DORA: Register of ICT Contract Information – die polnische Finanzaufsichtsbehörde wird bald das Signal „Ich prüfe“ geben

Eine der wichtigen Verpflichtungen, die die DORA-Verordnung Finanzunternehmen auferlegt, ist die Führung und Vorlage eines Registers der IKT-Vertragsinformationen (ROI) bei der polnischen Finanzaufsichtsbehörde.

Dieses Register ist mehr als eine Liste von Verträgen mit IKT-Lieferanten. Sein Zweck ist es, eine Datenbank zu erstellen, die aus der Perspektive des IKT-Risikomanagements von entscheidender Bedeutung ist. Die ROI soll die Abhängigkeiten zwischen dem Finanzinstitut und seinen Lieferanten abbilden und den Aufsichtsbehörden einen vollständigen Einblick und die Kontrolle über diese Beziehungen ermöglichen.

Die Frist für die Erstellung und Einreichung des ersten ROI beim KNF rückt näher. Laut KNF werden die ersten ROI-Berichte im April 2025 eingereicht (das genaue Datum wird Anfang April bekannt gegeben).

Verantwortungsbereich und zentrale Herausforderungen

Zur Erstellung des ROI müssen Finanzunternehmen eine Reihe von Informationen sammeln, darunter:

• Informationen zu spezifischen IKT-Verträgen, einschließlich grundlegender Informationen wie die Parteien, die Art der Dienstleistungen, die Abschluss- und Gültigkeitsdaten sowie detailliertere Informationen zum Vertragswert, zu den Kündigungsfristen, zum Ort der Leistungserbringung oder zur Datenspeicherung.
• LEI-Nummern von IKT-Lieferanten und -Subunternehmern.
• Bei Verträgen, die kritische oder wichtige Funktionen unterstützen, sind umfassende Informationen über die Lieferkette erforderlich.

Für viele Finanzinstitute besteht die größte Herausforderung darin, Daten für das ROI-Register zu erhalten. Diese Informationen werden oft nicht zentral gesammelt, was die Einbeziehung verschiedener Organisationseinheiten und externer IKT-Anbieter erfordert, was den Prozess verzögern kann.

Formale Anforderungen, Validierung und Änderung von Richtlinien

Die Datenerfassung ist nur der erste Schritt. Die nächste Herausforderung besteht darin, das ROI-Register gemäß den Anforderungen der polnischen Finanzaufsichtsbehörde (KNF) korrekt auszufüllen.

Die Berichtspflicht wird über das KNF-Berichtssystem unter Verwendung spezieller ROI-Formulare erfüllt. Das Register muss bestimmte Standards erfüllen – ein falsches Datenformat, fehlende Pflichtfelder oder ein falscher Dateiname können zur Ablehnung führen, was eine dringende Korrektur und erneute Einreichung bedeutet.

Eine weitere Herausforderung ist das sich ändernde regulatorische Umfeld. Taxonomien, Formulare und Anweisungen werden ständig aktualisiert, sodass Finanzinstitute die KNF- und EBA-Richtlinien befolgen müssen, um die neuesten Anforderungen zu erfüllen und Probleme bei der Einreichung des Registers zu vermeiden.

Daten in Kapitalgruppen

Für Kapitalgruppen stellt die Konsolidierung des ROI-Registers eine zusätzliche Herausforderung dar. Ein Finanzunternehmen, das ein konsolidiertes ROI führen muss, muss nicht nur seine eigenen Verträge mit IKT-Lieferanten, sondern auch ähnliche Informationen von seinen Tochtergesellschaften (sofern diese DORA unterliegen) einbeziehen.

Für Finanzunternehmen bedeutet dies, dass sie

Überprüfen Sie, ob und in welchem Umfang ihr ROI einer Konsolidierung unterliegt,

holen Sie Daten von Tochtergesellschaften rechtzeitig ein, um sie zu überprüfen und in das Register einzutragen, wenn eine Konsolidierung erforderlich ist.

Die Standardisierung der Art und Weise, wie Daten von einzelnen Unternehmen gemeldet werden, ist der Schlüssel zur Vermeidung von Inkonsistenzen im konsolidierten ROI-Register.

Wie bereitet man sich vor?

Aufgrund der Komplexität des Prozesses zur Erstellung eines korrekten ROI liegt meiner Meinung nach der Schlüssel zum Erfolg des gesamten Unternehmens in der Einführung eines internen Prozesses zur Erstellung des Registers, der Folgendes umfassen sollte:

1. sorgfältige Einarbeitung in die Definitionen in DORA und Durchführungsrechtsakten sowie die Auslegung der KNF-Richtlinien;
2. für Kapitalgruppen: Ermittlung der vom Register erfassten Unternehmen – Feststellung, welche Unternehmen innerhalb der Finanzgruppe der Meldepflicht unterliegen;
3. Erfassung und Vervollständigung von Daten in den entsprechenden Formularen – Ermittlung fehlender Informationen und Kontaktaufnahme mit Lieferanten, um diese zu erhalten.
4. Einhaltung von Formaten und Taxonomie
5. Regelmäßige Überwachung regulatorischer Änderungen – Verfolgung von Aktualisierungen durch die KNF und die EBA, um sicherzustellen, dass die Organisation mit den richtigen Formularen und in Übereinstimmung mit den aktuellen Richtlinien arbeitet.

Zusammengefasst

Das IKT-Vertragsinformationsregister ist eine zentrale Verpflichtung für Finanzunternehmen, die unter DORA fallen, und seine Erstellung erfordert Zeit, besondere Sorgfalt und Präzision. Die Nichteinhaltung der Anforderungen der PFSA kann dazu führen, dass der Bericht abgelehnt wird und in extremen Fällen schwere Sanktionen verhängt werden.

Finanzinstitute sollten intensiv an ihren Aufzeichnungen arbeiten und auch die Aktualisierungen durch die PFSA und die EBA überwachen, da sich ändernde Richtlinien zusätzliche Anpassungen bei der Berichterstattung erforderlich machen können.

Nützliche Materialien

• EBA: Leitlinien und Materialien zu DORA
• KNF: DORA-Meldeplattform (Meldeformulare, detaillierte Anweisungen und KNF-Leitlinien, Anmeldung erforderlich)