Der Digital Operational Resilience Act (DORA) und die potentielle Rolle des LEI-Codes: unser aktueller Kenntnisstand
Inhaltsverzeichnis
- Die Stärkung der aktuelle Rahmen von DORA
- Der digitalen Resilienz im Finanzsektor
- Die potenzielle Rolle des LEI im DORA
- Überwachung der IKT-Risiken
Erfahren Sie mehr über die potenzielle Rolle des LEI-Codes in der DORA-Verordnung und wie dieser zur Stärkung der digitalen Resilienz im Finanzsektor beitragen kann.
Der mit der Verordnung (EU) 2022/2554 eingeführte Digital Operational Resilience Act (DORA) ist eine der zentralen EU-Initiativen zur Stärkung der digitalen Resilienz im Finanzsektor. Ziel von DORA ist es, Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) sowie Drittanbietern, die solche Dienstleistungen für Finanzunternehmen (Financial Entities, FEs) bereitstellen, zu minimieren.
Ein potenziell wichtiges Instrument in DORA ist der Legal Entity Identifier (LEI) - ein Code zur eindeutigen Identifizierung von Rechtsträgern, der die Überwachung sowie das Management von Vertragsbeziehungen zwischen Finanzunternehmen (FEs) und IKT-Dienstleistern erleichtern kann. Es ist jedoch darauf hinzuweisen, dass die Verwendung des LEI-Codes noch nicht bestätigt wurde und als Option in den von der ESMA erstellten Dokumenten diskutiert wird, insbesondere im Kontext der Entwürfe technischer Standards zur Erfassung von Informationen über Verträge mit IKT-Drittdienstleistern gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554.
Der aktuelle Rahmen von DORA
DORA soll sicherstellen, dass Finanzinstitute einen strategischen und proaktiven Ansatz für das Management von Risiken verfolgen, die sich aus externen IKT-Dienstleistungen ergeben, und damit die Sicherheit des europäischen Finanzsektors erhöhen. Kernpunkt der Verordnung ist, dass Finanzunternehmen (FEs) ein detailliertes Informationsregister führen und aktualisieren müssen, das alle vertraglichen Beziehungen mit IKT-Dienstleistern (Third Party Providers oder IKT-TPPs) dokumentiert. Dieses Register wird den zuständigen Behörden (Competent Authorities, CAs) einen klaren und laufenden Überblick über die IKT-Abhängigkeiten der Finanzunternehmen (FEs) geben und somit eine genauere und gezieltere Aufsicht ermöglichen.
Derzeit wird unter anderem diskutiert, den LEI-Code als eindeutigen Identifikator für die an Verträgen mit IKT-Anbietern beteiligten Unternehmen einzuführen, was die Transparenz erhöhen und ein effizienteres Management der mit der Nutzung dieser Dienste verbundenen operationellen Risiken ermöglichen würde. Die Umsetzung ist jedoch noch nicht bestätigt.
Die potenzielle Rolle des LEI im DORA
Der Legal Entity Identifier (LEI) wird im Finanzsektor bereits zur eindeutigen Identifizierung von Rechtsträgern verwendet, um die Transparenz bei Finanztransaktionen zu erhöhen. Im Kontext von DORA könnte der LEI ein nützliches Instrument zur Identifizierung und Überwachung von IKT-Dienstleistern und Finanzunternehmen sein, das es ermöglicht, Informationen über Verträge und damit verbundene Risiken standardisiert zu erfassen und zu verwalten.
Diese Standardisierung wäre von entscheidender Bedeutung, um Redundanzen zu vermeiden und Meldepflichten der Finanzunternehmen zu reduzieren. Insbesondere könnte der LEI in dem von DORA geforderten Informationsregister nicht nur zur Identifizierung von Rechtsträgern, sondern auch zur Erfassung von Informationen über vertragliche Beziehungen sowohl innerhalb der Finanzgruppe (z.B. zwischen Tochtergesellschaften) als auch extern mit Drittdienstleistern verwendet werden. Dieser Ansatz würde es den Behörden erleichtern, Daten über Risiken im Zusammenhang mit der Nutzung von IKT-Dienstleistungen genauer zu analysieren. Wie die ESMA jedoch in ihren Entwürfen für technische Standards mitgeteilt hat, ist die Einführung des LEI-Codes noch nicht endgültig.
Überwachung der IKT-Risiken
Ein zentrales Element von DORA ist die Notwendigkeit, kritische oder wichtige Funktionen zu klassifizieren, die von externen IKT-Dienstleistern abhängen. Die Finanzunternehmen (FEs) sind aufgefordert, nicht nur ihre eigenen operativen und geschäftlichen Funktionen zu ermitteln, sondern auch zu bewerten, welche davon von Drittdienstleistern unterstützt werden. Dieser Prozess ist für das Verständnis und die Minderung der operationellen Risiken, die mit der Auslagerung von IKT-Dienstleistungen verbunden sind, von entscheidender Bedeutung.
Die Verordnung sieht auch einen Grundsatz der Verhältnismäßigkeit vor: Der Umfang der von den Finanzunternehmen (FEs) zu meldenden Informationen variiert je nach Komplexität und Anzahl der beteiligten Anbieter. Beispielsweise muss ein Unternehmen, das viele IKT-Lieferanten in Anspruch nimmt, detailliertere Angaben machen als ein Unternehmen, das nur wenige externe Dienstleistungen in Anspruch nimmt. Darüber hinaus sind auch Informationen über Unterauftragnehmer erforderlich, damit die Behörden die gesamte IKT-Lieferkette vollständig überwachen können.
Insgesamt stellt DORA einen wichtigen Schritt zur Stärkung der digitalen operativen Resilienz im europäischen Finanzsektor dar, mit besonderem Schwerpunkt auf dem Risikomanagement von IKT-Dienstleistern. Obwohl sich der Legal Entity Identifier (LEI) als wertvolles Instrument erweisen könnte, um mehr Transparenz und Einheitlichkeit bei der Verwaltung von Vertragsbeziehungen mit IKT-Anbietern zu gewährleisten, befindet sich seine amtliche Einführung noch in der Evaluierungsphase.
Die Europäischen Aufsichtsbehörden (ESAs) haben kürzlich eine Stellungnahme zu den technischen Durchführungsstandards (ITS) für die Standardvorlagen für das Informationsregister gemäß Artikel 28(9) der Verordnung (EU) 2022/2554 (DORA) veröffentlicht. Dieses Register soll das IKT-Risikomanagement von Finanzunternehmen verbessern und die Aufsichtsbehörden bei der Überwachung dieser Risiken unterstützen. Während die ESAs die obligatorische Verwendung des Legal Entity Identifier (LEI) zur Identifizierung von IKT-Drittdienstleistern vorgeschlagen haben, hat die Europäische Kommission empfohlen, sowohl den LEI als auch den Unique European Identifier (EUID) zuzulassen. Die ESAs äußern Bedenken hinsichtlich dieses dualen Ansatzes und weisen darauf hin, dass dies den Umsetzungsaufwand und die Komplexität für die Finanzunternehmen erhöhen könnte.
Zukünftige regulatorische Entscheidungen, wie die von der ESMA vorgeschlagenen, werden klären, ob und wie die LEI in den operativen Rahmen der DORA integriert wird. Sicher ist, dass der Fokus auf digitale Sicherheit und IKT-Risikomanagement eine zentrale Priorität bleiben wird, um die Stabilität und Resilienz des Finanzsektors in einem zunehmend komplexen technologischen Umfeld zu gewährleisten.
