Das Informationsregister ist der zentrale Nachweis Ihrer IKT-Drittdienstleisterbeziehungen unter DORA. Wir erklären, wie Sie die 15 Vorlagen korrekt befüllen, das xBRL-CSV-Format einhalten und die jährliche Meldung an Ihre Aufsichtsbehörde fristgerecht abgeben.
Das Informationsregister (englisch: Register of Information) ist ein strukturiertes Verzeichnis, in dem Finanzunternehmen sämtliche vertraglichen Vereinbarungen über die Nutzung von Diensten der Informations- und Kommunikationstechnologie (IKT) durch Drittanbieter dokumentieren müssen. Es bildet das Rückgrat des Drittparteienrisikomanagements unter der Digital Operational Resilience Act (DORA).
Das Register schafft Transparenz darüber, von welchen externen IKT-Dienstleistern ein Unternehmen abhängig ist, welche Funktionen ausgelagert werden und welche dieser Funktionen als kritisch oder wichtig eingestuft sind. Es dient nicht nur internen Steuerungszwecken, sondern ist zugleich die Datengrundlage, auf der die Europäischen Aufsichtsbehörden (ESAs) die kritischen IKT-Drittdienstleister (CTPP) identifizieren.
Jedes Finanzunternehmen führt das Register sowohl auf Einzel- als auch – sofern anwendbar – auf teilkonsolidierter und konsolidierter Ebene. Die Pflege ist eine fortlaufende Aufgabe: Das Register muss jederzeit aktuell, vollständig und auf Anforderung der zuständigen Behörde verfügbar sein.
Die Pflicht zur Führung des Informationsregisters ergibt sich unmittelbar aus Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 (DORA). Danach müssen Finanzunternehmen im Rahmen ihres IKT-Risikomanagements ein Informationsregister über alle vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen Dritter führen und aktuell halten.
Die konkrete Ausgestaltung – also Inhalt, Struktur und Format – regelt der technische Durchführungsstandard (ITS) Durchführungsverordnung (EU) 2024/2956 der Kommission. Dieser ITS legt die standardisierten Vorlagen fest, die alle Finanzunternehmen unionsweit einheitlich verwenden müssen, und stellt sicher, dass die Aufsichtsbehörden vergleichbare Daten erhalten.
Die zuständigen nationalen Behörden – in Deutschland die BaFin – sammeln die Register und leiten sie an die ESAs (EBA, ESMA, EIOPA) weiter. Diese aggregierten Daten bilden die Grundlage für das Aufsichtsregime über kritische IKT-Drittdienstleister.
Der ITS (EU) 2024/2956 definiert ein relationales Datenmodell aus 15 Vorlagen (Templates), die über eindeutige Schlüssel miteinander verknüpft sind. Jede Vorlage erfasst einen bestimmten Aspekt der IKT-Drittparteienbeziehungen:
Die Vorlagen folgen einer Eltern-Kind-Logik: Ein Vertrag aus B_02.01 verweist beispielsweise auf einen Dienstleister aus B_05.01, der wiederum eine unterstützte Funktion aus B_06.01 betrifft. Inkonsistenzen zwischen diesen Verweisen sind der häufigste Grund für eine Ablehnung der Meldung.
Das Informationsregister wird nicht als freies Dokument, sondern in einem maschinenlesbaren, standardisierten Format eingereicht. Die ESAs schreiben hierfür das Format xBRL-CSV vor – eine Kombination aus der eXtensible Business Reporting Language (xBRL) und CSV-Dateien, die den Aufbau und die Validierungsregeln der EBA-Taxonomie folgt.
Konkret besteht eine Einreichung aus einem Paket mehrerer CSV-Dateien (eine je Vorlage), einer JSON-Metadatendatei sowie der zugehörigen Taxonomieverweise, gebündelt in einem ZIP-Archiv. Jede Datei muss exakt der vorgegebenen Spaltenstruktur und Kodierung (UTF-8) entsprechen.
Vor der Übermittlung wird das Paket gegen die offiziellen Validierungsregeln (EBA Validation Rules) geprüft. Diese erkennen formale Fehler – etwa fehlende Pflichtfelder, ungültige Schlüsselverweise oder Formatverstöße – bereits vor der Einreichung. Wir empfehlen dringend, das Paket vorab mit einem Validierungstool zu prüfen, um Ablehnungen zu vermeiden.
Damit die Daten unionsweit eindeutig und vergleichbar sind, schreibt der ITS für viele Felder kontrollierte Vokabulare vor. Freitext ist hier unzulässig – stattdessen müssen genormte Identifikatoren verwendet werden:
Weitere Felder nutzen geschlossene Auswahllisten, etwa zur Art der IKT-Dienstleistung, zur Funktionskategorie oder zur Kritikalitätseinstufung. Die Verwendung eines nicht zugelassenen Werts führt regelmäßig zur Ablehnung des gesamten Meldepakets.
Finanzunternehmen müssen ihr Informationsregister einmal jährlich an die zuständige nationale Behörde übermitteln. Die nationalen Behörden reichen die aggregierten Register bei den ESAs ein – der maßgebliche Stichtag liegt bei den Aufsichtsbehörden traditionell um den 30. April jedes Jahres. Die genaue Einreichungsfrist und die Referenzdaten gibt die BaFin jährlich bekannt; planen Sie die interne Datenerhebung mit ausreichendem Vorlauf.
Die übermittelten Register sind die Datengrundlage für die Benennung kritischer IKT-Drittdienstleister (CTPP) durch die ESAs nach Artikel 31 DORA. Anhand der aggregierten Register identifizieren die Aufsichtsbehörden jene Anbieter, von denen eine systemische Abhängigkeit des Finanzsektors ausgeht. Benannte CTPP unterliegen anschließend einem eigenen, unionsweiten Aufsichtsrahmen.
Die Qualität Ihrer Meldung wirkt damit über das eigene Unternehmen hinaus: Unvollständige oder fehlerhafte Register verzerren das Gesamtbild und können aufsichtliche Nachfragen nach sich ziehen.
Ein erheblicher Teil der Erstmeldungen wird wegen formaler Fehler abgelehnt. Die häufigsten Ursachen sind:
So beugen Sie vor: Pflegen Sie die Stammdaten zentral, validieren Sie das Paket vor jeder Einreichung gegen die EBA-Validierungsregeln und prüfen Sie die referentielle Integrität zwischen den Vorlagen. Ein strukturierter Erstellungsprozess reduziert das Ablehnungsrisiko erheblich.
Jetzt Ihr DORA-Informationsregister fehlerfrei erstellen – mit unserem Register-Builder →
Alle Finanzunternehmen im Anwendungsbereich von DORA – darunter Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Kapitalverwaltungsgesellschaften und viele weitere – müssen ein Informationsregister über ihre IKT-Drittdienstleisterbeziehungen führen und jährlich an die zuständige Behörde übermitteln.
Die Übermittlung erfolgt einmal jährlich. Der maßgebliche Stichtag der Aufsichtsbehörden liegt regelmäßig um den 30. April. Die genaue Frist und das Referenzdatum gibt die BaFin jedes Jahr bekannt, weshalb wir empfehlen, die interne Datenerhebung mit deutlichem Vorlauf zu planen.
Das Register wird im Format xBRL-CSV eingereicht – einem Paket aus mehreren CSV-Dateien (eine je Vorlage), einer JSON-Metadatendatei und Taxonomieverweisen, gebündelt als ZIP-Archiv nach der EBA-Taxonomie. Vor der Übermittlung sollte das Paket gegen die offiziellen EBA-Validierungsregeln geprüft werden.
Der ITS (EU) 2024/2956 definiert 15 miteinander verknüpfte Vorlagen. Sie erfassen unter anderem das meldende Unternehmen, die vertraglichen Vereinbarungen, die IKT-Drittdienstleister, deren Unterauftragnehmer sowie die unterstützten Funktionen und deren Kritikalitätseinstufung.
Für die eindeutige Identifikation von Unternehmen und Dienstleistern ist der LEI (Legal Entity Identifier nach ISO 17442) erforderlich. Länder werden mit ISO-3166-Codes (z. B. DE), Währungen mit ISO-4217-Codes (z. B. EUR) angegeben. Weitere Felder nutzen geschlossene Auswahllisten; Freitext ist dort unzulässig.
Die aggregierten Informationsregister sind die Datengrundlage, auf der die ESAs nach Artikel 31 DORA kritische IKT-Drittdienstleister (CTPP) identifizieren und benennen. Anhand der gemeldeten Abhängigkeiten erkennen die Aufsichtsbehörden systemrelevante Anbieter, die anschließend einem eigenen unionsweiten Aufsichtsrahmen unterliegen.
Diese Seite ist eine fachliche Hilfestellung, keine Rechtsberatung. · English version