Nur ein Drittel der großen Finanzinstitute fühlte sich rechtzeitig bereit. Die Kosten liegen bei zwei bis fünf Millionen Euro. Das Register ist erst der Anfang.
Mai 26, 2026
Recht
Die Schonzeit ist vorbei
Am 31. März 2026 endete die Frist für das zentrale IT-Dienstleister-Register nach dem Digital Operational Resilience Act. Jedes Finanzunternehmen in der EU musste seinen Aufsichtsbehörden ein lückenloses Register aller Verträge mit IT-Dienstleistern übermitteln. Die Realität sah anders aus: Laut McKinsey fühlte sich nur ein Drittel der großen europäischen Finanzinstitute zum ursprünglichen Stichtag bereit. Deloitte berichtet, dass 38 Prozent ihre Ziele tief ins Jahr 2026 verschieben mussten.
Die Kosten sind erheblich. 96 Prozent der Institute schätzen ihre Compliance-Kosten auf zwei bis fünf Millionen Euro. Fast 40 Prozent haben mehr als sieben Vollzeitstellen allein dafür geschaffen.
Das Register ist nicht das Problem. Die Lieferkette ist es.
Fast die Hälfte der Befragten nennt das Register als größte Herausforderung. Der Grund ist nicht das Formular, sondern die Substanz: die komplexe Abbildung der Lieferketten und versteckte Unterauftragsverhältnisse. Wer seinen Cloud-Anbieter kennt, aber nicht dessen Subdienstleister, hat kein vollständiges Register. Er hat eine Fiktion von Vollständigkeit.
Genau hier reißt die Nachweiskette. Und genau hier setzt die Aufsicht künftig an, inklusive umsatzabhängiger Geldstrafen und persönlicher Haftung von Führungskräften.
Was jetzt zählt: Resilienz statt Registerpflege
Das Register ist eine Momentaufnahme. Die eigentliche DORA-Anforderung ist dauerhaft: Risikoanalysen, Resilienz-Tests, Meldeprozesse für Vorfälle. Wer das als jährliche Pflichtübung führt, baut Bürokratie. Wer es als Steuerungsinstrument nutzt, gewinnt Transparenz über digitale Abhängigkeiten, die er vorher nie hatte.
Die Aufsicht erwartet den Nachweis, dass Institute nach einer Störung saubere Daten wiederherstellen und Dienste schnell wieder aufnehmen. Das ist eine operative Fähigkeit, kein Dokument.
Wir bringen Struktur in Lieferketten-Transparenz und Resilienz-Prozesse, damit aus DORA-Pflicht steuerbare Kontrolle wird. Buchen Sie eine Sprechstunde für eine ehrliche Standortbestimmung.
