Preamble Recitals

Für die Zwecke des Informationsregisters gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; bezieht, die von Drittdienstleistern der Informations- und Kommunikationstechnologie (im Folgenden „IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;“) bereitgestellt werden, müssen Standardvorlagen eingeführt werden. Die in diesem Register gesammelten Informationen sind für das interne IKT-Risikomanagement der Finanzunternehmen, für die wirksame Beaufsichtigung der Finanzunternehmen durch ihre zuständigen Behörden und für die Einrichtung und Ausübung der Überwachung kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde; durch die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; von wesentlicher Bedeutung. Darüber hinaus sind diese Informationen für den jährlichen Prozess der Benennung kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde; durch die Europäische Bankenaufsichtsbehörde, die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung und die Europäische Wertpapier- und Marktaufsichtsbehörde (zusammen im Folgenden „Europäische Aufsichtsbehörden“ oder „ESA“) von wesentlicher Bedeutung.

Um sicherzustellen, dass die Ergebnisse der Aufsicht mit den bestehenden Aufsichtsrahmen im Einklang stehen, sollte das Mutterunternehmenein Mutterunternehmen im Sinne von Artikel 2 Nummer 9 und Artikel 22 der Richtlinie 2013/34/EU; von Finanzunternehmen, die Teil einer Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; im Sinne der Verordnung (EU) 2022/2554 sind, ermitteln, welche Unternehmen gemäß der Rechtsvorschriften der Union über Finanzdienstleistungen auf teilkonsolidierter und konsolidierter Ebene in das Informationsregister aufzunehmen sind. Zur Senkung der den Gruppen entstehenden Verwaltungskosten sollten diese die Möglichkeit haben, ein zentrales Informationsregister auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene anzulegen, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; bezieht, die von IKT-Drittdienstleistern für sämtliche Finanzunternehmen, die Teil dieser Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; sind, erbracht werden. In diesen Fällen sollte das zentrale Informationsregister es jedem Finanzunternehmen ermöglichen, seiner Verpflichtung zur Führung und Aktualisierung des Informationsregisters auf Unternehmensebene und gegebenenfalls auf teilkonsolidierter Ebene, einschließlich seiner Meldepflicht gegenüber seiner zuständigen Behörde, nachzukommen.

Gemäß Artikel 28 Absatz 1 Buchstabe b der Verordnung (EU) 2022/2554 müssen Finanzunternehmen beim Management des IKT-Drittparteienrisikosein IKT-bezogenes Risiko, das für ein Finanzunternehmen im Zusammenhang mit dessen Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden; die Art, das Ausmaß, die Komplexität und die Relevanz IKT-bezogener Abhängigkeiten sowie die Risiken infolge vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die mit IKT-Drittdienstleistern geschlossen wurden, berücksichtigen. Bei dieser Risikobewertung sind die Kritikalität oder Bedeutung der jeweiligen Dienstleistungen, Prozesse oder Funktionen sowie die potenziellen Auswirkungen auf die Kontinuität und Verfügbarkeit von Finanzdienstleistungen und -tätigkeiten auf Unternehmens- und Gruppenebene zu berücksichtigen.

Bestimmte sektorspezifische Rechtsvorschriften der Union über Finanzdienstleistungen enthalten Anforderungen an die Auslagerung. Diese Anforderungen wurden in Leitlinien der ESA weiterentwickelt. Nach Maßgabe dieser Leitlinien wird von einigen Finanzunternehmen erwartet, dass sie im Rahmen ihres auslagerungsbezogenen Risikomanagements spezifische Informationen über ihre Auslagerungsvereinbarungen, in einigen Fällen auch in Form von Registern, erfassen. In den letzten Jahren haben mehrere zuständige nationale Behörden und die EZB im Rahmen ihrer Beaufsichtigung der Einhaltung der Auslagerungsanforderungen durch Finanzunternehmen Informationen erhoben, die in diesen Registern angegeben waren. Ausgehend von den Erfahrungen mit den verschiedenen Datenerhebungen, die in den letzten Jahren von den ESA und den zuständigen Behörden für die Auslagerungsregister durchgeführt wurden, sollten die Standardvorlagen technologieneutral mit offenen Tabellen gestaltet werden, die eine vorgegebene Anzahl von Spalten und eine unbestimmte Anzahl von Zeilen aufweisen. Darüber hinaus sollten die Standardvorlagen über verschiedene spezifische Schlüssel miteinander verknüpft werden, sodass eine Beziehungsstruktur zwischen diesen Vorlagen gebildet wird.

Um IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; von einem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, einschließlich gruppeninterner IKT-Dienstleisterein Unternehmen, das Teil einer Finanzgruppe ist und überwiegend IKT-Dienstleistungen für Finanzunternehmen derselben Gruppe oder für Finanzunternehmen, die demselben institutsbezogenen Sicherungssystem angehören, bereitstellt, einschließlich deren Mutterunternehmen, Tochterunternehmen und Zweigniederlassungen oder anderer Unternehmen, die in gemeinsamem Eigentum oder unter gemeinsamer Kontrolle stehen;, in Anspruch zu nehmen, schließen Finanzunternehmen einen schriftlichen Vertrag mit dem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; ab. Bei Gruppen können gruppeninterne IKT-Dienstleister mit externen IKT-Drittdienstleistern einen Vertrag über die Erbringung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für ein oder mehrere Finanzunternehmen der Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; schließen. Damit die gesamte IKT-Dienstleistungsketteeine Abfolge von vertraglichen Vereinbarungen im Zusammenhang mit der IKT-Dienstleistung, die vom direkten IKT-Drittdienstleister für das Finanzunternehmen erbracht wird, beginnend mit dem direkten IKT-Drittdienstleister, der einen oder mehrere andere IKT-Drittdienstleister als Gegenpartei(en) (Unterauftragnehmer) hat, erfasst wird, sollten Finanzunternehmen, die das Informationsregister führen, sowohl Informationen über die vertragliche Vereinbarung mit ihrem gruppeninternen IKT-Dienstleister als auch Informationen über die Vereinbarung zwischen dem gruppeninternen IKT-Dienstleister und den IKT-Drittdienstleistern, die als Unterauftragnehmer außerhalb der Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; tätig sind, melden. Daher sollte das Informationsregister eine spezielle Vorlage enthalten, die den Abgleich zwischen den gruppeninternen Verträgen und den Verträgen mit IKT-Drittdienstleistern außerhalb der Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; ermöglicht.

Die Erbringung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für Finanzunternehmen kann sich auf potenziell lange oder komplexe Ketten der Unterauftragsvergabe stützen, die von den Finanzunternehmen zu überwachen sind. Finanzunternehmen sollten die damit verbundenen Risiken, einschließlich der Konzentrationsrisiken von IKT-Drittdienstleistern im Hinblick auf IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, die eine kritische oder wichtige Funktioneine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde; oder wesentliche Bereiche davon unterstützen, bewerten und dabei einen risikobasierten Ansatz und den Grundsatz der Verhältnismäßigkeit zugrunde legen. Um diese Bewertung zu ermöglichen, sollten die Finanzunternehmen nur diejenigen Unterauftragnehmer im Informationsregister erfassen müssen, die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Bereiche davon sicherstellen, einschließlich aller Unterauftragnehmer, die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; erbringen, deren Störung die Sicherheit oder Kontinuität des Dienstangebots beeinträchtigen würde. Bei der Ermittlung dieser Unterauftragnehmer sollten Finanzunternehmen Aspekte der Geschäftsfortführung und der Kontinuität der IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; sowie Aspekte der IKT-Sicherheit berücksichtigen.

Finanzunternehmen sollten ein Informationsregister führen und aktualisieren; dies gilt auch für den Fall, dass ein Finanzunternehmen seine gesamte Tätigkeit an ein anderes Unternehmen auslagert, da die Führung des Informationsregisters zur operativen Resilienz des betreffenden Finanzunternehmens beiträgt. Wenn ein Unternehmen für alle Tätigkeiten (einschließlich der IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;) im Namen des Finanzunternehmens handelt, sollten daher die direkten IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; dieses Unternehmens in den einschlägigen Vorlagen des Informationsregisters des Finanzunternehmens erfasst werden. In diesem Fall ist das Unternehmen nur als Unternehmen registriert, das das Register führt.

Im Interesse der Transparenz und Vergleichbarkeit der vertraglichen Vereinbarungen und der laufenden Überwachung dieser Vereinbarungen sollte sich das Informationsregister auf die operationellen Verbindungen zwischen den Finanzunternehmen und den IKT-Drittdienstleistern konzentrieren. Zu diesem Zweck sollte das Informationsregister vier Schlüssel verwenden, die unter anderem relevante Daten in den Vorlagen des Informationsregisters miteinander verknüpfen: i) die Kennnummer der vertraglichen Vereinbarung zwischen dem Finanzunternehmen, das diese Vereinbarung unterzeichnet, und dem direkten IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, ii) eine geeignete Kennung der Finanzunternehmen und IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;, iii) die Funktionskennung und iv) die Art der IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;.

Um die vertraglichen Vereinbarungen zwischen den Finanzunternehmen und den IKT-Drittdienstleistern gemäß der Verordnung (EU) 2022/2554 angemessen dokumentieren zu können, müssen die IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; eine Identifikationsnummer aufweisen, die ihre kohärente und präzise Identifizierung durch die Finanzunternehmen und die ESA, das Aufsichtsforum und die zuständigen Behörden bei der Ausübung ihrer Aufsichtsbefugnisse, einschließlich der Benennung kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde; gemäß Artikel 31 der genannten Verordnung, ermöglicht. Bei juristischen Personen sind die LEI und die EUID anerkannte internationale und europäische Kennungen, die eine kohärente, eindeutige und zuverlässige Identifizierung von Unternehmen gewährleisten. Folglich sollte eine dieser beiden Kennungen zur Identifizierung der in der Union niedergelassenen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; für die Zwecke der Anwendung der genannten Verordnung verwendet werden und als Information gelten, die allen vertraglichen Vereinbarungen gemein ist; die Identifizierung von in Drittstaaten niedergelassenen IKT-Drittdienstleistern hingegen sollte lediglich anhand der LEI erfolgen. Die für das Informationsregister über IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; verwendeten Vorlagen sollten für IKT-Dienstleister, die juristische Personen sind, Angaben zu einer dieser beiden Kennungen vorschreiben, während es natürlichen Personen, die in ihrer Eigenschaft als IKT-Dienstleister handeln, gestattet sein sollte, alternative Identifikationscodes zu verwenden.

Jedes Finanzunternehmen, einschließlich der Finanzunternehmen ein und derselben Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU;, verfügt über eine eigene interne Funktionstaxonomie, die von seinen spezifischen Geschäftsmodellen und internen Organisationen abhängt. Um eine eindeutige Überwachung zu ermöglichen, bei der zwischen den Funktionen der Finanzunternehmen und den IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; unterschieden wird, sollten die Finanzunternehmen selbst unter Verwendung der Funktionskennung auf individueller Ebene und auf Gruppenebene die maßgeblichen Funktionen benennen.

Um die Funktionsfähigkeit des Informationsregisters auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene für alle Finanzunternehmen, die Teil derselben Gruppeeine Gruppe im Sinne von Artikel 2 Nummer 11 der Richtlinie 2013/34/EU; sind, zu gewährleisten, haben Finanzunternehmen die Korrektheit und Kohärenz aller Daten in diesem Register sicherzustellen. Zu diesem Zweck ist insbesondere eine kohärente Konsolidierung der Kennungen erforderlich, d. h. der Kennnummern der vertraglichen Vereinbarungen, der Funktionskennung, der LEI der Finanzunternehmen sowie der Kennungen der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;.

Zur Gewährleistung von Kohärenz und Harmonisierung und zur Vermeidung einer aufwendigen Wiederaufbereitung von Daten für Meldezwecke sollten bei der Gestaltung der Vorlagen und den Anforderungen an die Datenelemente die Aspekte der Datenverwaltung und der Meldepflicht berücksichtigt werden. Um die uneingeschränkte Vergleichbarkeit der im Informationsregister gemeldeten Informationen mit den in anderen regulatorischen oder statistischen Mitteilungen enthaltenen Informationen zu gewährleisten, sollten die Finanzunternehmen bei der Führung und Aktualisierung dieses Registers die Grundsätze der Datenqualität einhalten.

Diese Verordnung beruht auf dem Entwurf technischer Durchführungsstandards, der der Kommission von den ESA vorgelegt wurde.

Die ESA haben zu dem Entwurf der technischen Durchführungsstandards, auf den sich diese Verordnung stützt, offene öffentliche Anhörungen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und Empfehlungen der Interessengruppen der ESA nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(²)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., Artikel 37 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates(³)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). und Artikel 37 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates(⁴)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). eingeholt.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates angehört(⁵)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj)..