Der Digital Operational Resilience Act (DORA) verpflichtet die Finanzbranche zu strengen Cybersecurity-Maßnahmen. Auch ihre IKT-Dienstleister müssen indirekt Sicherheitsnachweise, Risikoanalysen sowie Vertragskonformität nachweisen. TÜV SÜD weist auf die jährliche, durch DORA vorgeschriebene, Meldepflicht für das Informationsregister der Finanzunternehmen bei der BaFin hin. Sie läuft vom 9. März bis 28. April. In diesem Register müssen Finanzunternehmen alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistern aufführen.
Das Informationsregister muss den Stand der vertraglichen Vereinbarungen bis zum 31. Dezember 2025 korrekt und vollständig abbilden. Die Bundesanstalt für Finanzdienstleistungen (BaFin), die dieses Register führt, hat angekündigt, in diesem Jahr höhere Anforderungen an die Transparenz in der Lieferkette zu stellen.
„DORA macht deutlich, dass operative Resilienz nicht nur ein IT-Thema, sondern eine Frage der Unternehmenssteuerung ist“, meint Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Gerade das Informationsregister zwingt viele Organisationen dazu, ihre Abhängigkeiten von IKT-Dienstleistern erstmals vollständig und strukturiert offenzulegen.“
Das Informationsregister ist nicht nur ein Compliance-Instrument, sondern bietet den Unternehmen auch die Möglichkeit, ihre Risiken im Zusammenhang mit IKT-Drittparteien transparent zu machen. Dadurch können sie potenzielle Schwachstellen und Abhängigkeiten von Dienstleistern aus bestimmten Regionen identifizieren.
Rechtsträgerkennung ist Pflicht
DORA-regulierte Organisationen müssen gemäß Kapitel III sowohl zur eigenen Identifikation im Informationsregister als auch für alle IKT-Drittdienstleister, bei denen es sich um juristische Personen handelt, eine gültige und aktive Rechtsträgerkennung (Legal Entity Identifier, kurz: "LEI") haben. Für IKT-Dienstleister können auch die in Artikel 16 der Richtlinie (EU) 2017/1132 genannte europäische einheitliche Kennung (European Unique Identifier, kurz: "EUID") bzw., sofern vorhanden, beide Kennungen angeben werden. Diese sind für eine korrekte Identifizierung unerlässlich und müssen bei der Meldung von IKT-Vorfällen verwendet werden. Die Rechtsträgererkennung wird von der Global Legal Entity Identifier Foundation (GLEIF) betrieben und kann durch akkreditierte Organisationen geprüft und ausgegeben werden.
DORA-Compliance jetzt überprüfen
TÜV SÜD unterstützt Organisationen bei der Vorbereitung auf die Registrierungs- und Meldepflichten sowie bei der Umsetzung von Risiko- und Resilienzanforderungen. Compliance Audits ermöglichen das Aufdecken von Lücken in der Umsetzung der Verordnung und die Entwicklung eines klaren Fahrplans für deren Schließung. Auch IKT-Dienstleister hilft TÜV SÜD dabei, ihre vertraglichen Verpflichtungen zu erfüllen und die Compliance durch strukturierte Risikobewertungen nachzuweisen.
Weitere Informationen zu den DORA-Services von TÜV SÜD finden Sie unter tuvsud.com/en/themes/cybersecurity/digital-operational-resilience-act.
Das Informationsregister muss den Stand der vertraglichen Vereinbarungen bis zum 31. Dezember 2025 korrekt und vollständig abbilden. Die Bundesanstalt für Finanzdienstleistungen (BaFin), die dieses Register führt, hat angekündigt, in diesem Jahr höhere Anforderungen an die Transparenz in der Lieferkette zu stellen.
„DORA macht deutlich, dass operative Resilienz nicht nur ein IT-Thema, sondern eine Frage der Unternehmenssteuerung ist“, meint Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Gerade das Informationsregister zwingt viele Organisationen dazu, ihre Abhängigkeiten von IKT-Dienstleistern erstmals vollständig und strukturiert offenzulegen.“
Das Informationsregister ist nicht nur ein Compliance-Instrument, sondern bietet den Unternehmen auch die Möglichkeit, ihre Risiken im Zusammenhang mit IKT-Drittparteien transparent zu machen. Dadurch können sie potenzielle Schwachstellen und Abhängigkeiten von Dienstleistern aus bestimmten Regionen identifizieren.
Rechtsträgerkennung ist Pflicht
DORA-regulierte Organisationen müssen gemäß Kapitel III sowohl zur eigenen Identifikation im Informationsregister als auch für alle IKT-Drittdienstleister, bei denen es sich um juristische Personen handelt, eine gültige und aktive Rechtsträgerkennung (Legal Entity Identifier, kurz: "LEI") haben. Für IKT-Dienstleister können auch die in Artikel 16 der Richtlinie (EU) 2017/1132 genannte europäische einheitliche Kennung (European Unique Identifier, kurz: "EUID") bzw., sofern vorhanden, beide Kennungen angeben werden. Diese sind für eine korrekte Identifizierung unerlässlich und müssen bei der Meldung von IKT-Vorfällen verwendet werden. Die Rechtsträgererkennung wird von der Global Legal Entity Identifier Foundation (GLEIF) betrieben und kann durch akkreditierte Organisationen geprüft und ausgegeben werden.
DORA-Compliance jetzt überprüfen
TÜV SÜD unterstützt Organisationen bei der Vorbereitung auf die Registrierungs- und Meldepflichten sowie bei der Umsetzung von Risiko- und Resilienzanforderungen. Compliance Audits ermöglichen das Aufdecken von Lücken in der Umsetzung der Verordnung und die Entwicklung eines klaren Fahrplans für deren Schließung. Auch IKT-Dienstleister hilft TÜV SÜD dabei, ihre vertraglichen Verpflichtungen zu erfüllen und die Compliance durch strukturierte Risikobewertungen nachzuweisen.
Weitere Informationen zu den DORA-Services von TÜV SÜD finden Sie unter tuvsud.com/en/themes/cybersecurity/digital-operational-resilience-act.
