Nur ein Drittel der großen Finanzinstitute fühlte sich rechtzeitig bereit. Die Kosten liegen bei zwei bis fünf Millionen Euro. Das Register ist erst der Anfang.

Mai 26, 2026
Recht
Die Schonzeit ist vorbei
Für 2026 erwarteten die europäischen Aufsichtsbehörden die Übermittlung der DORA-Informationsregister bis Ende März, mit Sachstand zum 31. Dezember 2025. In Deutschland lief das Einreichungsfenster bei der BaFin von Anfang bis Ende März. Jedes betroffene Finanzunternehmen musste ein vollständiges Register aller Verträge mit IKT-Dienstleistern vorlegen. Wer jetzt noch Lücken hat, hat kein technisches Problem mehr, sondern ein Vorstandsproblem.
Denn eine automatische Nachfrist ist nicht vorgesehen. Die Aufsicht kann im Einzelfall eine Nachfrist setzen, aber das ist eine aufsichtliche Maßnahme, keine reguläre Option. Wer die Frist verpasst hat, steht damit nicht mehr in einem laufenden Projekt, sondern in einem aufsichtsrelevanten Versäumnis, das die Geschäftsleitung verantworten muss.
Warum das Register mehr ist als ein Auslagerungsverzeichnis
Viele Häuser unterschätzten den Umfang, weil sie das Register mit dem klassischen Auslagerungsverzeichnis verwechselten. Tatsächlich geht es weit darüber hinaus. Erfasst werden müssen sämtliche IKT-Dienstleistungen, also auch Leistungen, die keine formale Auslagerung darstellen, aber operative Funktionen unterstützen. Cloud-Anbieter, Rechenzentren, Software-as-a-Service, sicherheitsbezogene Dienste, dazu die Ketten von Subunternehmern.
Genau hier entstanden die Lücken. Wer nur die formalen Auslagerungen erfasst hatte, übersah einen großen Teil der meldepflichtigen Verträge. Die lückenlose Erfassung über alle Abteilungen hinweg, inklusive der Unterauftragnehmer und der Standorte der Datenspeicherung, war für viele Häuser die eigentliche Herausforderung, und sie ist es, woran die Vollständigkeit oft scheiterte.
Das Register ist erst der Anfang
Der entscheidende Punkt ist, dass das Register nicht das Ende, sondern der Anfang ist. Es bildet die Grundlage dafür, dass die Aufsicht kritische IKT-Drittdienstleister einstufen und beaufsichtigen kann. Wer kein vollständiges Register hat, hat damit auch keine verlässliche Übersicht über seine eigenen Abhängigkeiten, und genau diese Übersicht ist die Voraussetzung für alles Weitere unter DORA.
Denn DORA verlangt mehr als ein Register. Es fordert ein durchgängiges Management der IKT-Risiken, die Meldung schwerwiegender Vorfälle innerhalb enger Fristen, das Testen der digitalen Widerstandsfähigkeit und ein strenges Management der Drittparteienrisiken. Das Register ist die Bestandsaufnahme, auf der diese Pflichten aufsetzen. Wer es nicht im Griff hat, wird auch die übrigen Anforderungen nicht erfüllen.
Warum es ein Vorstandsthema ist
DORA macht die Geschäftsleitung ausdrücklich verantwortlich für das Management der IKT-Risiken. Ein unvollständiges Register ist deshalb kein Versäumnis einer Fachabteilung, sondern eine Frage, die der Vorstand verantworten muss. Wer hier Lücken hat, kann sie nicht nach unten delegieren, denn die Aufsicht adressiert die Verantwortung an der Spitze.
Das verändert die Dringlichkeit. Ein technisches Detail lässt sich verschieben, eine Vorstandsverantwortung nicht. Die Geschäftsleitung sollte deshalb wissen, ob ihr Register vollständig ist, und wenn nicht, ob und wie mit der Aufsicht kommuniziert wurde. Unwissenheit an der Spitze ist hier keine Entschuldigung, sondern ein zusätzliches Risiko.
Aus dem Versäumnis lernen
Wer die Frist verpasst hat, sollte den Vorfall nicht nur beheben, sondern als Anlass nehmen, das Management der IKT-Drittparteienrisiken grundlegend zu ordnen. Die jährliche Meldung kehrt wieder, und sie wird nur dann verlässlich gelingen, wenn die Erfassung der Dienstleister kein einmaliger Kraftakt bleibt, sondern in einen laufenden Prozess überführt wird. Das einmalige Aufholen löst das Problem dieses Jahres, der dauerhafte Prozess löst es für die Zukunft.
Vom Pflichtregister zur echten Resilienz
Das Register ist kein Selbstzweck, sondern der erste Schritt zu echter digitaler Widerstandsfähigkeit. Wer es vollständig führt und in einen laufenden Prozess überführt, gewinnt eine verlässliche Übersicht über seine Abhängigkeiten und damit die Grundlage, um im Ernstfall handlungsfähig zu bleiben. Genau darum geht es bei DORA: nicht um eine Meldung, sondern um die Fähigkeit, auch bei einem Ausfall eines IKT-Dienstleisters den Betrieb sicherzustellen.
Was jetzt zu tun ist
Wer Lücken hat, sollte nicht passiv abwarten, sondern proaktiv handeln. Die Aufsicht bewertet ein Haus, das von sich aus Kontakt aufnimmt und seine Lücken offenlegt, anders als eines, das schweigt. Parallel gilt es, das Register schnellstmöglich zu vervollständigen und die Prozesse so aufzustellen, dass die jährliche Meldung künftig zuverlässig gelingt.
Mehr zum Thema: DORA-Outsourcing: Subdienstleister sind das eigentliche Risiko. und DSGVO trifft KI-Modelle: Was jeder Modell-Betreiber wissen muss..
Wir helfen Ihnen, Ihr DORA-Informationsregister vollständig aufzustellen und in ein tragfähiges Management Ihrer IKT-Drittparteienrisiken zu überführen. Beginnen Sie mit einer Sprechstunde.
Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.


