Success Story

Die Erstellung des Informationsregisters gemäß DORA-Verordnung stellt für kleine Finanzunternehmen eine große Herausforderung dar. Mit der Entwicklung eines unkompliziert zu implementierenden Tools wollte one.point.five Abhilfe schaffen.

Kontext

Mit der EU‑Verordnung DORA (Digital Operational Resilience Act) wird geregelt, dass Finanzunternehmen ihre digitale Resilienz gegen Risiken wie Dienstleisterausfälle oder Cyberangriffe sicherstellen müssen. Ein Kernstück dieser Regelung ist das sogenannte Informationsregister gemäß Artikel 28 DORA. Darin werden alle relevanten IKT-Drittanbieterbeziehungen (IKT = Informations‑ und Kommunikationstechnologie) dokumentiert.

Ziel ist, volle Transparenz über alle ausgelagerten IKT-Dienstleistungen zu schaffen – inklusive Angaben zu Verträgen, Leistungen, Risiken und Abhängigkeiten. So bekommen sowohl Aufsichtsbehörden als auch die Unternehmen selbst schnell ein klares Bild und können frühzeitig mögliche Risiken in der Lieferkette erkennen und steuern.

Viele Institute stehen bei der Befüllung dieses Registers vor großen Herausforderungen: Informationen sind oft verteilt, unstrukturiert oder in verschiedenen Formaten abgelegt. Zudem ist der Aufbau des Registers komplex und ohne Spezialwissen nur schwer und mit hohem Zeitaufwand zu bewältigen. Genau hier setzt unser Tool InfoRex an: Es wurde speziell entwickelt, um das DORA‑Informationsregister zügig, strukturiert und regelkonform zu befüllen.

Herausforderungen

Während der Entwicklung standen wir vor unterschiedlichen Herausforderungen. Zunächst war unklar: In welchem Format muss das Informationsregister eingereicht werden? Die ESAs gaben zu Beginn der Entwicklung eine Abgabe in Form einer zip-Datei mit den verschiedenen Tabellenblättern des Registers in XLS-Format vor. Die BaFin hatte aber bereits angekündigt, dass sie ein eigenes Template für deutsche Finanzunternehmen für die Einreichung zur Verfügung stellt. Es war also zunächst unsicher, in welchem Format InfoRex die eingegebenen Daten am Ende ausgeben soll.

Während der Business Analyse und Entwicklung sahen wir uns mit weiteren Unsicherheiten bezüglich der Regulatorik konfrontiert: an verschiedenen Stellen des Informationsregisters war unklar, wie die regelkonforme Befüllung aussah. Die FAQs der ESAs und der BaFin gaben keine eindeutige Lösung vor. Hier half uns am Ende unsere Praxiserfahrung bei der Erstellung der Informationsregister verschiedener Kunden.

Die wesentliche Herausforderung bei der Entwicklung von InfoRex bestand in der Komplexität des Informationsregisters. Die verschiedenen Verknüpfungen und Bedingungen, die für das Register gelten, sollten alle in InfoRex abgebildet werden. Dies erforderte eine intensive Auseinandersetzung mit allen Regularien und Hinweisen der ESAs zum Informationsregister. Hier kam aber auch wieder Unklarheiten dieser Regularien zum Tragen: es war nicht immer klar, was letztendlich korrekt ist, und was zur Ablehnung des Informationsregisters am Ende führen würde. Hier half uns neben der Praxiserfahrung aus den parallellaufenden Projekten auch ein intensives Testen von InfoRex.

Vorgehen

Die Entwicklung von InfoRex begann mit dem Erstellen von Mock-Ups, um eine anwenderfreundliche und optisch ansprechende User Experience sicherzustellen. Anschließend wurde mit der Business Analyse begonnen. Es wurden die genauen regulatorischen Vorgaben aus Artikel 28 DORA und die technische Spezifikation (ITS zum Informationsregister) analysiert. Dabei ging es vor allem um Fragen wie: Welche Datenpunkte sind besonders relevant oder liegen mehrfach vor? Welche Validierungsregeln sind relevant? Diese Phase orientierte sich an Best Practices aus vorangegangen Entwicklungen und der Erfahrung aus den bereits laufenden Projekten zum Informationsregister.

Der nächste Schritt war die Entwicklung von InfoRex. Das bedeutete, dass die Ergebnisse der Business Analyse an unseren Entwickler übergeben wurden zur Umsetzung der Anforderungen in Form des Schreiben der erforderlichen Makros in Excel.

Nach der Entwicklung folgte die Phase des Testings: Es wurde überprüft, ob alle Funktionen den Anforderungen entsprechen und alle Bedingungen berücksichtigt wurden. Hier half uns erneut unsere Erfahrung aus der Praxis. Während dieser Phase flossen neue Erkenntnisse stetig in die Fehlerbehebung und Weiterentwicklung von InfoRex ein.

Ergebnisse

Schnelle und zuverlässige Register-Erstellung: InfoRex ermöglicht kleinen Finanzunternehmen, ihr Informationsregister zügig und automatisiert – ganz ohne manuelles Ausfüllen in BaFin- oder ESA-Templates – zu erstellen.

Deutlich geringerer Zeit- und Ressourcenaufwand: Statt tagelanger Dateneingabe in unübersichtlichen Templates genügt eine strukturierte Eingabe in InfoRex – schneller, fehlerärmer und effizient.

Bessere Datenqualität & Compliance-Sicherheit: Ausfüllhinweise und feste Strukturen verbessern die Datenqualität deutlich. Fehlerquoten sinken, Risiken durch unvollständige oder falsche Daten werden minimiert.

Flexibles Reporting: Das Tool generiert die erforderlichen Reporting-Dateien jederzeit im geforderten Format – optimal gerüstet für zukünftige Anpassungen.

Learnings

Durch die Entwicklung von InfoRex konnten wir die folgenden Learnings erzielen:

• Praxiswissen ist von entscheidender Bedeutung: Offizielle FAQs bieten häufig keine letzte Klarheit. Unsere Erfahrungen aus anderen Projekten waren entscheidend, um Unsicherheiten bei Feldern und Regularien zu lösen.

• Iteratives Testen schafft Robustheit: Fehlerquellen zeigte InfoRex erst in iterativen Läufen. Dieser enge Entwicklungszyklus machte das Tool robust.

• Mock-Ups und Usability-Tests halfen, Komplexes übersichtlich darzustellen. Ein Tool funktioniert, wenn es Mitarbeitende auch gern nutzen.

• Anpassungen etwa bei Datenpunkten oder Templates müssen ohne großen Aufwand einfließen können.

Fazit

Mit InfoRex haben wir die Hürde der Register-Erstellung deutlich gesenkt. Finanzunternehmen erhalten ein praxistaugliches Tool, das:

• Schnell einsatzfähig ist,

• Fehler reduziert und

• regulatorisch zuverlässig liefert.

Das Ergebnis: weniger Aufwand, mehr Sicherheit und eine Grundlage, um auch künftig den Anforderungen der DORA-Verordnung gerecht zu werden.