-Dienstleistungen zugeordnet.
Code of Licensed Activity
Standardisierte Codes für genehmigte Tätigkeiten ermöglichen die konsistente Abbildung im Meldewesen.
EBA-Identifier
EU-weit einheitliche Identifikatoren dienen als Datenqualitätsanker für das Informationsregister.
Datenqualität
Regelmässige Qualitätskontrollen, Fehlerprotokolle und Korrekturprozesse sichern die Registerdatenqualität.
IKT-Verträge Anbindung
Jeder IKT-Drittdienstleistung im Register sind die zugrunde liegenden Verträge zugeordnet, inklusive Kündigungsfristen, SLA-Parameter und Exit-Bedingungen.
Regulierte Tätigkeiten (DORA-RTA)
Die Zuordnung regulierter Tätigkeiten zu IKT-Dienstleistungen ist der zentrale Datenqualitätsanker des Informationsregisters und Voraussetzung für aufsichtsrechtliche Einreichungen.
Management Summary
- Governance und Verantwortlichkeiten sind klar auf Management-Ebene verankert.
- Risikobasierte Umsetzung und Nachweislogik sind verbindlich definiert.
- Wesentliche Feststellungen werden regelmaessig in Steuerungsgremien berichtet.
- Abweichungen werden mit Fristen, Ownern und Reifegradwirkung nachverfolgt.
Typische Lücken & ISO/IEC 27001-Verbindung
- Unklare Ownership zwischen Fachbereichen, Auslagerungsmanagement und Informationsregister-Beauftragten.
- Fehlende oder inkonsistente Zuordnung regulierter Tätigkeiten zu IKT-Dienstleistungen.
- ISO/IEC 27001:2022 Bezug auf Rollen, Kontrollen, Lieferantensteuerung und kontinuierliche Verbesserung herstellen.
ISO 27001 Verbindung
ISO/IEC 27001:2022 bietet den Steuerungsrahmen, um DORA-Anforderungen in ein wirksames ISMS zu integrieren.
- A.5 Informationssicherheitsrichtlinien und Governance
- A.5.19 bis A.5.23 Lieferantenbeziehungen und Cloud-/Dienstleistersteuerung
- A.5.24 bis A.5.27 Incident-, Continuity- und Lernprozesse
- A.5.33 bis A.5.34 Dokumentation und Informationsregister
- A.8 Technologische Kontrollen fuer Resilienz, Ueberwachung und Wiederherstellung
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung