(1)

Für die Zwecke des Informationsregisters gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen bezieht, die von Drittdienstleistern der Informations- und Kommunikationstechnologie (im Folgenden „IKT-Drittdienstleister“) bereitgestellt werden, müssen Standardvorlagen eingeführt werden. Die in diesem Register gesammelten Informationen sind für das interne IKT-Risikomanagement der Finanzunternehmen, für die wirksame Beaufsichtigung der Finanzunternehmen durch ihre zuständigen Behörden und für die Einrichtung und Ausübung der Überwachung kritischer IKT-Drittdienstleister durch die federführende Überwachungsbehörde von wesentlicher Bedeutung. Darüber hinaus sind diese Informationen für den jährlichen Prozess der Benennung kritischer IKT-Drittdienstleister durch die Europäische Bankenaufsichtsbehörde, die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung und die Europäische Wertpapier- und Marktaufsichtsbehörde (zusammen im Folgenden „Europäische Aufsichtsbehörden“ oder „ESA“) von wesentlicher Bedeutung.

(2)

Um sicherzustellen, dass die Ergebnisse der Aufsicht mit den bestehenden Aufsichtsrahmen im Einklang stehen, sollte das Mutterunternehmen von Finanzunternehmen, die Teil einer Gruppe im Sinne der Verordnung (EU) 2022/2554 sind, ermitteln, welche Unternehmen gemäß der Rechtsvorschriften der Union über Finanzdienstleistungen auf teilkonsolidierter und konsolidierter Ebene in das Informationsregister aufzunehmen sind. Zur Senkung der den Gruppen entstehenden Verwaltungskosten sollten diese die Möglichkeit haben, ein zentrales Informationsregister auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene anzulegen, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen bezieht, die von IKT-Drittdienstleistern für sämtliche Finanzunternehmen, die Teil dieser Gruppe sind, erbracht werden. In diesen Fällen sollte das zentrale Informationsregister es jedem Finanzunternehmen ermöglichen, seiner Verpflichtung zur Führung und Aktualisierung des Informationsregisters auf Unternehmensebene und gegebenenfalls auf teilkonsolidierter Ebene, einschließlich seiner Meldepflicht gegenüber seiner zuständigen Behörde, nachzukommen.

(3)

Gemäß Artikel 28 Absatz 1 Buchstabe b der Verordnung (EU) 2022/2554 müssen Finanzunternehmen beim Management des IKT-Drittparteienrisikos die Art, das Ausmaß, die Komplexität und die Relevanz IKT-bezogener Abhängigkeiten sowie die Risiken infolge vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die mit IKT-Drittdienstleistern geschlossen wurden, berücksichtigen. Bei dieser Risikobewertung sind die Kritikalität oder Bedeutung der jeweiligen Dienstleistungen, Prozesse oder Funktionen sowie die potenziellen Auswirkungen auf die Kontinuität und Verfügbarkeit von Finanzdienstleistungen und -tätigkeiten auf Unternehmens- und Gruppenebene zu berücksichtigen.

(4)

Bestimmte sektorspezifische Rechtsvorschriften der Union über Finanzdienstleistungen enthalten Anforderungen an die Auslagerung. Diese Anforderungen wurden in Leitlinien der ESA weiterentwickelt. Nach Maßgabe dieser Leitlinien wird von einigen Finanzunternehmen erwartet, dass sie im Rahmen ihres auslagerungsbezogenen Risikomanagements spezifische Informationen über ihre Auslagerungsvereinbarungen, in einigen Fällen auch in Form von Registern, erfassen. In den letzten Jahren haben mehrere zuständige nationale Behörden und die EZB im Rahmen ihrer Beaufsichtigung der Einhaltung der Auslagerungsanforderungen durch Finanzunternehmen Informationen erhoben, die in diesen Registern angegeben waren. Ausgehend von den Erfahrungen mit den verschiedenen Datenerhebungen, die in den letzten Jahren von den ESA und den zuständigen Behörden für die Auslagerungsregister durchgeführt wurden, sollten die Standardvorlagen technologieneutral mit offenen Tabellen gestaltet werden, die eine vorgegebene Anzahl von Spalten und eine unbestimmte Anzahl von Zeilen aufweisen. Darüber hinaus sollten die Standardvorlagen über verschiedene spezifische Schlüssel miteinander verknüpft werden, sodass eine Beziehungsstruktur zwischen diesen Vorlagen gebildet wird.

(5)

Um IKT-Dienstleistungen von einem IKT-Drittdienstleister, einschließlich gruppeninterner IKT-Dienstleister, in Anspruch zu nehmen, schließen Finanzunternehmen einen schriftlichen Vertrag mit dem IKT-Drittdienstleister ab. Bei Gruppen können gruppeninterne IKT-Dienstleister mit externen IKT-Drittdienstleistern einen Vertrag über die Erbringung von IKT-Dienstleistungen für ein oder mehrere Finanzunternehmen der Gruppe schließen. Damit die gesamte IKT-Dienstleistungskette erfasst wird, sollten Finanzunternehmen, die das Informationsregister führen, sowohl Informationen über die vertragliche Vereinbarung mit ihrem gruppeninternen IKT-Dienstleister als auch Informationen über die Vereinbarung zwischen dem gruppeninternen IKT-Dienstleister und den IKT-Drittdienstleistern, die als Unterauftragnehmer außerhalb der Gruppe tätig sind, melden. Daher sollte das Informationsregister eine spezielle Vorlage enthalten, die den Abgleich zwischen den gruppeninternen Verträgen und den Verträgen mit IKT-Drittdienstleistern außerhalb der Gruppe ermöglicht.

(6)

Die Erbringung von IKT-Dienstleistungen für Finanzunternehmen kann sich auf potenziell lange oder komplexe Ketten der Unterauftragsvergabe stützen, die von den Finanzunternehmen zu überwachen sind. Finanzunternehmen sollten die damit verbundenen Risiken, einschließlich der Konzentrationsrisiken von IKT-Drittdienstleistern im Hinblick auf IKT-Drittdienstleister, die eine kritische oder wichtige Funktion oder wesentliche Bereiche davon unterstützen, bewerten und dabei einen risikobasierten Ansatz und den Grundsatz der Verhältnismäßigkeit zugrunde legen. Um diese Bewertung zu ermöglichen, sollten die Finanzunternehmen nur diejenigen Unterauftragnehmer im Informationsregister erfassen müssen, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Bereiche davon sicherstellen, einschließlich aller Unterauftragnehmer, die IKT-Dienstleistungen erbringen, deren Störung die Sicherheit oder Kontinuität des Dienstangebots beeinträchtigen würde. Bei der Ermittlung dieser Unterauftragnehmer sollten Finanzunternehmen Aspekte der Geschäftsfortführung und der Kontinuität der IKT-Dienstleistungen sowie Aspekte der IKT-Sicherheit berücksichtigen.

(7)

Finanzunternehmen sollten ein Informationsregister führen und aktualisieren; dies gilt auch für den Fall, dass ein Finanzunternehmen seine gesamte Tätigkeit an ein anderes Unternehmen auslagert, da die Führung des Informationsregisters zur operativen Resilienz des betreffenden Finanzunternehmens beiträgt. Wenn ein Unternehmen für alle Tätigkeiten (einschließlich der IKT-Dienstleistungen) im Namen des Finanzunternehmens handelt, sollten daher die direkten IKT-Drittdienstleister dieses Unternehmens in den einschlägigen Vorlagen des Informationsregisters des Finanzunternehmens erfasst werden. In diesem Fall ist das Unternehmen nur als Unternehmen registriert, das das Register führt.

(8)

Im Interesse der Transparenz und Vergleichbarkeit der vertraglichen Vereinbarungen und der laufenden Überwachung dieser Vereinbarungen sollte sich das Informationsregister auf die operationellen Verbindungen zwischen den Finanzunternehmen und den IKT-Drittdienstleistern konzentrieren. Zu diesem Zweck sollte das Informationsregister vier Schlüssel verwenden, die unter anderem relevante Daten in den Vorlagen des Informationsregisters miteinander verknüpfen: i) die Kennnummer der vertraglichen Vereinbarung zwischen dem Finanzunternehmen, das diese Vereinbarung unterzeichnet, und dem direkten IKT-Drittdienstleister, ii) eine geeignete Kennung der Finanzunternehmen und IKT-Drittdienstleister, iii) die Funktionskennung und iv) die Art der IKT-Dienstleistungen.

(9)

Um die vertraglichen Vereinbarungen zwischen den Finanzunternehmen und den IKT-Drittdienstleistern gemäß der Verordnung (EU) 2022/2554 angemessen dokumentieren zu können, müssen die IKT-Drittdienstleister eine Identifikationsnummer aufweisen, die ihre kohärente und präzise Identifizierung durch die Finanzunternehmen und die ESA, das Aufsichtsforum und die zuständigen Behörden bei der Ausübung ihrer Aufsichtsbefugnisse, einschließlich der Benennung kritischer IKT-Drittdienstleister gemäß Artikel 31 der genannten Verordnung, ermöglicht. Bei juristischen Personen sind die LEI und die EUID anerkannte internationale und europäische Kennungen, die eine kohärente, eindeutige und zuverlässige Identifizierung von Unternehmen gewährleisten. Folglich sollte eine dieser beiden Kennungen zur Identifizierung der in der Union niedergelassenen IKT-Drittdienstleister für die Zwecke der Anwendung der genannten Verordnung verwendet werden und als Information gelten, die allen vertraglichen Vereinbarungen gemein ist; die Identifizierung von in Drittstaaten niedergelassenen IKT-Drittdienstleistern hingegen sollte lediglich anhand der LEI erfolgen. Die für das Informationsregister über IKT-Drittdienstleister verwendeten Vorlagen sollten für IKT-Dienstleister, die juristische Personen sind, Angaben zu einer dieser beiden Kennungen vorschreiben, während es natürlichen Personen, die in ihrer Eigenschaft als IKT-Dienstleister handeln, gestattet sein sollte, alternative Identifikationscodes zu verwenden.

(10)

Jedes Finanzunternehmen, einschließlich der Finanzunternehmen ein und derselben Gruppe, verfügt über eine eigene interne Funktionstaxonomie, die von seinen spezifischen Geschäftsmodellen und internen Organisationen abhängt. Um eine eindeutige Überwachung zu ermöglichen, bei der zwischen den Funktionen der Finanzunternehmen und den IKT-Dienstleistungen unterschieden wird, sollten die Finanzunternehmen selbst unter Verwendung der Funktionskennung auf individueller Ebene und auf Gruppenebene die maßgeblichen Funktionen benennen.

(11)

Um die Funktionsfähigkeit des Informationsregisters auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene für alle Finanzunternehmen, die Teil derselben Gruppe sind, zu gewährleisten, haben Finanzunternehmen die Korrektheit und Kohärenz aller Daten in diesem Register sicherzustellen. Zu diesem Zweck ist insbesondere eine kohärente Konsolidierung der Kennungen erforderlich, d. h. der Kennnummern der vertraglichen Vereinbarungen, der Funktionskennung, der LEI der Finanzunternehmen sowie der Kennungen der IKT-Drittdienstleister.

(12)

Zur Gewährleistung von Kohärenz und Harmonisierung und zur Vermeidung einer aufwendigen Wiederaufbereitung von Daten für Meldezwecke sollten bei der Gestaltung der Vorlagen und den Anforderungen an die Datenelemente die Aspekte der Datenverwaltung und der Meldepflicht berücksichtigt werden. Um die uneingeschränkte Vergleichbarkeit der im Informationsregister gemeldeten Informationen mit den in anderen regulatorischen oder statistischen Mitteilungen enthaltenen Informationen zu gewährleisten, sollten die Finanzunternehmen bei der Führung und Aktualisierung dieses Registers die Grundsätze der Datenqualität einhalten.

(13)

Diese Verordnung beruht auf dem Entwurf technischer Durchführungsstandards, der der Kommission von den ESA vorgelegt wurde.

(14)

Die ESA haben zu dem Entwurf der technischen Durchführungsstandards, auf den sich diese Verordnung stützt, offene öffentliche Anhörungen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und Empfehlungen der Interessengruppen der ESA nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates (2), Artikel 37 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates (3) und Artikel 37 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates (4) eingeholt.

(15)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates angehört (5).