DORA: Finanzbranche steht vor Frist für IT-Resilienz-Register

Die europäische Finanzbranche steht vor einer Bewährungsprobe. Nur noch wenige Tage bleiben, um das zentrale IT-Dienstleister-Register nach der Digital Operational Resilience Act (DORA) einzureichen. Viele Institute sind nicht vorbereitet – und riskieren hohe Strafen.

Letzte Frist für das zentrale IT-Register

Am 31. März 2026 endet die Schonfahrt für die DORA-Verordnung. Bis dahin müssen alle Finanzunternehmen in der EU ihren nationalen Aufsichtsbehörden ein lückenloses Register aller Verträge mit IT-Dienstleistern übermitteln. Die Behörden bündeln die Daten und leiten sie an die europäischen Aufseher weiter. Stichtag für die Meldung war der 31. Dezember 2025 – jedes damals aktive IT-Abkommen muss erfasst sein.

Lücken in der Dokumentation von IT-Dienstleistern können unter DORA und DSGVO gleichermaßen zu drastischen Bußgeldern führen. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. Kostenlose Excel-Vorlage für das Verzeichnis der Verarbeitungstätigkeiten herunterladen

Dies ist keine reine Formsache. Die Aufsichtsbehörden nutzen die Daten, um Schwachstellen im System zu identifizieren und kritische Anbieter zu benennen. Abweichungen zwischen gemeldetem Register und interner Risikobewertung dürften sofortige Prüfungen auslösen. Die Zeit des passiven Übergangs ist vorbei; jetzt beginnt die aktive, datengetriebene Aufsicht.

Große Lücken trotz langer Vorlaufzeit

Trotz einer Vorbereitungszeit von über einem Jahr klaffen erhebliche Lücken. Laut einer aktuellen McKinsey-Studie fühlte sich nur ein Drittel der großen europäischen Finanzinstitute zum ursprünglichen Stichtag im Januar 2025 bereit. Deloitte liefert ein ernüchterndes Bild für 2026: Nur die Hälfte der befragten Unternehmen rechnete mit vollständiger Compliance bis Ende 2025. 38 Prozent mussten ihre Ziele tief ins Jahr 2026 verschieben.

Fast die Hälfte der Befragten nennt das Register als größte Herausforderung. Der Grund: Die komplexe Abbildung der Lieferketten und versteckte Unterauftragsverhältnisse bereiten immense Probleme. Die Kosten sind gewaltig. 96 Prozent der Institute schätzen ihre Compliance-Kosten auf zwischen zwei und fünf Millionen Euro. Fast 40 Prozent haben mehr als sieben Vollzeitstellen allein für diese Aufgaben geschaffen.

Fünf Säulen für digitale Widerstandsfähigkeit

Die Herausforderungen werden erst im Licht der gesamten Verordnung klar. DORA basiert auf fünf Säulen, die den Umgang mit Technologierisiken neu definieren:
1. Umfassendes Technologie-Risikomanagement
2. Strenge Störfallmeldepflichten
3. Fortgeschrittene Resilienz-Tests
4. Rigide Risikosteuerung für Drittanbieter
5. Strukturierter Informationsaustausch

Jede Säule bringt eigene technische Standards mit sich. So verlangt die Verordnung von bedeutenden Instituten threat-led penetration tests. Dabei wird nicht mehr nur auf theoretische Sicherheitsprotokolle geschaut, sondern auf nachgewiesene Abwehrfähigkeiten in realistischen Szenarien. Bei der Störfallmeldung müssen Vorfälle streng nach Schwere und Auswirkung kategorisiert werden. Die Aufseher gleichen diese Daten europaweit ab. Wird ein Vorfall von einem Institut nicht gemeldet, den andere als kritisch einstuften, folgt automatisch eine Rüge.

Neben DORA müssen Unternehmen auch die neuen EU-Regeln für künstliche Intelligenz und Cyber-Sicherheit fest im Blick behalten. Dieser kostenlose Leitfaden erklärt kompakt, welche Kennzeichnungspflichten und Risikoklassen nun für Ihre IT-Systeme gelten. Gratis E-Book zur EU-KI-Verordnung sichern

Hohe Strafen und ein Flickenteppich der Aufsicht

Die Konsequenzen von Verstößen sind drastisch. Systemische Versäumnisse im Cybersicherheits-Risikomanagement können Geldbußen von bis zu zwei Prozent des weltweiten Jahresumsatzes oder pauschal zwei Millionen Euro nach sich ziehen. Verspätete Meldung eines schwerwiegenden IT-Vorfalls startet bei 250.000 Euro Strafe. Die Aufsicht kann zudem kostspielige Maßnahmen anordnen, Betriebe aussetzen oder sogar Lizenzentzüge verhängen.

Doch trotz einheitlicher EU-Regeln bleibt die Durchsetzung ein Flickenteppich. Da die Strafen von den nationalen Behörden verhängt werden, müssen sich multinationale Konzerne auf unterschiedliche Auslegungen einstellen. In Litwalen ist die Zentralbank zuständig, in Frankreich teilen sich ACPR und AMF die Verantwortung. Diese Zersplitterung zwingt die Unternehmen, ihre Compliance sowohl an EU-Vorgaben als auch an nationale Erwartungen anzupassen.

Ausblick: Auch Großbritannien zieht nach

Der Trend zur digitalen Widerstandsfähigkeit macht nicht an EU-Grenzen halt. Am 20. März 2026 finalisierten britische Aufseher wie die Financial Conduct Authority eigene Regeln für Störfall- und Drittanbieter-Meldungen. Diese bauen auf dem bestehenden Resilienz-Regime auf und ähneln stark der DORA. Britische Firmen haben ein Jahr Zeit, sich auf die neuen Vorgaben vorzubereiten, die am 18. März 2027 in Kraft treten.

In der EU geht die Entwicklung weiter. Die Liste kritischer Drittanbieter wird jährlich aktualisiert, die nächste größere Revision steht 2026 an. Auch technische Standards für komplexe Unterauftragsverhältnisse und fortgeschrittene Penetrationstests werden derzeit verfeinert. Nach dem 31. März erhalten die europäischen Aufseher erstmals einen umfassenden Blick auf Technologie-Risiken. Institute, die operative Resilienz als strategischen Vorteil begreifen, werden langfristig stabiler dastehen und das Vertrauen von Kunden wie Aufsichtsbehörden gewinnen.

boerse | 68946641 |