Ein Auslagerungsregister ist eine strukturierte Übersicht aller Auslagerungen eines Finanzinstituts. Es dient der Transparenz gegenüber Aufsicht und Revision und bildet die Grundlage für die Steuerung von Konzentrationsrisiken auf EU-Ebene.

Das Informationsregister ist ein von DORA gefordertes Register, das in 15 Tabellen detaillierte Informationen zu IKT-Dienstleistungen, IKT-Drittparteien und kritischen Funktionen enthält.
Es ermöglicht Aufsichtsbehörden einen schnellen, konsistenten Überblick über die IKT-Landschaft eines Instituts sowie über Konzentrationsrisiken und Abhängigkeiten auf EU-Ebene.

Leno erstellt Auslagerungs- und Informationsregister automatisiert auf Basis einer zentralen, integrierten Datenbasis. Informationen zu Auslagerungen, IKT-Dienstleistungen, Drittparteien, Risiken und Verträgen werden einmal strukturiert erfasst und anschließend in Echtzeit in die jeweiligen Register überführt. Änderungen, etwa bei Dienstleistern, Leistungen, Risikoeinstufungen oder Genehmigungen, werden sofort übernommen und sind ohne manuelle Nachpflege im Auslagerungs- und Informationsregister sichtbar.

Leno stellt Register jederzeit prüfungssicher, konsistent und nachvollziehbar zu einem Stichtag bereit. Datenstände, Änderungen und Historien können auf Knopfdruck bereitgestellt werden - ohne manuelle Aufbereitung.

Nach DORA sind Finanzinstitute verpflichtet, ein Informationsregister zu führen, sobald sie vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen mit Drittanbietern eingehen. Dieses Register muss laufend aktualisiert werden und mindestens einmal jährlich den zuständigen Aufsichtsbehörden übermittelt oder auf Anfrage bereitgestellt werden.

Das Informationsregister muss detaillierte Angaben zu IKT-Dienstleistern und den jeweiligen Verträgen enthalten, einschließlich Identifikation der Dienstleistung, Vertragsdetails, unterstützte Funktionen, Klassifikation als kritisch oder nicht, Angaben zu Risiken und eventuellen Sub-Dienstleistern.

Das DORA-Informationsregister geht über traditionelle Auslagerungsregister hinaus, da es zusätzlich strukturierte Daten zu IKT-Dienstleistungen, Drittparteien und kritischen Funktionen enthalten muss, häufig in vordefinierten Tabellen (15 Tabellenmodell) und ist speziell für die Nutzung durch Aufsicht und ESAs konzipiert.

Ja. Finanzinstitute müssen das Register der zuständigen Aufsichtsbehörde auf Anfrage vollständig bereitstellen und in vielen Rechtsordnungen jährlich übermitteln, einschließlich Angaben über neue Verträge, Kategorien von Dienstleistern und Art der erbracht ICT-Leistungen.

Das Register dient zwar der internen Steuerung von ICT-Risiken, wird aber von Aufsichtsbehörden extern genutzt, um systemische Risiken zu überwachen und auf EU-Ebene bei der Identifikation kritischer ICT-Drittanbieter zu unterstützen.

Dies hängt von der Kritikalität der unterstützten Funktion ab. Unterstützt eine IKT-Dienstleistung keine kritische oder wichtige Funktion des Finanzunternehmens, ist grundsätzlich nur der IKT-Drittdienstleister zu erfassen, der in einem direkten Vertragsverhältnis zum Finanzunternehmen steht (Rang 1). Unterauftragnehmer auf nachgelagerten Ebenen müssen in diesem Fall nicht aufgeführt werden.

Ja. Auch gruppeninterne IKT-Dienstleistungen müssen im Informationsregister erfasst werden. DORA unterscheidet grundsätzlich nicht zwischen externen und gruppeninternen IKT-Dienstleistern. Maßgeblich ist, dass eine IKT-Dienstleistung für ein Finanzunternehmen erbracht wird und Auswirkungen auf dessen IKT-Resilienz haben kann. Eine Ausnahme besteht bei der Nutzung gruppeninterner IKT-Dienstleister. In diesen Fällen können zusätzliche Angaben erforderlich sein, insbesondere zur Abbildung von IKT-Dienstleistungsketten. Die maßgeblichen Anforderungen ergeben sich aus der Durchführungsverordnung (EU) 2024/2956, Anhang I, Teil 2, einschließlich der dort beschriebenen Vorgaben zur Ausfüllung der Vorlage B_05.02.