Register of Information nach DORA — Aufbau und Anforderungen
Was das DORA Register of Information (RoI) enthält, wie es aufgebaut sein muss und warum Excel dafür nicht reicht.
Was ist das Register of Information?
Das Register of Information (RoI) ist ein zentrales Element der DORA-Verordnung. Artikel 28 Absatz 3 verpflichtet alle Finanzunternehmen, ein Register zu führen, das sämtliche vertraglichen Vereinbarungen über die Nutzung von ICT-Dienstleistungen dokumentiert.
Das RoI ist nicht optional. Es muss auf Anfrage der zuständigen Aufsichtsbehörde — BaFin in Deutschland, FMA in Österreich — vorgelegt werden können.
Was das Register enthalten muss
Die European Banking Authority (EBA) hat ein standardisiertes Format für das RoI definiert. Es umfasst mehrere Berichtstabellen:
Die Kernbereiche
| Bereich | Inhalt | Beispiel |
|---|---|---|
| Allgemeine Informationen | Identifikation des Finanzunternehmens | LEI, Name, Aufsichtsbehörde |
| Vertragliche Vereinbarungen | Alle ICT-Dienstleisterverträge | Vertragsnummer, Typ, Laufzeit, Kündigungsfristen |
| ICT-Dienstleister | Identifikation jedes Anbieters | LEI/Registernummer, Sitz, Konzernstruktur |
| ICT-Dienstleistungen | Art der bezogenen Leistungen | Cloud-Hosting, Softwareentwicklung, Outsourcing |
| Kritikalitätsbewertung | Einstufung der Dienstleistung | Kritisch oder wichtig für den Geschäftsbetrieb |
| Sub-Outsourcing | Unterauftragnehmer der Dienstleister | Wer steckt hinter Ihrem Anbieter? |
Besondere Anforderungen
- LEI-Codes: Jeder Dienstleister muss mit einer Legal Entity Identifier (LEI) identifiziert werden — sofern vorhanden
- Konzernstrukturen: Wenn Ihr Dienstleister Teil eines Konzerns ist, muss die Muttergesellschaft dokumentiert werden
- Sub-Outsourcing-Ketten: Nicht nur direkte Anbieter, sondern auch deren wesentliche Unterauftragnehmer
- Standortinformationen: Wo werden die Daten verarbeitet? In welchem Land steht die Infrastruktur?
Der Unterschied zwischen RoI und einer Anbieterliste
Viele Institute verwechseln das Register of Information mit einer einfachen Lieferantenliste. Der Unterschied ist erheblich:
| Merkmal | Anbieterliste | Register of Information |
|---|---|---|
| Format | Frei (meist Excel) | EBA-standardisiert |
| Inhalt | Name, Kontakt, Vertrag | LEI, Konzernstruktur, Sub-Outsourcing, Kritikalität |
| Verknüpfungen | Keine | Vertrag ↔ Anbieter ↔ ICT-Leistung ↔ Geschäftsprozess |
| Aktualisierung | Ad hoc | Laufend, mindestens jährlich |
| Export-Format | CSV/PDF | EBA-konformes Format (XML/XBRL) |
| Prüfbarkeit | Eingeschränkt | Vollständig — das ist der Sinn |
Als ich das RoI für eine regulierte Bank erstellt habe, war die größte Überraschung nicht der Umfang, sondern die Verknüpfungen: Jeder Vertrag muss mit dem Anbieter, der ICT-Leistung und dem unterstützten Geschäftsprozess verbunden sein. In Excel werden das schnell Dutzende von Tabellenblättern mit fragilen VLOOKUP-Formeln.
Aufbau in der Praxis: Drei Ansätze
Ansatz 1: Excel
Technisch möglich, aber mit erheblichen Nachteilen:
- Keine Validierung (fehlerhafte LEIs, fehlende Pflichtfelder bleiben unbemerkt)
- Kein EBA-konformer Export ohne manuelle Konvertierung
- Verknüpfungen zwischen Tabellen sind fehleranfällig
- Kein Audit-Trail (wer hat wann was geaendert?)
Für den Einstieg machbar, als Dauerlösung für prüfungspflichtige Institute nicht empfohlen.
Ansatz 2: Enterprise GRC-Tool
ServiceNow, OneTrust und Co. können RoI-Daten verwalten, sind aber:
- Teuer (EUR 50.000+/Jahr)
- Komplex in der Einrichtung (6-12 Monate)
- Nicht nativ auf DORA ausgelegt (RoI-Module oft nachgerüstet)
Ansatz 3: DORA-Spezialsoftware
Zweckgebaut für DORA-Anforderungen:
- EBA-konformer Export auf Knopfdruck
- Integrierte LEI-Validierung
- Verknüpfungen zwischen Verträgen, Anbietern und Leistungen eingebaut
- Bezahlbar für kleine Institute
Mehr dazu im Vergleich: Excel vs. GRC vs. Spezialsoftware.
Häufige Fehler beim RoI-Aufbau
- Zu spät anfangen: Das RoI ist kein Projekt, das man in zwei Wochen erledigt. Datensammlung allein dauert bei den meisten Instituten Wochen.
- LEIs ignorieren: Nicht jeder Dienstleister hat eine LEI. Aber wo vorhanden, muss sie im Register stehen — und sie muss korrekt sein.
- Sub-Outsourcing vergessen: Ihr Cloud-Provider nutzt selbst Rechenzentren eines Dritten. Diese Kette muss dokumentiert werden.
- Kritikalität nicht bewerten: Jede ICT-Dienstleistung muss als “kritisch oder wichtig” eingestuft oder explizit als “nicht kritisch” dokumentiert werden.
- Einmalig erstellen und vergessen: Das RoI muss laufend aktualisiert werden — bei jedem neuen Vertrag, jeder Änderung, jedem Anbieterwechsel.
Wann wird das RoI abgefragt?
Die Aufsichtsbehörde kann das Register of Information jederzeit anfordern. Konkret:
- Regelmäßige Meldungen: EBA plant eine jährliche Meldepflicht für das RoI
- Ad-hoc-Anfragen: Bei Prüfungen oder Vorfällen
- Anlassbezogen: Bei Verdacht auf Konzentrationsrisiken oder bei Störungen eines kritischen ICT-Drittanbieters
Die Antwortzeit ist kurz. “Wir brauchen drei Wochen, um das zusammenzustellen” ist keine akzeptable Antwort.
Nächste Schritte
- Was ist DORA? — für den breiteren regulatorischen Kontext
- Artikel 30 Vertragsprüfung — die vertragliche Seite, die eng mit dem RoI zusammenhängt
- BaFin-Prüfung vorbereiten — was die Aufsicht konkret sehen will