Wissen · Meldewesen & IT
DORA in der Praxis:
Vom Rahmenwerk zum Datenproblem
Anderthalb Jahre nach Geltungsbeginn ist DORA im Betriebsmodus angekommen – und zeigt, dass Informationsregister und Vorfallsmeldungen vor allem eines sind: Datenhaushalts-Aufgaben.
DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025 und ruht auf fünf Säulen: IKT-Risikomanagement, Vorfallsmanagement und -meldung, Resilienztests inklusive TLPT, IKT-Drittparteienrisiko und freiwilliger Informationsaustausch. Stand Juni 2026 sind alle technischen Standards final – zuletzt der Subcontracting-RTS (Del. VO (EU) 2025/532) und der TLPT-RTS (Del. VO (EU) 2025/1190). Die ESAs haben am 18. November 2025 die ersten 19 kritischen IKT-Drittdienstleister benannt; das jährliche Informationsregister und die Vorfallsmeldungen laufen in Deutschland über das BaFin-MVP-Portal.
Stand: Juni 2026 · Quellen: VO (EU) 2022/2554 (EUR-Lex) · BaFin: DORA-Informationsregister
Das Informationsregister: ein unterschätztes Datenprojekt
Das Register aller IKT-Vertragsbeziehungen (Art. 28 Abs. 3 DORA, Templates nach ITS (EU) 2024/2956) ist faktisch eine granulare Meldung: Vertragsstammdaten, IKT-Dienstleistungstaxonomie, unterstützte Funktionen mit Kritikalitätsbewertung, eindeutige Identifier (LEI/EUID) und Subdienstleisterketten mit Rangangabe – einzureichen über das BaFin-MVP-Portal als xBRL-CSV gemäß ESA-Taxonomie oder über die BaFin-Excel-Vorlage; die BaFin leitet die Register seit 2026 jährlich bis Ende März an die ESAs weiter.
Wie schwer das fällt, zeigte der freiwillige Dry Run der ESAs 2024: Von 1.039 eingereichten Registern wurden 947 analysiert – davon enthielten 93,5 Prozent mindestens einen Datenfehler; 86 Prozent der Fehler waren fehlende Pflichtangaben, zweithäufigste Kategorie waren ungültige LEI-Codes. Die Konsequenz der Aufsicht: Seit der Runde 2026 (Einreichung 9.–30. März, Datenstand 31.12.2025) gibt es zusätzliche Datenvalidierungen der ESAs, strukturiertes Fehler-Feedback über das MVP-Postfach und verpflichtende Korrekturen. Wer das Register quartalsweise aus Vertrags-, Einkaufs- und CMDB-Daten automatisiert ableitet, statt es jährlich manuell zusammenzutragen, ist hier klar im Vorteil.
Vorfallsmeldungen: drei Fristen, ein Datenhaushalt
4 h / 24 h
Erstmeldung: spätestens 4 Stunden nach Klassifizierung als schwerwiegend, max. 24 Stunden nach Kenntnis
72 h
Zwischenbericht nach der Erstmeldung – auch ohne Statusänderung
1 Monat
Abschlussbericht nach dem (letzten) Zwischenbericht
Die Fristen aus der delegierten Verordnung (EU) 2025/301 sind nur einzuhalten, wenn die Klassifizierungskriterien des RTS (EU) 2024/1772 – betroffene Kunden und Transaktionen, Dauer und Ausfallzeiten, geografische Ausbreitung, Datenverluste, wirtschaftliche Auswirkungen – im Ereignisfall messbar sind. Das verlangt vorbereitete Datenabfragen über Kundenbestand, Transaktionsvolumina und Service-Monitoring hinweg; wer erst im Vorfall zu zählen beginnt, reißt die Vier-Stunden-Frist zuverlässig.
Oversight, TLPT und das Ende der BAIT
Kritische IKT-Drittdienstleister unter EU-Aufsicht
Seit dem 18. November 2025 stehen die ersten 19 CTPPs – darunter die großen Cloud-Hyperscaler – unter direkter Oversight eines Lead Overseers (EBA, ESMA oder EIOPA) mit Joint Examination Teams. Für Banken ändert das nichts an der eigenen Drittparteien-Verantwortung, schafft aber neue Transparenz über Konzentrationsrisiken – und Overseer-Empfehlungen, die in Vertrags- und Exit-Strategien einfließen sollten.
TLPT: Penetrationstests mit Aufsichtsmandat
Der TLPT-RTS (Del. VO (EU) 2025/1190, anwendbar seit Juli 2025) regelt, welche Institute bedrohungsgeleitete Penetrationstests nach TIBER-Methodik durchführen müssen – mindestens alle drei Jahre. In Deutschland benachrichtigt die BaFin die ausgewählten Unternehmen (bedeutende Kreditinstitute benachrichtigt die EZB), operativ unterstützt von der Bundesbank auf Basis von TIBER-DE; die erste Benachrichtigungswelle läuft 2026.
BAIT: Abschied auf Raten
Für DORA-pflichtige Institute sind die BAIT seit dem 17. Januar 2025 nicht mehr anwendbar (ZAIT, VAIT, KAIT wurden komplett aufgehoben); zum 31. Dezember 2026 werden die BAIT vollständig aufgehoben. Bis dahin gelten sie nur noch für die Restgruppe national beaufsichtigter Institute, die ab 2027 über das Finanzmarktdigitalisierungsgesetz unter DORA fallen.
Die Datensicht: drei Hausaufgaben
- 1. Funktions-Asset-Mapping pflegen: Art. 8 DORA verlangt die Klassifizierung aller IKT-gestützten Funktionen, Assets und Abhängigkeiten. Dieses Mapping ist die gemeinsame Basis von Informationsregister, Kritikalitätsbewertung und Vorfallsbewertung – es gehört in einen gepflegten Datenbestand, nicht in Projekt-Excel.
- 2. Register automatisiert ableiten: Vertragsdaten, Dienstleister-Identifier und Subdienstleisterketten aus den führenden Systemen zusammenführen, mit denselben Qualitätsprüfungen, die auch die ESAs fahren – die Fehlerquoten des Dry Runs waren ein Datenqualitätsbefund, kein Formularproblem.
- 3. Vorfalls-Metriken vorhalten: Betroffene Kunden, Transaktionswerte und Ausfallzeiten müssen binnen Stunden belastbar lieferbar sein – eine Ad-hoc-Fähigkeit, wie sie auch BCBS 239 und der RDARR-Leitfaden verlangen. Dieselbe Datenarchitektur trägt beide Anforderungen.
Wie wir Register-Strecken und Vorfalls-Datenhaushalte aufbauen, zeigen unsere Meldewesen-Beratung und unsere BI-Beratung.
Häufige Fragen zu DORA
Welche Meldefristen gelten bei schwerwiegenden IKT-Vorfällen?
Nach der delegierten Verordnung (EU) 2025/301 gilt: Erstmeldung so früh wie möglich, spätestens vier Stunden nach der Klassifizierung als schwerwiegender Vorfall und in jedem Fall binnen 24 Stunden nach Kenntniserlangung. Der Zwischenbericht folgt spätestens 72 Stunden nach der Erstmeldung – auch wenn sich der Status nicht geändert hat –, der Abschlussbericht spätestens einen Monat nach dem (letzten) Zwischenbericht. In Deutschland laufen alle Meldungen über das BaFin-MVP-Portal; die BaFin vergibt nach der Erstmeldung eine Incident-ID für die Folgemeldungen.
Gelten die BAIT noch?
Für DORA-pflichtige Institute nicht mehr: Seit dem 17. Januar 2025 sind Institute, die das IKT-Risikomanagement nach DORA umsetzen müssen, von den BAIT ausgenommen (ZAIT, VAIT und KAIT wurden bereits zum 16. Januar 2025 vollständig aufgehoben). Formal vollständig aufgehoben werden die BAIT zum 31. Dezember 2026 – bis dahin gelten sie für die Restgruppe national beaufsichtigter Institute fort, die erst ab dem 1. Januar 2027 über das Finanzmarktdigitalisierungsgesetz unter die DORA-Pflichten fallen.
Was bedeutet die Benennung kritischer IKT-Drittdienstleister für unsere Bank?
Die ESAs haben am 18. November 2025 die erste Liste mit 19 kritischen IKT-Drittdienstleistern (CTPPs) veröffentlicht – darunter die großen Cloud-Hyperscaler. Jeder CTPP bekommt einen Lead Overseer (EBA, ESMA oder EIOPA) mit Prüf- und Empfehlungsbefugnissen. Wichtig: Die Oversight ersetzt nicht die eigene Drittparteien-Verantwortung der Bank nach Art. 28 ff. DORA – Vertragsanforderungen, Exit-Strategien und das Informationsregister bleiben vollumfänglich Pflicht. Erkenntnisse der Overseer können aber auf Vertrags- und Exit-Gestaltung durchschlagen.
Was steht 2026 und 2027 noch an?
Die Registerrunde 2026 (BaFin-Einreichung 9. bis 30. März 2026, Datenstand 31.12.2025) ist gelaufen – inklusive verschärfter Datenqualitätsprüfungen durch EBA und BaFin mit verpflichtenden Korrekturen. 2026 läuft zudem die erste Benachrichtigungswelle für TLPT-pflichtige Institute (bedrohungsgeleitete Penetrationstests nach TIBER-Methodik, mindestens alle drei Jahre). Zum 31. Dezember 2026 werden die BAIT vollständig aufgehoben; ab dem 1. Januar 2027 kommen weitere national beaufsichtigte Institute unter die DORA-Pflichten.
Übersteht Ihr Informationsregister die nächste Validierungsrunde?
Wir automatisieren die Register-Ableitung aus Ihren führenden Systemen und bauen die Vorfalls-Datenabfragen, die in vier Stunden liefern müssen.
