In genau sieben Tagen schließt sich ein Zeitfenster, das viele Finanzunternehmen in Deutschland unterschätzt haben: Am 30. März 2026 läuft die Frist ab, innerhalb derer alle von der DORA-Verordnung (Digital Operational Resilience Act, EU 2022/2554) betroffenen Institute ihr vollständiges IKT-Drittanbieterregister an die BaFin übermitteln müssen. Was auf dem Papier wie eine reine Dokumentationspflicht klingt, entpuppt sich in der Praxis als operative Mammutaufgabe – und für erschreckend viele Unternehmen als böse Überraschung.
Was genau gemeldet werden muss
Das IKT-Drittanbieterregister ist weit mehr als eine einfache Lieferantenliste. Die DORA-Verordnung verlangt eine strukturierte, maschinenlesbare Erfassung sämtlicher externer IKT-Dienstleister, die ein Finanzunternehmen nutzt – von Cloud-Infrastrukturanbietern wie AWS, Microsoft Azure und Google Cloud über Software-as-a-Service-Lösungen bis hin zu Managed Security Services und Rechenzentrumsdienstleistern.
Für jeden einzelnen Anbieter müssen detaillierte Informationen vorliegen: die rechtliche Identifikation inklusive Legal Entity Identifier (LEI), die exakte Klassifikation der erbrachten IKT-Dienstleistung (IaaS, PaaS, SaaS), die primären und sekundären Standorte der Datenspeicherung, sämtliche Subunternehmer in der Lieferkette, Vertragslaufzeiten und Exit-Strategien sowie dokumentierte Notfallpläne für den Ausfall des Anbieters. Die Einreichung erfolgt im xBRL-CSV-Format nach den technischen Spezifikationen der BaFin – ein Format, das vielen IT-Abteilungen bisher fremd ist.
Besonders heikel: Die BaFin prüft nicht nur, ob ein Register eingereicht wurde, sondern auch dessen Vollständigkeit und Richtigkeit. Ein unvollständiges Register gilt als Verstoß – selbst wenn die Einreichung fristgerecht erfolgt.
44 Prozent noch nicht compliant
Die Zahlen sprechen eine deutliche Sprache: Laut aktuellen Branchenerhebungen erfüllen nur 56 Prozent der europäischen Finanzinstitute die DORA-Anforderungen vollständig. In Deutschland dürfte die Quote ähnlich ernüchternd ausfallen. Typische mittelständische Finanzinstitute verwalten zwischen 40 und 80 IKT-Drittanbieter – die lückenlose Dokumentation aller Vertragsbeziehungen, Subunternehmer und Datenflüsse ist ein manueller Kraftakt, der Monate beanspruchen kann.
Die Gründe für die Verzögerungen sind vielschichtig: Viele Unternehmen haben die Komplexität der indirekten Anbieterbeziehungen unterschätzt. Wer etwa einen Cloud-basierten Kernbankensystem-Anbieter nutzt, muss nicht nur diesen dokumentieren, sondern auch dessen Unterauftragnehmer – vom Rechenzentrum über den CDN-Anbieter bis zum DNS-Dienstleister. Diese Transparenz herzustellen, erfordert intensive Kommunikation mit den Anbietern selbst, die nicht immer kooperativ reagieren.
Hinzu kommt ein vertragliches Problem: Die meisten bestehenden Vereinbarungen mit Cloud-Anbietern enthalten keine DORA-konformen Audit-Klauseln und keine Regelungen zum Regulierungszugang. Diese Verträge müssen nachverhandelt werden – ein Prozess, der bei Hyperscalern wie AWS oder Azure erfahrungsgemäß Monate dauert.
Was die BaFin bei Verstößen tun kann
Wer die Frist verstreichen lässt oder ein offensichtlich lückenhaftes Register einreicht, muss mit konkreten Konsequenzen rechnen. Die BaFin verfügt über ein abgestuftes Sanktionsinstrumentarium:
Nachfristen und Korrekturmaßnahmen stehen am Anfang – die Aufsicht kann konkrete Auflagen erteilen und deren Umsetzung überwachen. Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 5 Prozent des Gesamtnettoumsatzes – je nachdem, welcher Betrag höher ausfällt. Besonders schmerzhaft: Die BaFin kann schwere Verstöße öffentlich benennen, was für Finanzinstitute einen erheblichen Reputationsschaden bedeutet. Nicht zuletzt haften Geschäftsleiter persönlich für die Einhaltung der DORA-Anforderungen.
Ein differenzierter Blick ist dennoch angebracht: Die BaFin hat signalisiert, dass sie proaktive Kommunikation über bestehende Lücken positiver bewertet als passives Schweigen. Wer nachweisen kann, dass die Umsetzung ernsthaft vorangetrieben wird, hat bessere Karten als Institute, die das Thema ignoriert haben. Automatische Fristverlängerungen gibt es allerdings nicht.
Was Finanzunternehmen jetzt noch tun sollten
Auch wenn die Zeit knapp ist, gibt es konkrete Handlungsoptionen für die verbleibenden Tage bis zum 30. März:
Bestandsaufnahme priorisieren: Konzentrieren Sie sich zunächst auf die kritischsten IKT-Dienstleister – jene, die für geschäftskritische Prozesse unverzichtbar sind. Das sind typischerweise Kernbanksysteme, Zahlungsabwicklung, E-Mail- und Kommunikationsinfrastruktur sowie Cybersecurity-Dienste. Eine 80-Prozent-Lösung mit korrekten Daten für die wichtigsten Anbieter ist besser als ein halbherziges Register, das alle Anbieter nur oberflächlich erfasst.
xBRL-CSV-Format vorbereiten: Stellen Sie sicher, dass Ihre Daten im technisch korrekten Format vorliegen. Die BaFin hat Spezifikationen und Validierungsregeln veröffentlicht – nutzen Sie diese, um Einreichungsfehler zu vermeiden. Ein Workshop der BaFin vom Februar 2026 bietet Orientierung für die technische Umsetzung.
Subunternehmer-Transparenz einfordern: Kontaktieren Sie Ihre kritischen IKT-Anbieter umgehend und fordern Sie Informationen zu deren Unterauftragnehmern an. Dokumentieren Sie den Kommunikationsverlauf – dies belegt gegenüber der BaFin Ihre Bemühungen, sollte die vollständige Transparenz nicht rechtzeitig hergestellt werden können.
Prozesse für die Zukunft etablieren: Das Register ist keine Einmal-Übung. Die BaFin verlangt eine jährliche Aktualisierung und erwartet, dass Änderungen bei kritischen Anbietern zeitnah nachgepflegt werden. Investieren Sie jetzt in Werkzeuge und Prozesse, die die kontinuierliche Pflege erleichtern.
DORA als Teil einer größeren Regulierungswelle
Das IKT-Register ist nur eine von vielen DORA-Anforderungen, die Finanzunternehmen umsetzen müssen. Parallel dazu stehen Vorgaben zu IKT-Risikomanagement, Incident Reporting, Resilienz-Tests und der Überwachung kritischer Drittanbieter auf der Agenda. Und DORA steht nicht allein: Zusammen mit NIS2, dem EU AI Act und dem Cyber Resilience Act entsteht ein dichtes regulatorisches Netz, das IT-Abteilungen in den kommenden Jahren massiv fordern wird.
Unternehmen, die jetzt in ein systematisches Compliance-Management investieren, schaffen die Grundlage für die Bewältigung all dieser Anforderungen. Wer hingegen jede Verordnung isoliert abarbeitet, riskiert doppelten Aufwand und strukturelle Lücken.
Fazit: Lieber lückenhaft melden als gar nicht
Die Botschaft an alle betroffenen Finanzunternehmen ist klar: Der 30. März ist kein empfohlenes Datum, sondern eine verbindliche aufsichtsrechtliche Frist. Wer sein IKT-Drittanbieterregister noch nicht fertiggestellt hat, sollte die verbleibende Zeit nutzen, um zumindest die kritischsten Anbieter vollständig zu dokumentieren und den Rest als bekannte Lücke zu kennzeichnen.
Denn eines hat die BaFin deutlich gemacht: Es gibt einen messbaren Unterschied zwischen einem Institut, das sich ernsthaft bemüht und transparent über offene Punkte kommuniziert – und einem, das die Anforderungen schlicht ignoriert hat. Die Aufsicht wird genau hinschauen.
Sie benötigen Unterstützung bei der Umsetzung regulatorischer Anforderungen wie DORA oder NIS2? Unser Team bei pleXtec berät Sie zur strategischen Einordnung und technischen Implementierung – sprechen Sie uns an über unser Kontaktformular.
