Kolumne

Rechtzeitig DORA-konform: Gnadenfrist für Informationsregister endet

Ein Kernstück der DORA-Verordnung ist das Informationsregister: eine detaillierte Dokumentation aller IKT-Dienstleistungen von Drittanbietern. Die Einreichfrist hatten die Europäischen Aufsichtsbehörden (ESAs) auf 30. April verlegt. In seiner Kolumne beleuchtet Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, wo es hapert.

Author_image
09:02 Uhr | 26. Februar | 2025
Robin Schmeisser

Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, beschäftigt sich seit 2004 intensiv mit der Digitalisierung von Geschäftsanwendungen und -prozessen. Nach langjähriger Geschäftsführertätigkeit bei einem Softwarehersteller ist er seit Januar 2021 für Fabasoft Contracts verantwortlich, einem Anbieter von Vertragsmanagement-Software. Seit Inkrafttreten von DORA unterstützt er Kunden aus dem Finanzsektor bei der Digitalisierung ihres Auslagerungsmanagements sowie der Umsetzung der regulatorischen Dokumentations- und Berichtspflichten mithilfe von Fabasoft DORA.

| Quelle: Fabasoft

Die EU-Verordnung DORA (Digital Operational Resilience Act) ist zum 17. Januar in Kraft getreten und soll die Betriebsstabilität im Finanzsektor stärken. Sie betrifft nahezu alle Marktakteure dieser Branche, nicht nur Banken- und Zahlungsdienstleister, sondern auch Versicherungen – Unternehmen, die mit hochsensiblen Kundendaten arbeiten und oft auf eine Vielzahl von IT-Dienstleistern angewiesen sind. Deswegen fordert DORA auch hohe Standards in Bezug auf Cybersecurity und IKT-Risikomanagement.

 Informationsregister als Kernstück

Ein Kernstück der DORA-Verordnung ist das Informationsregister: eine detaillierte Dokumentation aller IKT-Dienstleistungen, die das Unternehmen von Drittanbietern bezieht. Mit der verlängerten Einreichfrist des Informationsregisters, welche die Europäischen Aufsichtsbehörden (ESAs) auf 30.04.2025 gelegt haben, bleibt den Betrieben noch ein kleines Zeitfenster, um ihre Berichte zu finalisieren. Und hier liegt die Herausforderung. Gebundene Ressourcen, fehlende Standards, veraltete Prozesse und hohe regulatorische Anforderungen erschweren vielen Versicherern die rechtzeitige Umsetzung.

Informationsregister: Was macht es so anspruchsvoll?

Das Informationsregister umfasst 15 unterschiedliche Tabellen, die inhaltlich an zahlreichen Stellen ineinandergreifen. Bestandteile sind u. a. umfangreiche Angaben zu Lieferanten und IT-Services, sämtliche Auslagerungsverträge und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Bis dato nutzen viele Firmen bei der Berichterstellung herkömmliche Tabellenkalkulationsprogramme, die eine manuelle Befüllung der Datenfelder erfordern. Ändert sich ein bestimmtes Detail, müssen die Verantwortlichen dieses an jeder Stelle einzeln ausbessern. Das Resultat: massiver Bearbeitungsaufwand, Übertragungsfehler und Inkonsistenzen.

EU-Testlauf zeigt große Lücken: 9 von 10 Berichten fallen durch

Der „Dry Run“ der ESAs zeigte den hohen Bearbeitungsaufwand des Informationsregisters in der Praxis. Bei dem Testlauf hatten Finanzunternehmen die Gelegenheit, eine erste Version des Informationsregisters zu erstellen und an die Behörden zu übermitteln. Eine wertvolle Chance, sich den aktuellen Status der eigenen Prozesse und die damit einhergehenden Aufgaben zu vergegenwärtigen. Das ernüchternde Ergebnis: Nur 6,5 Prozent der mehr als 1.000 eingereichten Informationsregister haben alle Datenqualitätschecks bestanden. Ergo sind 9 von 10 Berichten in mindestens einem der Tests durchgefallen, sei es aufgrund von fehlenden, inkorrekten oder falsch aufbereiteten Daten.

Automatisierte Geschäftsprozesse statt Excel-Chaos

Ohne eine effiziente Digitalisierung der Daten ist die Erstellung und Wartung des Informationsregisters kaum zu bewerkstelligen. Sind alle relevanten Informationen von Beginn an digital erfasst, ermöglicht dies die Automatisierung des gesamten Outsourcing-Prozesses eines Lieferanten sowie sämtlicher nachfolgenden Aktivitäten. So lässt sich mit einer smarten, auf DORA spezialisierten Software beispielsweise das geforderte Informationsregister auf Knopfdruck generieren. Dafür gelangen die Daten automatisch aus den digitalen Akten in den fertigen Bericht. Grundlage dafür sind zum Großteil Informationen aus den bestehenden Verträgen mit den IKT-Dienstleistern. Etwa sämtliche relevanten Angaben zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. Außerdem berechnet das System selbstständig Inhalte aus bereits bekannten Daten. Das Ergebnis ist ein stets synchronisiertes, digitales Informationsregister, das sich im vorgegebenen Datenformat exportieren und einfach mit den Behörden teilen lässt. Dies spart wertvolle Ressourcen, erhöht die Transparenz, minimiert Risiken und sorgt für eine jederzeitige Auskunftsfähigkeit gegenüber den Behörden.

Fazit: Weckruf für Versicherer

Der Versicherungsbranche bleiben nur mehr wenige Wochen, um ihre Informationsregister an die nationalen Behörden zu übermitteln. Für jene Unternehmen, die ihre Berichte noch nicht finalisiert haben, bleibt mit den richtigen Tools immer noch Zeit, vollständig bis zur Deadline zu reporten. Wichtig für eine schnelle Umsetzung sind standardisierte Möglichkeiten zur raschen Datenmigration. Sind alle Daten einmal im System, lassen sich Register und Berichte sofort erzeugen.

Die Finanzaufsicht BaFin informiert am 6. März 2025 in einem Online-Workshop über die Anforderungen an Informationsregister gemäß DORA. Dabei zeigt sie auf, wie Finanzunternehmen die Register mit Hilfe einer Excel-Vorlage einreichen können.

Der kostenfreie Online-Workshop findet von 09:30 bis 11:30 Uhr statt. Eine vorherige Anmeldung ist nicht erforderlich.

Hier gibt es weitere Informationen dazu.