DORA IKT-Register: Meldefrist verpasst?
Was Finanzunternehmen jetzt noch tun können
Die BaFin-Meldefrist für das DORA-Informationsregister endete gestern, am 30. März 2026. Hunderte Finanzunternehmen in Deutschland haben ihre Register eingereicht — viele davon lückenhaft. Andere haben die Frist ganz verpasst. Dieser Artikel erklärt, was jetzt droht, wo die größten Lücken liegen und wie sich die verbleibende Compliance-Arbeit strukturieren lässt.
Frist abgelaufen: Seit dem 30. März 2026 mussten alle BaFin-beaufsichtigten Finanzunternehmen ihr DORA-Informationsregister (Art. 28 Abs. 3) eingereicht haben. Stichtag für die Vertragsdaten: 31. Dezember 2025. Format: xBRL-CSV über das BaFin MVP-Portal.
Worum geht es beim Informationsregister?
DORA — der Digital Operational Resilience Act (EU 2022/2554) — verpflichtet seit Januar 2025 alle regulierten Finanzunternehmen in der EU zu einem vollständigen Register aller IKT-Drittanbieterbeziehungen. Das Register umfasst nicht nur Cloud-Provider und Rechenzentren, sondern jede IKT-Dienstleistung: SaaS-Tools, Managed Security Services, Zahlungsabwickler, bis hin zu Druckdienstleistern mit Zugang zu Kundendaten.
Für jeden Anbieter müssen dokumentiert sein: Vertragspartner, Art der Dienstleistung, Kritikalität für den Geschäftsbetrieb, Datenspeicherorte, Subunternehmer-Ketten und Exit-Strategien.
Die BaFin leitet die Register weiter an die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) — diese nutzen sie zur Einstufung kritischer IKT-Drittdienstleister (CTPPs).
Was droht bei Lücken oder Fristversäumnis?
Die BaFin hat im Vorfeld klar kommuniziert: Das Informationsregister ist keine freiwillige Übung. Die möglichen Konsequenzen:
| Maßnahme | Detail |
|---|---|
| Nachfrist | BaFin kann Korrekturmaßnahmen anordnen mit konkreter Deadline |
| Prüfungsanordnung | Sonderprüfung der IKT-Drittanbieter-Governance |
| Bußgelder | Bis zu 10 Mio. EUR oder 5% des Gesamtnettoumsatzes (Art. 50 DORA) |
| Reputationsrisiko | BaFin kann Sanktionen öffentlich bekanntmachen |
| Persönliche Haftung | Vorstände können direkt sanktioniert werden |
Wo liegen die größten Lücken?
Die BaFin-Workshops von Februar 2026 haben wiederkehrende Fehler dokumentiert. Gleichzeitig zeigen aktuelle Erhebungen, dass viele Institute noch erhebliche Umsetzungslücken haben.
1. Subunternehmer-Ketten unvollständig
DORA verlangt nicht nur direkte IKT-Anbieter, sondern die gesamte Dienstleistungskette. Wenn AWS Equinix-Rechenzentren nutzt und Ihr Cloud-Provider AWS nutzt, müssen beide dokumentiert sein. Viele Register enden nach der ersten Ebene.
2. Verträge ohne Art. 30 Pflichtklauseln
DORA Art. 30 schreibt 15 Pflichtklauseln für IKT-Verträge vor — 8 Standardklauseln plus 7 zusätzliche für kritische Funktionen (CIF). Audit-Rechte, Exit-Strategien, Datenspeicherorte, SLA-Definitionen und Subunternehmer-Transparenz fehlen in den meisten Bestandsverträgen. Bei großen Konzernen sprechen wir von 500 bis mehreren tausend Verträgen, die geprüft werden müssen.
3. Exit-Strategien fehlen komplett
Für jeden kritischen Anbieter muss ein dokumentierter Exit-Plan existieren. Was passiert bei Ausfall? Wie lange dauert die Migration? Wer kann den Dienst übernehmen? Hier haben die meisten Institute noch keine belastbaren Pläne.
4. Konzentrations-Risiko nicht bewertet
Die BaFin und ESAs beobachten gezielt, wie viele Finanzunternehmen von denselben kritischen Anbietern abhängen. Wenn 200 Banken auf denselben Cloud-Provider setzen, entsteht ein systemisches Risiko. 19 IKT-Drittanbieter sind bereits als CTPPs direkt EU-aufsichtspflichtig — darunter AWS, Azure und Google Cloud.
Die eigentliche Herausforderung: DORA ist kein einmaliges Projekt
Das Informationsregister ist nur eine von sechs DORA-Säulen. Parallel laufen:
| Säule | Artikel | Was zu tun ist |
|---|---|---|
| IKT-Risikomanagement | Art. 5–16 | Framework, Governance, Schutzmaßnahmen |
| Incident Management | Art. 17–23 | Klassifizierung, BaFin-Meldung (4h-Frist!), Root Cause |
| Resilience Testing | Art. 24–27 | Penetration Tests, TLPT für systemrelevante Institute |
| ICT-Drittanbieter | Art. 28–44 | Register, Verträge, Exit-Pläne, Konzentration |
| Information Sharing | Art. 45 | Threat Intelligence, Cyber-Community |
Wichtig: Die BAIT (Bankaufsichtliche Anforderungen an die IT) gelten für bestimmte Institute noch bis 31. Dezember 2026. Danach werden sie vollständig durch DORA ersetzt. Die Übergangszeit läuft also ab — nicht an.
Was Automatisierung leisten kann — und was nicht
Ein verbreitetes Missverständnis: DORA-Compliance sei ein reines IT-Projekt. In Wirklichkeit sind die strategischen und Governance-Anforderungen der schwierigste Teil — und der bleibt menschliche Arbeit. Aber die operative Schicht, die Beweisführung, das Monitoring und die Berichterstellung lassen sich erheblich automatisieren.
In der Praxis sehen wir bei Finanzunternehmen, die mit FeedOracle arbeiten, folgende Verteilung:
| Kategorie | Automatisierungsgrad | Beispiel |
|---|---|---|
| Evidence-Sammlung | Voll automatisch | CVE-Monitoring, CERT-Advisories, Cloud-Status |
| Vertragsprüfung | Semi-automatisch | 15 Art. 30 Klauseln regelbasiert geprüft |
| Provider-Risiko | Voll automatisch | Dependency Graph, Blast Radius, Länderrisiko |
| Incident-Meldung | Vorbereitung automatisch | ITS-konformer Draft, Freigabe manuell (4-Augen) |
| Board-Reporting | Voll automatisch | Score, Trends, SLA-Breaches, Evidence Health |
| Governance-Entscheidungen | Manuell | Risk Acceptance, Strategie, Organisationsdesign |
Der realistische Automatisierungsgrad liegt bei 60–70% der operativen DORA-Anforderungen. Die restlichen 30–40% sind Governance, Strategie und menschliches Urteilsvermögen — genau da, wo sie hingehören.
5 Maßnahmen für Unternehmen, die jetzt handeln müssen
- Gap-Analyse sofort durchführen: Welche DORA-Artikel sind abgedeckt, welche nicht? Ein Readiness-Check gibt in Minuten einen Überblick. (Kostenlos testen unter feedoracle.io/trial)
- IKT-Register nachreichen: Die BaFin wird Nachfristen setzen. Besser freiwillig nachreichen als auf eine Anordnung warten. Das xBRL-Format bleibt Pflicht.
- Verträge priorisieren: Beginnen Sie mit den kritischen Funktionen (CIF). Prüfen Sie die 15 Art. 30 Pflichtklauseln systematisch — nicht vertrag für Vertrag, sondern klausel für Klausel.
- Exit-Pläne für Top-3-Provider dokumentieren: Konzentrations-Risiko ist das, was die Aufsicht am meisten interessiert. Starten Sie mit AWS, Azure oder dem jeweiligen Kern-Provider.
- Incident-Prozess testen: Die 4-Stunden-Frist für die BaFin-Erstmeldung bei Major Incidents läuft unabhängig von der Register-Frist. Testen Sie den Meldeprozess jetzt — nicht erst beim ersten Vorfall.
DORA-Readiness in 5 Minuten testen
Kein Login, keine Kreditkarte. Institutstyp und Provider auswählen — sofort Score, Gaps und Automatisierungspotenzial sehen.
Kostenlos testen → Dashboard öffnen →Was kommt als Nächstes?
Das Informationsregister war die erste große DORA-Meldepflicht — aber nicht die letzte. In den kommenden Monaten stehen an:
| Wann | Was |
|---|---|
| Ab sofort | Laufende Aktualisierung des IKT-Registers bei neuen Verträgen |
| Q2 2026 | BaFin-Sonderprüfungen bei lückenhaften Registern erwartet |
| Bis 31.12.2026 | BAIT werden aufgehoben — DORA wird alleiniger Rahmen |
| Ab 01.01.2027 | IT-Aufsicht primär nach DORA (FinmadiG-Erweiterung) |
| März 2027 | Nächste jährliche Register-Einreichung |
DORA ist keine einmalige Checkliste, sondern ein dauerhafter Betriebsmodus. Wer jetzt die operativen Grundlagen automatisiert, spart sich in den nächsten Jahren erhebliche manuelle Aufwände — und kann sich auf das konzentrieren, was wirklich menschliches Urteil braucht.
FeedOracle liefert die Evidence-Infrastruktur für DORA, MiCA und AMLR: 206 MCP-Tools, kryptografisch signierte Nachweise, On-Chain-Verankerung, Closed-Loop-Compliance mit automatischer Eskalation. Mehr unter feedoracle.io.