Was ist das Informationsregister (Register of Information) unter DORA?

Das **Informationsregister** ist nach **Art. 28 Abs. 3 DORA (Verordnung (EU) 2022/2554)** von jedem Finanzunternehmen zu führen und laufend zu aktualisieren: ein vollständiges Verzeichnis **aller vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen** durch IKT-Drittdienstleister — und zwar auf **Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene**. Es ist das zentrale Bestandsinstrument des DORA-Drittparteienrisikomanagements ^[1].

Das Register ist mehr als eine Vertragsliste: Es verknüpft jeden Dienstleister, jede Funktion und jede Vereinbarung mit der Frage, ob eine **kritische oder wichtige Funktion** gestützt wird. Damit ist es die Datenbasis, auf der Aufsicht und Unternehmen Konzentrationsrisiken und die Abhängigkeit von einzelnen Anbietern beurteilen — und es speist die EU-weite Benennung **kritischer IKT-Drittdienstleister (CTPPs)**.

Das Format ist nicht freigestellt. **Art. 28 Abs. 9 DORA** ermächtigt die Europäischen Aufsichtsbehörden (ESAs), technische Durchführungsstandards für die Standardvorlagen zu entwerfen. Das Ergebnis ist die **Durchführungsverordnung (EU) 2024/2956 vom 29. November 2024**, deren Anhänge I–IV die genaue Struktur des Registers vorgeben — von Vertragsstammdaten über die Kette der Unterauftragnehmer bis zur Zuordnung zu kritischen Funktionen ^[2].

Wichtig für die Recherche: Diese ITS sind **nicht** mit den Standards zum Vorfallmeldewesen zu verwechseln (RTS/ITS der Familie 2025/301 und 2025/302). Das Informationsregister und die Meldung schwerwiegender IKT-Vorfälle sind getrennte DORA-Pflichten mit eigenen Rechtsakten.

DORA gilt seit dem **17. Januar 2025**. Im **Frühjahr 2025 (um April)** führten die zuständigen Behörden eine erste Erhebung durch: Finanzunternehmen übermittelten ihre Register an ihre nationale Aufsicht, die sie an die ESAs weiterleitete — unter anderem als Grundlage für die Benennung kritischer Drittdienstleister. Diese Übung war kein Einmalakt, sondern der Auftakt einer wiederkehrenden, meldepflichtigen Routine ^[1][2].

Praktisch verlangt das Register eine **prüffähige, stets aktuelle Datenhaltung** über alle IKT-Verträge hinweg — inklusive Änderungen bei Unterauftragnehmern. Genau hier zahlt sich kontinuierliche Überwachung aus: Neue ESA-Q&As, aktualisierte Vorlagen oder nationale Erhebungsfenster dürfen nicht in einem Postfach versanden.