DORA Register

Warum das DORA-Register technisch anspruchsvoll ist

Das Register of Information ist kein einfaches Excel-Dokument, sondern muss in einem standardisierten, von den ESAs vorgegebenen Datenschema jaehrlich elektronisch uebermittelt werden. Es umfasst nicht nur direkte IKT-Dienstleister, sondern auch deren Subunternehmer (Sub-Outsourcing), Funktionsketten und Kritikalitaetsbewertungen - ein erheblicher Datenerfassungsaufwand, der fruehzeitige Vorbereitung erfordert.

Wo das DORA-Register gefordert wird

Framework	Referenz	Anforderung
DORA	Art. 28 Abs. 3	Register aller vertraglichen Vereinbarungen mit IKT-Drittanbietern als zentrale DORA-Pflicht.
EBA/ESMA/EIOPA	RTS/ITS Register	Technische Durchfuehrungsstandards mit detailliertem Datenschema fuer das Register.
DORA	Art. 28 Abs. 9	Jaehrliche Uebermittlungspflicht des vollstaendigen Registers an die Aufsichtsbehoerde.
DORA	Art. 31	Kritikalitaetsbewertung: Register als Grundlage fuer die Identifikation kritischer IKT-Anbieter durch die ESAs.
EIOPA/EBA/ESMA	XBRL-Templates	Standardisierte technische Meldevorlagen fuer die elektronische Uebermittlung des Registers.

BAM-Objektreferenz

Haeufige Fehler

• Register unvollstaendig - nicht alle IKT-Dienstleister erfasst, insbesondere kleinere SaaS-Tools
• Subunternehmer-Ketten nicht vollstaendig nachverfolgt
• Datenschema nicht konform zum ESA-Standard - technische Uebermittlung schlaegt fehl
• Register nicht laufend gepflegt, sondern erst kurz vor der Jahresfrist erstellt

Aufbau des Registers in der Praxis

Das Register muss fuer jeden IKT-Dienstleister erfassen: Vertragsdetails, erbrachte Funktion, Kritikalitaetseinstufung, Standort der Datenverarbeitung, Subunternehmer und deren Standorte, sowie Ausstiegsoptionen. Ein laufend gepflegtes internes IKT-Drittanbieter-Inventar, das bei jeder neuen Vertragsschliessung automatisch aktualisiert wird, reduziert den jaehrlichen Erstellungsaufwand erheblich.

Verwandte Begriffe