Was ist das ICT-Drittparteienregister nach DORA Art. 28?

Commission Delegated Regulation (EU) 2024/1773 (RTS zum Drittparteienrisiko) konkretisiert die Mindestfelder, die für jeden gelisteten ICT-Anbieter dokumentiert sein müssen ^[1]. Diese sind nicht optional; ein Register ohne sie wird in einer Inspektion 2026 substantiell beanstandet.

Die wichtigsten Pflichtfelder: Anbieter-LEI bzw. eindeutige Identifikation, beschriebene ICT-Dienstleistung mit ESA-Taxonomie-Code, Kritikalitäts­bewertung gemäß Art. 30 DORA, Substituier­barkeit innerhalb von 30/60/90 Tagen, Vertragsbeginn/Vertragsende, Lokation der Daten­verarbeitung (Land), Lokation des Datenspeichers (Land), Sub-Outsourcing-Kette mit den jeweiligen Anbietern, einschlägige Audit-Rechte.

Art. 28 verlangt eine Kritikalitäts­bewertung pro Anbieter; Art. 30 definiert, wann ein Anbieter „kritisch oder wichtig" ist — wenn sein Ausfall die finanzielle Performance, Solvenz oder den Betrieb des Instituts erheblich beeinträchtigen würde ^[2]. Für kritische Anbieter gelten zusätzliche Anforderungen: dokumentierte Exit-Strategie, BCM-Tests, vertragliche Audit-Rechte einschließlich On-Site-Inspektion durch die Aufsicht.

Der häufigste Befund in 2026-Inspektionen: Der direkte ICT-Anbieter ist im Register, aber die Sub-Outsourcing-Kette dahinter fehlt. Die Aufsichts­erwartung (EIOPA Supervisory Convergence 2025/2026) verlangt mindestens zwei Schwellen: (a) Jeder Sub-Anbieter, der personen­bezogene Daten verarbeitet, muss namentlich dokumentiert sein; (b) jeder Infrastruktur­anbieter, dessen Ausfall den Betrieb einer kritischen Funktion unterbrechen würde, muss genannt sein ^[3].

Die nationale zuständige Behörde (BaFin, AMF, EIOPA, je nach Sektor) verlangt die Register-Einreichung einmal jährlich zum 31. März. Die Einreichungs­vorlage ist im ESA-Joint-Committee-Beschluss harmonisiert; ein abweichendes Format führt zu automatischer Rückweisung. Sub-Outsourcing-Updates innerhalb des Jahres müssen ad-hoc gemeldet werden, sobald sie kritische Funktionen betreffen ^[1].