Dora Register Lösung

CSV/JSON

AIFMD Anhang IV
BCL CDDP - V
BCL Reporting
CbCR
CRS
CSSF S3
CSSF U1.1
DORA registrieren
Fatca
FORM PF

Kontaktieren Sie uns und erfahren Sie mehr

Fund XP’s DORA Register Lösung

Fund XP bietet eine umfassende Lösung, die Finanzunternehmen bei der effizienten Erstellung des DORA-Registers mit den von den Finanzbehörden geforderten Informationen unterstützt.

Fund XP vereinfacht diesen Prozess, indem es die Erstellung des Registers im vorgeschriebenen XBRL JSON/CSV ZIP-Format rationalisiert.

Wichtig ist, dass die ESA keine Tools oder Skripte für die Erstellung des Registers zur Verfügung stellen wird, wie dies während des Dry Run der Fall war. Fund XP bietet eine zuverlässige Lösung, um sicherzustellen, dass Ihr Register ohne zusätzlichen manuellen Aufwand korrekt formatiert und zur Einreichung bereit ist.

Wie funktioniert es?

Fund XP nutzt eine Excel-Vorlage und integriert fortschrittliche Funktionen, um eine nahtlose Datenproduktion, -validierung und -überprüfung zu gewährleisten. Unsere Lösung automatisiert den Prozess der Zusammenstellung und Überprüfung wichtiger Informationen, wodurch manuelle Fehler drastisch reduziert und die Effizienz verbessert werden. Da die Berichterstattung jährlich erfolgt und die Daten relativ stabil bleiben, ist es unser Ziel, eine einfache, effiziente und kostengünstige Lösung anzubieten, die unnötige Komplexität vermeidet und gleichzeitig zuverlässige Ergebnisse liefert. Alles wird lokal auf Ihrem System erledigt, so dass Sie die vollständige Kontrolle über Ihre Daten und Prozesse behalten.

Die Lösung ist multijurisdiktional und vollständig konform mit Jurisdiktionen, die eine Einreichung im CSV/JSON-Format verlangen.

Kontaktieren Sie uns!

Was ist das Dora-Register der Informationen?

Die Durchführungsverordnung (EU) 2024/2956 der Kommission, die am 29. November 2024 angenommen wurde, legt die technischen Durchführungsstandards fest, auf die in Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 (DORA) verwiesen wird. Ihre zentrale Funktion besteht darin, eine Reihe von Standardvorlagen für das Register der Informationen zu erstellen, die Finanzunternehmen in Bezug auf ihre Nutzung von IKT-Dienstleistungen von Drittanbietern führen müssen.
Die Informationen, die über dieses standardisierte Register gesammelt werden, sollen, wie in Erwägungsgrund (1) dargelegt, mehreren strategischen Zwecken dienen:
Internes IKT-Risikomanagement: Finanzinstitute sollen einen strukturierten Überblick über ihre IKT-Abhängigkeiten für ihre eigene Risikobewertung und ihr eigenes Risikomanagement erhalten.
Beaufsichtigung: Die zuständigen Behörden sollen in die Lage versetzt werden, das Management von IKT-Drittrisiken durch Finanzunternehmen wirksam zu überwachen.
Beaufsichtigung von kritischen Anbietern: Versorgung des Lead Overseers mit den notwendigen Informationen, um die Aufsicht über benannte kritische IKT-Drittanbieter einzurichten und durchzuführen.
Benennung von kritischen Anbietern: Unterstützung der europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) bei ihrem jährlichen Prozess der Benennung von IKT-Drittanbietern, die für den Finanzsektor kritisch sind.

Payconiq Testimonial

DORA ROI Linkedin Payconiq testimonial

PANDOO TESTIMONIAL

PANDOO DORA register solution testimonial

Wer ist verpflichtet, dieses Informationsregister zu führen, und auf welchen Ebenen?

Die Verordnung gilt für alle Finanzunternehmen, die unter den Geltungsbereich der DORA fallen. Bei Finanzunternehmen, die Teil eines Konzerns sind, ist das Mutterunternehmen für die Festlegung des Konsolidierungskreises für das Register verantwortlich. Der Rahmen erlaubt es Konzernen, ein einziges, einheitliches Register auf konsolidierter oder unterkonsolidierter Ebene zu führen. Dieses einheitliche Register muss jedoch so strukturiert sein, dass jedes einzelne Finanzunternehmen innerhalb der Gruppe seinen eigenen Berichtspflichten nachkommen kann.

Was ist der Hauptzweck dieser neuen EU-Verordnung?

Diese Verordnung, die Durchführungsverordnung (EU) 2024/2956 der Kommission, zielt darauf ab, Standardvorlagen für ein Register von Informationen über vertragliche Vereinbarungen zur Nutzung von IKT-Diensten, die von Drittanbietern für den Finanzsektor erbracht werden, zu erstellen. Das Hauptziel besteht darin, die digitale operative Widerstandsfähigkeit zu verbessern, indem wichtige Informationen für das interne IKT-Risikomanagement von Finanzunternehmen, die wirksame Beaufsichtigung durch die zuständigen Behörden, die Beaufsichtigung kritischer IKT-Drittanbieter und den jährlichen Prozess der Benennung kritischer IKT-Drittanbieter durch die Europäischen Aufsichtsbehörden (ESAs) bereitgestellt werden.

DORA-Fehler : Leitfaden für Fehlermeldungen im RoI-Register

DORA errors : RoI Register Error Message Guidance

Luxemburgs Umsetzung von DORA

In Luxemburg ist die DORA ab Januar 2025 direkt anwendbar. Die CSSF und die CAA sind als Behörden benannt, die die Einhaltung der DORA sicherstellen. Spezifische Gesetze und Verordnungen, wie das Rundschreiben CSSF 24/847, sind bereits in Kraft, um die Meldung von Vorfällen zu verbessern und mit dem Rahmen von DORA in Einklang zu bringen.

Welche Finanzunternehmen fallen in den Anwendungsbereich von DORA?

(a) Kreditinstitute;
(b) Zahlungsinstitute, einschließlich Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgenommen sind;
(c) Anbieter von Kontoinformationsdiensten;
(d) E-Geld-Institute, einschließlich der E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG ausgenommen sind;
(e) Wertpapierfirmen;
(f) Anbieter von Krypto-Vermögenswert-Dienstleistungen und Emittenten von vermögenswertbezogenen Token;
(g) zentrale Wertpapierverwahrer;
(h) zentrale Gegenparteien;
(i) Handelsplätze;
(j) Transaktionsregister;
(k) Verwalter von alternativen Investmentfonds;
(l) Verwaltungsgesellschaften;
(m) Anbieter von Datenübermittlungsdiensten;
(n) Versicherungs- und Rückversicherungsunternehmen;
(o) Versicherungsvermittler, Rückversicherungsvermittler und Vermittler von Versicherungsnebenleistungen;
(p) Einrichtungen der betrieblichen Altersversorgung;
(q) Kreditrating-Agenturen;
(r) Administratoren von kritischen Benchmarks;
(s) Anbieter von Crowdfunding-Dienstleistungen; und
(t) Verwahrstellen für Verbriefungen

Was ist ein direkter IKT-Drittdienstleister?

Ein IKT-Drittdienstleister oder ein konzerninterner IKT-Dienstleister, der eine vertragliche Vereinbarung unterzeichnet hat mit:
(a) einem Finanzunternehmen, um seine IKT-Dienstleistungen direkt für dieses Finanzunternehmen zu erbringen;
(b) einem Finanzunternehmen oder einem Nicht-Finanzunternehmen, um seine Dienstleistungen für andere Finanzunternehmen innerhalb desselben Konzerns zu erbringen;

Was ist eine IKT-Dienstleistungskette?

Eine Abfolge von vertraglichen Vereinbarungen im Zusammenhang mit der IKT-Dienstleistung, die von dem direkten IKT-Drittdienstleister für das Finanzinstitut erbracht wird, beginnend mit dem direkten IKT-Drittdienstleister, der einen oder mehrere andere IKT-Drittdienstleister als Vertragspartner (Unterauftragnehmer) hat;

Kontaktieren Sie uns!

Welche wichtigen Informationen über IKT-Dienstleistungen und Drittanbieter müssen in das Register aufgenommen werden?

Das Register muss umfassende Angaben zu IKT-Dienstleistungen und deren Anbietern enthalten. Dazu gehören allgemeine Informationen über das Finanzunternehmen, das das Register führt, Einzelheiten über Unternehmen innerhalb des Konsolidierungskreises und ihre Zweigniederlassungen sowie allgemeine und spezifische Informationen über vertragliche Vereinbarungen mit direkten IKT-Drittanbietern. Entscheidend ist, dass es auch Informationen über die IKT-Dienstleistungskette enthält, in der alle direkten IKT-Drittdienstleister und Unterauftragnehmer, die kritische oder wichtige Funktionen untermauern, identifiziert werden. Darüber hinaus müssen Einzelheiten zur Identifizierung von Funktionen, die durch IKT-Dienstleistungen unterstützt werden, Risikobewertungen dieser Dienstleistungen (einschließlich der Substituierbarkeit und der Auswirkungen einer Einstellung) sowie die von den Finanzunternehmen verwendete interne Terminologie bereitgestellt werden.

Was sind die wichtigsten Anforderungen an das Informationsregister?

Datenqualität und Formatierung

Die Verordnung legt großen Wert auf die Qualität und die Struktur der Daten innerhalb des Registers.
Grundsätze der Datenqualität: Die Finanzunternehmen müssen sicherstellen, dass die Informationen sechs Prinzipien entsprechen: Genauigkeit, Vollständigkeit, Konsistenz, Integrität, Einheitlichkeit und Gültigkeit.
Struktur der Vorlage: Die Vorlagen sind als technologieneutrale offene Tabellen mit einer vordefinierten Anzahl von Spalten und einer unbestimmten Anzahl von Zeilen konzipiert, die eine Skalierbarkeit ermöglichen. Dieses Design basiert auf den Erfahrungen aus früheren Datenerhebungen der ESAs und der zuständigen Behörden.
Relationale Schlüssel: Das System verwendet vier Primärschlüssel, um eine relationale Struktur zu schaffen, die die Daten in den verschiedenen Vorlagen miteinander verbindet:
1. Die Referenznummer der vertraglichen Vereinbarung.
2. Eine Kennung für Finanzunternehmen und IKT-Anbieter (LEI/EUID).
3. Die Kennung der Funktion.
4. Die Art der IKT-Dienstleistung.

Obligatorische Identifizierung der Entität

Um eine einheitliche und genaue Identifizierung aller Parteien zu gewährleisten, schreibt die Verordnung die Verwendung spezifischer Identifikatoren für juristische Personen vor.
Finanzielle Unternehmen: Identifiziert durch ihren Legal Entity Identifier (LEI).
IKT-Diensteanbieter:
In der Union niedergelassene Anbieter müssen durch ihre LEI oder ihren European Unique Identifier (EUID) identifiziert werden, und wenn vorhanden, durch beide.
In Drittländern niedergelassene Anbieter müssen nur durch ihre LEI identifiziert werden.
Natürliche Personen, die geschäftlich tätig sind, können alternative Identifikationscodes verwenden (z. B. Passnummer, nationale Identitätsnummer).
Diese Anforderung gilt auch für alle Unterauftragnehmer, die kritische oder wichtige Funktionen unterstützen.

Welche Art von Informationen sollten bereitgestellt werden?

Code der Vorlage Name der Vorlage Kurze Beschreibung
B_01.01 Einrichtung, die das
Register der Informationen		 Diese Vorlage identifiziert die Einheit, die das Informationsregister führt und aktualisiert
Informationen auf der Ebene der Gesellschaft, der Teilkonsolidierung und der Konsolidierung,
beziehungsweise.
B_01.02 Liste der Unternehmen innerhalb des
Konsolidierungskreises		 Diese Vorlage identifiziert alle Unternehmen, die zum Konzern gehören. Wenn das
Finanzunternehmen, das für die Führung und Aktualisierung des Registers
Informationen zuständig ist, nicht zu einem Konzern gehört, wird nur dieses Finanzunternehmen
in dieser Vorlage gemeldet.
B_01.03 Liste der Zweigniederlassungen Diese Vorlage identifiziert die Zweigniederlassungen der in Vorlage B_01.02 genannten Finanzunternehmen.
Vorlage B_01.02.
B_02.01 Vertragliche
Vereinbarungen – Allgemeines
Informationen		 In dieser Vorlage sind alle vertraglichen Vereinbarungen mit direkten ICT-Drittanbietern
Dienstleistern.
Für jede vertragliche Vereinbarung mit einem direkten IKT-Drittdienstleister
Anbieter muss das Finanzinstitut, das das Informationsregister führt
eine eindeutige ‚Referenznummer für vertragliche Vereinbarungen‘ vergeben, um die
eindeutig die vertragliche Vereinbarung selbst zu identifizieren.
B_02.02 Vertragliche
Vereinbarungen – spezifische
Informationen		 Diese Vorlage enthält Einzelheiten in Bezug auf jede vertragliche Vereinbarung
die in Vorlage B_02.01 aufgeführt sind, in Bezug auf:
(a) die IKT-Dienstleistungen, die zum Umfang der vertraglichen Vereinbarung gehören;
(b) die Funktionen der Finanzinstitute, die durch diese IKT-Dienstleistungen unterstützt werden;
(c) andere wichtige Informationen in Bezug auf die spezifischen IKT-Dienstleistungen
(z.B. Kündigungsfrist, für die Vereinbarung geltendes Recht, usw.).
B_02.03 Liste der gruppeninternen
vertraglichen Vereinbarungen		 Diese Vorlage identifiziert die Verbindungen zwischen konzerninternen vertraglichen Vereinbarungen
vertraglichen Vereinbarungen und vertraglichen Vereinbarungen mit ICT-Drittanbietern
Dienstleistern, die nicht Teil des Konzerns sind, unter Verwendung der vertraglichen
Nummern, wenn sie Teil der IKT-Dienstleistungskette sind.
B_03.01 Unterzeichnende Unternehmen
vertraglichen Vereinbarungen
für den Erhalt von ICT
Dienstleistung(en) oder im Namen von
der Einrichtungen, die die
der ICT-Dienstleistung(en)		 Diese Vorlage enthält Informationen über die Einrichtung, die die vertraglichen Vereinbarungen
Vereinbarungen mit dem direkten IKT-Drittanbieter für die
Auftraggeber, der die IKT-Dienstleistungen in Anspruch nimmt. Wenn das Informationsregister auf Ebene der Einrichtung geführt und aktualisiert wird
Ebene geführt und aktualisiert wird, ist die Stelle, die die vertragliche Vereinbarung unterzeichnet und die Stelle, die
die IKT-Dienstleistungen in Anspruch nimmt, das Finanzinstitut, das das Informationsregister führt und aktualisiert.
Register der Informationen.
Im Rahmen der Unterkonsolidierung und Konsolidierung ist das Finanzunternehmen
das die bereitgestellten IKT-Dienstleistungen in Anspruch nimmt, nicht unbedingt das Unternehmen
das die vertragliche Vereinbarung mit den IKT-Drittanbietern unterzeichnet
Anbietern unterzeichnet.
B_03.02 IKT-Drittdienstleister
Anbieter, die die
vertraglichen Vereinbarungen
für die Bereitstellung von ICT
Dienstleistung(en)		 Diese Vorlage identifiziert alle in der Vorlage B_05.01 genannten IKT-Drittdienstleister
die die vertraglichen Vereinbarungen gemäß Vorlage B_05.01 für die Erbringung der
Vorlage B_02.01 für die Erbringung der IKT-Dienstleistungen unterzeichnen.
B_03.03 Unterzeichnende Stellen der
vertraglichen Vereinbarungen
für die Erbringung von IKT
Dienstleistung(en) für andere Unternehmen
innerhalb des Konsolidierungskreises
Konsolidierung		 Diese Vorlage identifiziert alle in Vorlage B_01.02 genannten Unternehmen
die die in Vorlage B_02.01 genannten vertraglichen Vereinbarungen über die
die IKT-Dienstleistungen für andere Unternehmen im Konsolidierungskreis zu erbringen.
B_04.01 Unternehmen, die die
ICT-Dienstleistungen		 Diese Vorlage identifiziert alle Unternehmen, die IKT-Dienstleistungen in Anspruch nehmen
die von IKT-Drittanbietern erbracht werden und im Informationsregister eingetragen sind.
von Informationen.
Die Unternehmen, die IKT-Dienstleistungen in Anspruch nehmen, sind entweder die finanziellen
Finanzunternehmen im Anwendungsbereich oder die IKT-Dienstleister innerhalb der Gruppe.
Wenn das Informationsregister auf Unternehmensebene geführt und aktualisiert wird
Ebene geführt und aktualisiert wird, sind das Unternehmen, das die vertragliche Vereinbarung unterzeichnet, und das Unternehmen, das
die IKT-Dienstleistungen in Anspruch nimmt, das Finanzunternehmen, das das Register führt.
B_05.01 IKT-Drittdienstleister
Anbieter		 In dieser Vorlage werden allgemeine Informationen zur Identifizierung aufgeführt und bereitgestellt:
(a) die direkten IKT-Drittdienstleister;
(b) die konzerninternen IKT-Dienstleister;
(c) alle Unterauftragnehmer, die in der Vorlage B_05.02 über IKT-Dienstleistungen
Lieferkette enthalten sind;
(d) das oberste Mutterunternehmen der IKT-Drittdienstleister
Dienstleisters, die unter den Buchstaben a, b und c aufgeführt sind.
B_05.02 IKT-Dienstleistungslieferkette Diese Vorlage identifiziert und verknüpft die IKT-Drittdienstleister, die
die Teil der gleichen IKT-Dienstleistungskette sind.
Die Finanzinstitute müssen die IKT-Drittdienstleister für jede IKT-Dienstleistung, die in der Lieferkette enthalten ist, identifizieren und einstufen.
Dienstleister für jede IKT-Dienstleistung, die in jeder vertraglichen Vereinbarung enthalten ist.
Beispiel: Ein Finanzinstitut hat eine vertragliche Vereinbarung mit einem IKT
Drittdienstleister (‚IKT-Drittdienstleister X‘) eine vertragliche Vereinbarung über den Erhalt
2 bestimmte IKT-Dienstleistungen (‚IKT-Dienstleistung A‘ und ‚IKT-Dienstleistung B‘) und der Dienstleister
Dienstleister bedient sich eines Subunternehmers (‚IKT-Drittdienstleister
Y“), um eine dieser Dienstleistungen („IKT-Dienstleistung B“) zu erbringen.- In Bezug auf die IKT-Dienstleistung A besteht die IKT-Dienstleistungskette aus
aus einem IKT-Drittdienstleister, dem IKT-Drittdienstleister X.
Dienstleister X, der in der Vorlage als Nummer 1 eingestuft wird. IKT
Drittdienstleister X ist der direkte IKT-Drittdienstleister
Anbieter.
– In Bezug auf die IKT-Dienstleistung B besteht die IKT-Dienstleistungskette aus
aus zwei IKT-Drittdienstleistern:
(a) IKT-Drittdienstleister X, der in der Vorlage als Nummer
1 in der Vorlage. Der IKT-Drittdienstleister X ist der direkte
IKT-Drittdienstleister.
(b) IKT-Drittdienstleister Y, der in der Vorlage auf Platz
2 in der Vorlage. IKT-Drittdienstleister Y ist ein
Unterauftragnehmer.
Alle IKT-Drittdienstleister, die zur gleichen IKT
Dienstleistungskette angehören, haben die gleiche ‚Vertragsnummer
Referenznummer‘ gemäß Vorlage B_02.01 und die gleiche
Art von IKT-Dienstleistungen
B_06.01 Identifizierung der Funktionen Diese Vorlage identifiziert und liefert Informationen über die Funktionen des
Finanzunternehmens, das die IKT-Dienstleistungen in Anspruch nimmt.
In den Informationen, die in dieser Vorlage anzugeben sind, müssen die Finanzunternehmen
einen eindeutigen Identifikator, den ‚Funktionsidentifikator‘ für jede Kombination
der LEI eines Finanzunternehmens, der lizenzierten Tätigkeit und der Funktion.
Beispiel: ein Finanzunternehmen (LEI: 21USLEIC20231109J3Z8), das
zwei lizenzierte Tätigkeiten (‚Tätigkeit A‘ und ‚Tätigkeit B‘) ausübt, erhält zwei
eindeutige ‚Funktionskennungen‘ für dieselbe Funktion X (z.B. Verkauf), die für Tätigkeit A bzw.
für Tätigkeit A bzw. Tätigkeit B. Die Funktionskennungen lauten:
F1 für die Kombination von „21USLEIC20231109J3Z8“ „Aktivität A“ und
‚Funktion X“
F2 für die Kombination aus „21USLEIC20231109J3Z8“ „Aktivität B“ und
‚Funktion X“
B_07.01 Beurteilungen der ICT
Dienstleistungen		 Diese Vorlage erfasst Informationen in Bezug auf die Risikobewertung von
IKT-Dienstleistungen (z.B. Substituierbarkeit, Datum des letzten Audits, etc.), wenn diese
IKT-Dienstleistungen eine kritische oder wichtige Funktion oder einen wesentlichen
Teil davon.
B_99.01 Definitionen von Unternehmen
die die ICT-Dienste nutzen
Dienstleistungen		 Diese Vorlage enthält unternehmensinterne Erklärungen, Bedeutungen und
Definitionen des geschlossenen Satzes von Indikatoren, die vom Finanzinstitut im
Register der Informationen verwendet.
Beispiel: In Vorlage B_07.01 muss das Finanzinstitut eine
die Auswirkungen der Einstellung der IKT-Dienstleistungen unter Verwendung einer
geschlossenen Reihe von Optionen (niedrig, mittel, hoch). In Vorlage B_99.01 muss das
Finanzinstitut die Bedeutung dieser Optionen an.
Kontaktieren Sie uns!

Wie werden IKT-Drittanbieter und ihre Positionen in der Lieferkette identifiziert und nachverfolgt?

Finanzunternehmen müssen jedem IKT-Drittdienstleister in der IKT-Dienstleistungskette einen „Rang“ zuweisen. Ein Rang von ‚1‘ wird direkten IKT-Drittdienstleistern zugewiesen, die eine direkte vertragliche Vereinbarung mit dem Finanzinstitut haben. Unterauftragnehmer erhalten einen höheren Rang als ‚1‘, wobei niedrigere Zahlen eine größere Nähe zum Finanzunternehmen in der Lieferkette anzeigen. Für juristische Personen sind eindeutige Identifikatoren wie der Legal Entity Identifier (LEI) oder der European Unique Identifier (EUID) vorgeschrieben, während natürliche Personen alternative Identifikationscodes verwenden können. Das Register verknüpft auch speziell konzerninterne vertragliche Vereinbarungen mit externen Drittanbietervereinbarungen, um die gesamte Lieferkette zu erfassen.

Welche Grundsätze der Datenqualität müssen Finanzunternehmen bei der Pflege des Registers einhalten?

Um die Konsistenz, Harmonisierung und Vergleichbarkeit der gemeldeten Informationen zu gewährleisten, müssen die Finanzunternehmen mehrere Grundsätze der Datenqualität einhalten. Dazu gehören Genauigkeit, Vollständigkeit, Konsistenz, Integrität, Einheitlichkeit und Gültigkeit. Die Informationen müssen regelmäßig überprüft und etwaige Fehler oder Unstimmigkeiten umgehend korrigiert werden. Für Konzerne ist die Konsistenz zwischen Informationen auf Unternehmensebene, unterkonsolidierten und konsolidierten Informationen ebenfalls ausdrücklich vorgeschrieben.

Welche Art von Risikobewertungen müssen Finanzunternehmen in Bezug auf IKT-Dienstleistungen durchführen und melden?

Finanzunternehmen müssen Risikobewertungen in Bezug auf IKT-Dienstleistungen Dritter durchführen und darüber berichten, insbesondere bei Dienstleistungen, die kritische oder wichtige Funktionen unterstützen. Dazu gehört die Bewertung der Art, des Umfangs, der Komplexität und der Bedeutung von IKT-bezogenen Abhängigkeiten sowie der Risiken, die sich aus vertraglichen Vereinbarungen ergeben. Zu den spezifischen Informationen, die erfasst werden müssen, gehören die Ersetzbarkeit des IKT-Drittanbieters, die Gründe für die Nicht-Ersetzbarkeit oder die hohe Komplexität bei der Ersetzung, das Datum der letzten Prüfung des Anbieters, das Vorhandensein von Ausstiegsplänen, die Möglichkeit der Wiedereingliederung der vertraglich vereinbarten IKT-Dienstleistungen und die Auswirkungen der Einstellung der IKT-Dienstleistungen. Sie müssen auch beurteilen, ob alternative IKT-Drittdienstleister ermittelt wurden.

Wie geht diese Verordnung mit der Komplexität der konzerninternen Erbringung von IKT-Dienstleistungen und der Vergabe von Unteraufträgen um?

Die Verordnung berücksichtigt speziell konzerninterne IKT-Dienstleister und Unterauftragsketten. Finanzunternehmen müssen Informationen über vertragliche Vereinbarungen sowohl mit konzerninternen Dienstleistern als auch mit externen IKT-Drittanbietern, einschließlich Unterauftragnehmern, melden. Eine spezielle Vorlage (B_02.03) ermöglicht den Abgleich von konzerninternen Verträgen mit Verträgen, an denen externe IKT-Drittanbieter beteiligt sind, wenn sie Teil derselben IKT-Dienstleistungskette sind. Bei IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, müssen die Finanzinstitute alle Unterauftragnehmer aufzeichnen, die diese Dienstleistungen tatsächlich untermauern. Wenn ein konzerninterner Dienstleister Unterauftragnehmer einsetzt, muss außerdem mindestens der erste konzernexterne Unterauftragnehmer erfasst werden, auch wenn dessen Dienstleistungen nicht als kritisch oder wichtig eingestuft werden.

Kontaktieren Sie uns!

Welche Arten von Finanzunternehmen fallen unter diese Verordnung, und welche Aktivitäten sind für ihre Berichterstattung relevant?

Die Verordnung gilt für ein breites Spektrum von Finanzunternehmen, einschließlich, aber nicht beschränkt auf Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Assets, zentrale Wertpapierverwahrer, zentrale Gegenparteien, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen und Ratingagenturen. Für jede Art von Unternehmen wird in Anhang II eine spezifische Liste lizenzierter Tätigkeiten und Dienstleistungen bereitgestellt, die für die Identifizierung von Funktionen (Vorlage B_06.01) innerhalb ihrer internen Organisation, die durch IKT-Dienste unterstützt werden, relevant ist.

Glossar der Schlüsselbegriffe

  • Rat der Aufseher (BoS): Das Leitungsgremium jeder Europäischen Aufsichtsbehörde (ESA), das an der Genehmigung wichtiger Entscheidungen wie der Benennung von kritischen Drittanbietern (CTPPs) beteiligt ist.
  • Zuständige Behörde (CA): Nationale Behörden, die für die Beaufsichtigung von Finanzinstituten (FEs) in einem Mitgliedstaat zuständig sind. Sie arbeiten bei der DORA-Aufsicht mit den ESAs zusammen.
  • Kritischer Drittanbieter (CTPP): Ein Drittanbieter von Informations- und Kommunikationstechnologie (IKT), der von den Europäischen Aufsichtsbehörden (ESAs) aufgrund seiner systemischen Auswirkungen auf den Finanzsektor als kritisch eingestuft wird.
  • Digital Operational Resilience Act (DORA): Eine EU-Verordnung, die einen umfassenden Rahmen für das Management von IKT-Risiken im Finanzsektor schafft, einschließlich der Überwachung von CTPPs.
  • Europäische Bankenaufsichtsbehörde (EBA): Eine der drei Europäischen Aufsichtsbehörden (ESAs), die im Rahmen der DORA für die Überwachung des Bankensektors zuständig sind.
  • Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA): Eine der drei Europäischen Aufsichtsbehörden (ESAs) mit Aufsichtsverantwortung unter DORA, speziell für den Versicherungs- und Betriebsrentensektor.
  • Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA): Eine der drei Europäischen Aufsichtsbehörden (ESAs) mit Aufsichtsverantwortung unter der DORA, speziell für den Wertpapier- und Marktsektor.
  • Europäische Aufsichtsbehörden (ESAs): Die EBA, die EIOPA und die ESMA, die im Rahmen der DORA gemeinsam für die Beaufsichtigung von CTPPs auf gesamteuropäischer Ebene zuständig sind.
  • Finanzielles Unternehmen (FE): Ein Unternehmen des Finanzsektors, das auf externe IKT-Dienstleistungen angewiesen ist.
  • Allgemeine Ermittlungen: Formelle Überprüfungen, die von den Aufsichtsbehörden in einem oder mehreren Risikobereichen der CTPPs durchgeführt werden und darauf abzielen, Informationen darüber zu sammeln, wie die CTPPs mit Risiken umgehen.
  • Informations- und Kommunikationstechnologie (IKT): Technologien und Dienstleistungen im Zusammenhang mit der Informationsverarbeitung, -speicherung und -kommunikation.
  • Inspektionen: Eine sehr einschneidende Methode der Aufsicht, bei der die Räumlichkeiten, Systeme und Daten der CTPPs vor Ort oder außerhalb des Unternehmens untersucht werden, um ein tiefes Verständnis der Geschäftsabläufe, des Risikomanagements und der internen Kontrollen zu gewinnen.
  • Gemeinsamer Ausschuss (JC): Der ranghöchste sektorübergreifende Ausschuss der drei ESAs, der für die Annahme relevanter Entscheidungen bezüglich der Aufsicht über CTPPs, einschließlich der Benennung, zuständig ist.
  • Gemeinsame Prüfungsteams (JETs): Teams, die sich aus Mitarbeitern der ESAs und der relevanten zuständigen Behörden (CAs) zusammensetzen und die Lead Overseers (LOs) bei der Durchführung der DORA-Aufsichtsaktivitäten unterstützen.
  • Gemeinsames Überwachungsnetzwerk (JON): Ein von den Overseers eingerichtetes Gremium, das die Durchführung von Aufsichtsaktivitäten über CTPPs koordiniert und Entscheidungen und Handlungen zur Vorlage beim Oversight Forum vorbereitet.
  • Joint Oversight Venture (JOV): Eine operative Struktur, die von den drei ESAs eingerichtet wurde, um Synergien zu maximieren und die Konsistenz der täglichen DORA-Aufsichtsaktivitäten durch einen sektorübergreifenden integrierten Ansatz zu gewährleisten.
  • Federführender Überwacher (LO): Die spezifische Europäische Aufsichtsbehörde (ESA), die mit der Durchführung der Aufsichtstätigkeiten für eine bestimmte CTPP beauftragt ist.
  • Laufende regelmäßige Überwachung: Die kontinuierliche Interaktion zwischen den Aufsichtsbehörden und den CTPPs, die eine systematische Sammlung, Analyse und Bewertung von Informationen außerhalb spezifischer Untersuchungen oder Inspektionen beinhaltet.
  • Aufsichtsforum (Oversight Forum, OF): Ein ständiger Ausschuss der ESAs, der sich der DORA-Aufsicht widmet, vorbereitende Arbeiten für einzelne Handlungen und kollektive Empfehlungen durchführt und einen einheitlichen Ansatz für das IKT-Drittrisiko fördert.
  • Empfehlungen: Unverbindliche Vorschläge, die von den Aufsichtsbehörden an die CTPPs gerichtet werden, um festgestellte Mängel in bestimmten Bereichen der Bewertung zu beheben, in der Regel nach Prüfungen.
  • Ersuchen um Informationen (RfI): Ein Instrument, das die Aufsichtsbehörden verwenden, um Informationen von CTPPs anzufordern, entweder durch eine „einfache Anfrage“ oder durch eine „Entscheidung“, ohne vollständige Untersuchungen oder Inspektionen einzuleiten.
  • Sanierungsplan: Ein Plan, den eine CTPP den Aufsichtsbehörden vorlegt und in dem sie die Aktionen und Maßnahmen darlegt, die sie zu ergreifen gedenkt, um die festgestellten Mängel zu beheben und den ausgesprochenen Empfehlungen nachzukommen.

Nützliche Links

CAA-Rundschreiben LC25-01 : https://www.caa.lu/uploads/documents/files/LC25-01_FR.pdf

CSSF-Webseite : https://www.cssf.lu/en/digital-operational-resilience-act-dora/

EIOPA-Webseite : https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en

EBA-Webseite : https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act/preparation-dora-application

EUID : https://fund-xp.lu/euid-search/[/vc_column_text]