Decision guide · Compliance
DORA-Informationsregister aufbauen: Vollständigkeit, Klassifizierung, Aufsichts-Meldung
Das DORA-Informationsregister nach Art. 28 Abs. 3 ist kein Excel-Anhang, sondern das zentrale Aufsichts-Artefakt jedes Finanzunternehmens. Wer es aufbaut, entscheidet zwischen drei Ansätzen: GRC-Modul (ServiceNow, OneTrust), Eigenbau in Excel/Confluence oder hybrides Decision-Memo-plus-Register-Modell. 2025 zeigt die erste Welle der Aufsichts-Reviews, dass Vollständigkeit und Klassifizierung die häufigsten Mängel sind.
TL;DR
Informationsregister ist Aufsichts-Pflicht-Artefakt. Vollständigkeit vor Tool-Wahl, Klassifizierung vor Detail-Tiefe.
Who owns this decision
CISO oder CRO als Owner, Vorstand als Verantwortlicher nach Art. 5 DORA. Procurement, Legal, IT-Architektur, Compliance und Internal Audit als aktive Stakeholder.
Key criteria to weight
Vollständigkeit der Vertrags-Erfassung
Jede ICT-Drittparteien-Vereinbarung muss im Register stehen, auch Cloud-Marktplatz-Käufe, Open-Source-Support, Sub-Outsourcing-Ketten.
Klassifizierung kritisch / wichtig / unterstützend
Drei Kategorien mit unterschiedlichen Pflichten. Falsche Klassifizierung ist häufigster Aufsichts-Befund.
Felder nach RTS und ITS
Final Draft RTS/ITS der ESAs (2024/2025) definieren Pflicht-Felder, JSON-Schema, Übermittlungs-Format an die nationalen Aufseher.
Sub-Outsourcing-Transparenz
Art. 30 verlangt, dass Sub-Outsourcing kritischer Funktionen bekannt und genehmigt ist. Vier-Ebenen-Tiefe ist Mindest-Erwartung.
Konzentrationsrisiko-Indikatoren
Mehrere kritische Funktionen bei einem Anbieter, Sub-Anbieter überschneiden sich, geografische Häufung.
Update-Disziplin
Register ist living document. Jeder neue Vertrag, jede Vertragsänderung, jeder Anbieter-Wechsel triggert Update binnen 15 Arbeitstagen.
Step-by-step decision flow
- 1
Vertrags-Inventur
Alle ICT-Drittparteien-Verträge aus Procurement, IT, Fachbereichen, Tochter-Gesellschaften erfassen. Schatten-IT-Pfad: Kreditkarten-Käufe, SaaS-Marktplatz, Open-Source-Support-Verträge.
- 2
Klassifizierung pro Vertrag
Kritische oder wichtige Funktion (Definition Art. 3 Nr. 22 DORA), Auswirkung auf operative Resilienz, Substituierbarkeit, Daten-Sensitivität. Entscheidung dokumentieren.
- 3
RTS/ITS-Mapping
Pflicht-Felder aus Final Draft RTS auf 17a SREP-Templates 2024/01 abbilden: B_01.01 (Entity), B_02.01 (Branches), B_02.02 (Ultimate Parent), B_03.01 (Contracts), B_03.02 (Sub-outsourcing), B_05.01 (Assessments).
- 4
Tooling entscheiden
GRC-Modul (ServiceNow IRM, OneTrust DORA, MetricStream) für >200 Verträge. Excel/Confluence ausreichend bis ~50 Verträge. Decision Memo als Audit-Trail pro materiellem Vertrag, immer parallel zum Register.
- 5
Sub-Outsourcing-Chain abfragen
Anbieter-Fragebögen mit Pflicht-Antwort, Sub-Outsourcing transparent bis Ebene 4. Verträge mit fehlender Auskunft sind Risiko-Indikator.
- 6
Erste Aufsichts-Meldung
Jährliche Übermittlung an die nationale Aufsicht (BaFin in Deutschland, BdF Frankreich, CSSF Luxemburg). Erste Welle April 2025, jährlich danach. Format und Übermittlungs-Weg sind im RTS festgelegt.
Compliance note
DORA Art. 28 Abs. 3 verlangt das Informationsregister. Final Draft RTS und ITS der ESAs konkretisieren Felder und Format (Commission Implementing Regulation 2024/2956). BaFin-Aufsichtsmitteilung zur Erstanwendung 2025 betont Vollständigkeit und Klassifizierung. Bußgelder bei strukturellen Mängeln über Art. 50 DORA in Verbindung mit nationalem Recht (KWG, VAG).
Common pitfalls
- !Schatten-IT-Verträge fehlen im Register. Aufsichts-Sample-Check deckt das auf.
- !Klassifizierung zu konservativ: alles unterstützend, um Pflicht-Klauseln zu vermeiden. Aufseher reklassifiziert.
- !Sub-Outsourcing-Information fehlt, weil Hauptanbieter nicht antwortet. Anbieter-Risiko wird nicht eskaliert.
- !Register wird einmal aufgebaut und nicht gepflegt. Vertragsänderungen sind nicht reflektiert.
- !Konzentrationsrisiko-Analyse fehlt komplett (Art. 29). Register listet Anbieter, Risiken werden nicht aggregiert.
FAQ
Welche Verträge gehören ins DORA-Informationsregister?
Alle ICT-Drittparteien-Vereinbarungen im Sinne von Art. 3 Nr. 18 DORA. Das umfasst Cloud-Verträge, SaaS, Managed Services, Software-Lizenzen mit Verarbeitung, IT-Outsourcing, Sub-Outsourcing, Kommunikations-Dienste. Reine Lizenzen ohne externe Verarbeitung sind nicht in jedem Fall im Scope, Auslegung der nationalen Aufsicht ist abzuwarten.
Wie unterscheide ich kritisch, wichtig und unterstützend?
Kritisch (Art. 3 Nr. 22): Funktion, deren Ausfall die operative Resilienz oder regulatorische Erfüllung wesentlich beeinträchtigen würde. Wichtig: Funktion, die zur kritischen Funktion beiträgt, aber nicht selbst kritisch ist. Unterstützend: alles andere. Entscheidung muss begründet und dokumentiert sein, Aufsichts-Befund bei falscher Klassifizierung ist häufig.
In welchem Format wird das Register an die Aufsicht übermittelt?
Final Draft ITS legt XBRL-basiertes Format mit definierten Templates (B_01.01 bis B_07.01) fest. Übermittlung in Deutschland an die BaFin über die MVP-Plattform (Melde- und Veröffentlichungsplattform). Erste vollständige Übermittlung im April 2025, jährlich zum 30. April danach.
Reicht Excel als Tool für das Register?
Bis circa 50 ICT-Verträge ist Excel oder Confluence-Tabelle machbar, wenn die XBRL-Konvertierung gelöst ist. Ab 200 Verträgen, mehreren Tochter-Gesellschaften oder komplexen Sub-Outsourcing-Ketten ist ein GRC-Modul fast unvermeidbar. ServiceNow IRM, OneTrust DORA-Modul und MetricStream sind die DACH-typischen Wahl.
Was passiert, wenn das Register unvollständig ist?
Aufsichts-Mängel-Schreiben in der ersten Stufe, in der zweiten Anordnung zur Nachbesserung. Bei systematischen Mängeln Bußgelder über nationales Recht (in Deutschland nach KWG, VAG). Schwerwiegender: bei Vorfall mit nicht-registriertem kritischen Anbieter ist die Aufsichts-Reaktion deutlich strenger, weil Konzentrationsrisiko nicht gesteuert wurde.
Passende Entscheidungs-Guides
Compliance
How to reach DORA readiness as a financial entity
Infrastructure
How to decide on IT outsourcing, a structured framework
Compliance
How to reach NIS2 readiness as a mid-market or enterprise operator
Backup, Recovery und Disaster Recovery
Backup- und DR-Lösung auswählen: strukturiert unter NIS2, DORA und BAIT
Security Operations und Managed Detection & Response
SOC oder MDR auswählen: Build vs. Buy unter NIS2 und DORA
Verwandte Vergleiche
Relevante Branchen
Banken & Finanzdienstleister
Banken entscheiden unter DORA, MaRisk, BAIT gleichzeitig. DecisionOS liefert das Memo, das alle drei Prüfer akzeptieren.
Versicherungen
Versicherer entscheiden unter DORA + Solvency II + VAIT gleichzeitig. Ein Memo-Format für alle drei.
Öffentlicher Sektor
Öffentlicher Sektor: NIS2 + UP KRITIS + BSI-Grundschutz + C5 gleichzeitig. Ein Memo-Format, das alle Prüfer bedient.
Gesundheitswesen
Gesundheitswesen: KRITIS + NIS2 + B3S + DSGVO Art. 9. DecisionOS macht das Memo prüfbar.
Energieversorger
Energieversorger: KRITIS + IT-SiG 2.0 + NIS2 + branchenspezifische Sicherheit. Memo muss vor BSI und BNetzA bestehen.