Der Digital Operational Resilience Act (Dora) verschärft die regulatorischen Anforderungen an die Finanzbranche im Bereich Cybersecurity. Im Fokus steht aktuell die jährliche Meldepflicht für das Informationsregister, auf die TÜV Süd hinweist. Finanzunternehmen müssen ihre Daten im Zeitraum vom 9. März bis 28. April bei der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) einreichen.
Das Register umfasst sämtliche vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistern und muss den Stand zum 31. Dezember 2025 vollständig und korrekt abbilden. Die Bafin hat angekündigt, die Anforderungen an die Transparenz entlang der Lieferkette in diesem Jahr weiter zu verschärfen.
Das Informationsregister dient nicht allein der Erfüllung regulatorischer Vorgaben. Es ermöglicht Unternehmen auch, ihre Abhängigkeiten von externen IKT-Dienstleistern systematisch zu erfassen und zu bewerten. Dadurch lassen sich potenzielle Risiken, etwa durch Konzentrationen auf bestimmte Anbieter oder Regionen, frühzeitig erkennen.
Ein zentraler Bestandteil der Meldung ist die eindeutige Identifikation aller beteiligten Parteien. Dora verlangt, dass sowohl die meldepflichtigen Unternehmen als auch ihre IKT-Dienstleister über eine gültige Rechtsträgerkennung verfügen.
Für die Identifikation ist der sogenannte „Legal Entity Identifier“ erforderlich. Dieser muss sowohl für das meldende Unternehmen als auch für alle juristischen IKT-Dienstleister vorliegen. Alternativ oder ergänzend kann die europäische einheitliche Kennung verwendet werden, sofern sie verfügbar ist.
Diese Identifikatoren sind nicht nur für das Informationsregister relevant, sondern auch für die Meldung von IKT-Vorfällen. Die Vergabe und Verwaltung der Kennungen erfolgt über die Global Legal Entity Identifier Foundation sowie autorisierte Vergabestellen.
