Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel VI

Informationsregister als Transparenzinstrument.

Das Informationsregister macht IKT-Abhängigkeiten und -Risiken fuer Aufsicht und Institut transparent. Regulierte Tätigkeiten und EBA-Identifier sind zentrale Datenqualitätsanker.

Management-Zusammenfassung

  • Das Informationsregister erfasst alle IKT-Drittdienstleistungen mit Zuordnung zu regulierten Tätigkeiten.
  • Genehmigte / regulierte Tätigkeiten werden mit Code of Licensed Activity und EBA-Identifikatoren abgebildet.
  • Datenqualitätskontrollen, Verantwortlichkeiten und Fehlerprotokolle sichern die Vollständigkeit und Korrektheit.
  • Review-Zyklen und Einreichungsprozesse sind dokumentiert und managementseitig gesteuert.

Sollzustand

  • IKT-Drittparteien und deren Leistungen sind im Register erfasst und regulierten Tätigkeiten zugeordnet.
  • Kritikalitätsbewertung und kwF-Relevanz sind dokumentiert.
  • EBA-Identifier sind für jede regulierte Tätigkeit hinterlegt.
  • Datenqualität und Aktualität sind durch regelmässige Kontrollen sichergestellt.
  • Einreichung an BaFin ist fristgerecht möglich.

Umsetzungsschritte

  • Registerstruktur und Datenmodell mit regulierten Tätigkeiten definieren.
  • Drittparteien-Inventar mit Leistungszuordnung aufbauen.
  • Code of Licensed Activity und EBA-Identifier integrieren.
  • Verantwortlichkeiten fuer Datenpflege und -qualität festlegen.
  • Datenqualitätskontrollen und Fehlerprotokolle etablieren.
  • Einreichungsprozess und Fristen managen.
  • Review-Zyklen für Registerdaten institutionalisieren.

Regulierte Tätigkeiten und Vertragsanbindung im Informationsregister

Genehmigte Tätigkeiten

Alle regulierten Tätigkeiten aus der Zulassung werden im Register erfasst und den IKT-Dienstleistungen zugeordnet.

Code of Licensed Activity

Standardisierte Codes für genehmigte Tätigkeiten ermöglichen die konsistente Abbildung im Meldewesen.

EBA-Identifier

EU-weit einheitliche Identifikatoren dienen als Datenqualitätsanker für das Informationsregister.

Datenqualität

Regelmässige Qualitätskontrollen, Fehlerprotokolle und Korrekturprozesse sichern die Registerdatenqualität.

IKT-Verträge Anbindung

Jeder IKT-Drittdienstleistung im Register sind die zugrunde liegenden Verträge zugeordnet, inklusive Kündigungsfristen, SLA-Parameter und Exit-Bedingungen.

Regulierte Tätigkeiten (DORA-RTA)

Die Zuordnung regulierter Tätigkeiten zu IKT-Dienstleistungen ist der zentrale Datenqualitätsanker des Informationsregisters und Voraussetzung für aufsichtsrechtliche Einreichungen.

Management Summary

  • Governance und Verantwortlichkeiten sind klar auf Management-Ebene verankert.
  • Risikobasierte Umsetzung und Nachweislogik sind verbindlich definiert.
  • Wesentliche Feststellungen werden regelmaessig in Steuerungsgremien berichtet.
  • Abweichungen werden mit Fristen, Ownern und Reifegradwirkung nachverfolgt.

Typische Lücken & ISO/IEC 27001-Verbindung

  • Unklare Ownership zwischen Fachbereichen, Auslagerungsmanagement und Informationsregister-Beauftragten.
  • Fehlende oder inkonsistente Zuordnung regulierter Tätigkeiten zu IKT-Dienstleistungen.
  • ISO/IEC 27001:2022 Bezug auf Rollen, Kontrollen, Lieferantensteuerung und kontinuierliche Verbesserung herstellen.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen, um DORA-Anforderungen in ein wirksames ISMS zu integrieren.

  • A.5 Informationssicherheitsrichtlinien und Governance
  • A.5.19 bis A.5.23 Lieferantenbeziehungen und Cloud-/Dienstleistersteuerung
  • A.5.24 bis A.5.27 Incident-, Continuity- und Lernprozesse
  • A.5.33 bis A.5.34 Dokumentation und Informationsregister
  • A.8 Technologische Kontrollen fuer Resilienz, Ueberwachung und Wiederherstellung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung