BaFin startet DORA-Hilfe für zweite Melderunde
04.02.2026 - 18:52:11
Die Finanzaufsicht BaFin verstärkt ihre Unterstützung für Banken und Versicherer bei der Umsetzung der EU-Digitalresilienz-Verordnung DORA. Ende Februar bietet die Behörde zwei Online-Workshops an, um Unternehmen auf die zweite jährliche Einreichung ihrer IKT-Dienstleister-Register vorzubereiten. Die Frist läuft vom 9. bis 30. März 2026.
Die Initiative zeigt: Die digitale Betriebsstabilität rückt weiter ins Zentrum der Aufsicht. Seit DORA im Januar 2025 in Kraft trat, müssen Finanzinstitute detailliert über alle Verträge mit externen Technologie-Dienstleistern berichten. Ziel ist es, Abhängigkeiten von einzelnen Cloud-Anbietern oder IT-Dienstleistern frühzeitig zu erkennen – und so systemische Risiken für den gesamten Finanzsektor zu minimieren.
Workshops sollen Fehler aus erster Runde vermeiden
Die Termine am 24. und 26. Februar 2026 bieten laut BaFin eine Plattform für Finanzexperten und Verbandsvertreter. Im Fokus stehen die Lehren aus dem ersten Meldejahr 2025. Die Aufsicht will häufige Fehlerquellen ansprechen, um Qualität und Einheitlichkeit der Daten zu verbessern.
Viele Institute unterschätzen, wie eng Cyber‑Security und regulatorische Meldungen zusammenhängen. Unser gratis E‑Book erklärt praxisnah, wie Sie IT-Abhängigkeiten analysieren, Sicherheitslücken bei Cloud‑Providern erkennen und Ihre IKT‑Meldeprozesse (xBRL/Excel) technisch absichern – inklusive Checklisten für MVP‑Testläufe. Ideal für Risiko-, IT‑ und Compliance‑Teams in Banken und Versicherern. Jetzt gratis Cyber‑Security‑Guide für Finanzinstitute herunterladen
Konkret geht es um diese Punkte:
– Welche Informationen müssen ins Register?
– Was hat sich gegenüber 2025 geändert?
– Wie füllt man die BaFin-Vorlagen korrekt aus?
– Wie läuft die Einreichung über die Meldeplattform MVP?
Die Teilnahme erfordert keine Anmeldung. Zugangsdaten werden kurz vor den Terminen auf der BaFin-Webseite veröffentlicht.
DORA: Warum das Register so wichtig ist
Die EU-Verordnung DORA zählt zu den größten regulatorischen Neuerungen für Europas Finanzbranche. Artikel 28 schreibt das jährliche Register über IKT-Drittdienstleister verbindlich vor. Für Aufseher wie die BaFin sind diese Daten entscheidend.
Denn sie zeigen: Welche Cloud-Anbieter oder IT-Dienstleister sind systemrelevant? Wo konzentrieren sich Risiken? Die BaFin leitet die gesammelten Informationen an die europäischen Aufsichtsbehörden (ESAs) weiter. Diese können bei kritischen Abhängigkeiten europaweit eingreifen.
Für die Meldung stellt die BaFin zwei Formate bereit: eine strukturierte xBRL-Datei oder eine vereinfachte Excel-Vorlage. Besonders kleinere Institute sollen so entlastet werden.
BaFin erwartet bessere Datenqualität 2026
Für die Einreichung 2026 gilt Stichtag 31. Dezember 2025. Alle bis dahin gültigen Verträge mit IKT-Dienstleistern müssen erfasst werden. Die BaFin empfiehlt, die MVP-Plattform schon vorab für Testläufe zu nutzen.
Doch Vorsicht: Die europäischen Aufsichtsbehörden könnten die Taxonomie für 2026 noch anpassen. Also die genauen Vorgaben, welche Daten wie gemeldet werden müssen. Die Workshops sollen hier für Klarheit sorgen.
Die Botschaft der BaFin ist klar: Nach dem ersten Jahr der Umsetzung erwartet die Aufsicht jetzt spürbar verbesserte Meldungen. Wer die Workshops nutzt und die Vorlagen sorgfältig ausfüllt, dürfte die Frist im März sicher einhalten.
PS: Sie wollen zusätzlich prüfen, ob Ihre IKT‑Drittleister‑Meldungen durch unerkannte Sicherheitsrisiken gefährdet sind? Unser kompakter Cyber‑Check liefert konkrete Maßnahmen zur Härtung von Cloud‑Verbindungen, Vorlagen zur Nachweisführung gegenüber Aufsichtsbehörden und eine Kurz‑Priorisierung für Sofortmaßnahmen. Cyber‑Security‑Check kostenlos anfordern
