BaFin beschleunigt DORA-Umsetzung

BaFin ruft Deutsche Finanzhäuser zur DORA-Implementierung auf – Termine stehen.

Die BaFin organisiert am 24. und 26. Februar 2026 zwei Online-Workshops, um Banken, Versicherungen und Zahlungsdienstleister durch die nächste Phase der Digital Operational Resilience Act (DORA) zu führen. Im Mittelpunkt stehen praxisnahe Hilfen zur Führung der Informationsregister über IKT-Drittdienstleister, deren Aktualisierung zwischen dem 9. und 30. März 2026 erfolgen muss.

Seit dem Inkrafttreten von DORA am 17. Januar 2025 hat sich das Regime in der europäischen Finanzbranche grundlegend verändert. Die Aufsichtsbehörden signalisieren, dass die Schonfrist vorbei ist und 2026 die gelebte Praxis im Fokus steht.

Praxisnähe bei BaFin-Workshops

Die kommenden BaFin-Workshops sollen Unternehmen gezielt unterstützen, die Anforderungen korrekt umzusetzen und die Datenqualität der Informationsregister zu erhöhen. Ein Schwerpunkt liegt auf der Auswertung der Erfahrungen aus der ersten Einreichungsrunde im Jahr 2025, um häufige Fehlerquellen zu identifizieren und die Qualität der Daten weiter zu verbessern. Die Register dokumentieren sämtliche Vertragsvereinbarungen mit IKT-Drittdienstleistern und ermöglichen Aufsicht und europäischen Behörden, Abhängigkeiten zu größeren Anbietern besser zu beurteilen. Welche Lehren zieht die Praxis daraus – und wie profitieren Unternehmen konkret davon?

Fristen und Aufbau der Informationsregister

Die BaFin erwartet eine hohe Datenqualität, die den Stand zum 31. Dezember 2025 widerspiegelt. Die Einreichung erfolgt ausschließlich über die Melde- und Veröffentlichungsplattform MVP der BaFin, wobei die technischen Vorgaben der Europäischen Aufsichtsbehörden unverändert bleiben. Ziel ist es, das Management von Drittanbieter-Risiken transparenter zu gestalten und systemische Abhängigkeiten frühzeitig zu erkennen.

DORA im Überblick

DORA ruht auf fünf zentralen Säulen: IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle, Tests der digitalen Resilienz, das Risiko durch IKT-Drittanbieter sowie der Informationsaustausch über Cyberbedrohungen. Die Praxis fokussiert sich dabei besonders auf die Informationsregister, denn sie liefern die Datenbasis für eine valide Risikobewertung und bessere Governance.

Die zunehmende Auslagerung von IT-Dienstleistungen hat neue Abhängigkeiten geschaffen. EU-weit etabliert DORA einen Aufsichtsrahmen für kritische IKT-Drittanbieter (CTPPs). Die Institute bleiben allerdings verantwortlich für Due Diligence und kontinuierliches Monitoring – auch außerhalb der eigenen IT-Abteilung.

Ausblick: KI, Quantencomputing und BAIT

Die Bedrohungslage bleibt hoch: In der ersten Anwendungsphase wurden Hunderte schwerwiegende IKT-Vorfälle gemeldet. Experten warnen, dass es nicht mehr darum geht, ob ein Institut getroffen wird, sondern wann und wie gut es reagiert. Kann dieses Team den Negativtrend stoppen?

Die BaFin fordert verstärkte digitale Resilienz – wer seine IT‑Sicherheit jetzt praktisch stärken möchte, findet Hilfe in einem kostenfreien E‑Book zur Cyber‑Security. Der Leitfaden erläutert konkrete Schutzmaßnahmen gegen IKT‑Vorfälle, erklärt, wie Sie Drittanbieter‑Risiken reduzieren und Compliance‑Anforderungen wie DORA umsetzen können – ohne große Zusatzkosten und mit pragmatischen Schritten für Ihr Team. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Für die Praxis bedeutet DORA keinen Abschluss, sondern den Start einer fortlaufenden Anpassung. Bereits bis Ende 2026 dürfte die Ablösung nationaler Regelwerke wie BAIT erfolgen, was zusätzliche Umstellungsanstrengungen verlangt. Zugleich rücken Technologietrends wie Künstliche Intelligenz und Quantencomputing in den Fokus, sodass Regulatorik und Praxis ihre Antworten daraufhin weiter anpassen müssen.