BaFin betont neue Transparenzpflichten für ICT-Drittanbieter im Rahmen von DORA

Frankfurt, Mai 2025 – Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hebt die Bedeutung des neuen Informationsverzeichnisses hervor, das im Rahmen der Digital Operational Resilience Act (DORA) von allen Finanzunternehmen geführt werden muss. Ziel ist es, Konzentrations- und Abhängigkeitsrisiken im Zusammenhang mit ICT-Drittanbietern besser zu erkennen und zu steuern. Laut BaFin verbessert das Verzeichnis die Transparenz sowohl für Unternehmen als auch für Aufsichtsbehörden und ermöglicht es, kritische ICT-Drittanbieter sowie sektorweite Verwundbarkeiten frühzeitig zu identifizieren. Diese Anforderung folgt auf einen von den Europäischen Aufsichtsbehörden (ESAs) im Sommer 2024 durchgeführten Probelauf, der Schwächen in der Datenqualität aufdeckte. Die entsprechenden Validierungsregeln wurden daraufhin überarbeitet.

Finanzunternehmen müssen ihr erstes vollständiges Verzeichnis bis spätestens 28. April 2025 bei der BaFin einreichen. Stichtag für die enthaltenen Vertragsdaten ist der 31. März 2025. Erfasst werden müssen sämtliche direkten und indirekten ICT-Dienstleister, die kritische oder wichtige Funktionen unterstützen, unter Verwendung eines LEI- oder EUID-Codes zur Identifikation.

Zur Vermeidung von Doppelmeldungen wird die BaFin das bestehende MVP-Verfahren zur Meldung von Auslagerungen überarbeiten und um DORA-relevante Angaben ergänzen, um die Einhaltung für betroffene Institute zu erleichtern.

Die BaFin unterstützt die Unternehmen weiterhin mit Workshops und einem laufend aktualisierten Informationsangebot auf ihrer Website.

Quelle: BaFin, zusammengefasst durch Lucht Probst Associates