Nach der BaFin-Meldefrist: Was DORA-pflichtige Unternehmen jetzt tun müssen

Der 30. März 2026 ist vergangen. Ihr IKT-Drittanbieterregister ist lückenhaft, drei Vertragspartner fehlen noch, und die Compliance-Abteilung hat erst gestern einen weiteren Anbieter identifiziert, der eigentlich hätte gemeldet werden müssen. Die Frist bei der BaFin ist vorbei. Was jetzt?

Diese Situation ist für viele Finanzunternehmen in Deutschland Realität. Die DORA-IKT-Drittanbieter-Meldefrist am 30. März 2026 hat viele Institute überrascht — nicht weil sie unbekannt war, sondern weil die operative Komplexität unterschätzt wurde. Dieser Artikel erklärt, was nach der Meldefrist passiert, welche Konsequenzen drohen, und wie Sie die Lücken jetzt noch schließen können.

⚠️ Frist abgelaufen: Die BaFin-Meldefrist für das DORA-IKT-Register ist verstrichen. Handeln Sie jetzt, um Aufsichtsmaßnahmen zu vermeiden.

Kurz rekapituliert: Was ist das DORA-IKT-Drittanbieterregister?

DORA — der Digital Operational Resilience Act — ist seit dem 17. Januar 2025 in der EU anwendbar. Er verpflichtet Finanzunternehmen (Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, Wertpapierfirmen u.a.) zu einem umfassenden Management ihrer IKT-Drittanbieterrisiken.

Kernpflicht: Das Informationsregister. Jedes Finanzunternehmen muss ein vollständiges Register aller IKT-Drittanbieter führen — von Cloud-Anbietern und Rechenzentren über Software-as-a-Service bis zu Managed Security Services. Gemeldet werden müssen: Vertragspartner, Art der IKT-Dienstleistung, Kritikalität für den Geschäftsbetrieb, Standort der Datenspeicherung und Subunternehmer.

Die erste Übermittlung an die BaFin war für den 30. März 2026 fällig. Ab 2026 gilt: Die BaFin leitet die Register an die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) weiter — ebenfalls bis zum 31. März jeden Jahres.

Was passiert nach dem 30. März — BaFin-Konsequenzen

Die BaFin ist nicht bekannt dafür, Fristen zu ignorieren. Die Behörde hat im Vorfeld klar kommuniziert: Das Informationsregister ist keine freiwillige Übung. DORA-Art. 28 verpflichtet Finanzunternehmen zur Führung und Übermittlung des Registers. Bei Verstoß drohen:

Aufsichtliche Maßnahmen: Die BaFin kann Nachfrist setzen, Korrekturmaßnahmen anordnen oder Prüfungen veranlassen.

Bußgelder: Für Finanzunternehmen bis zu 10 Millionen Euro oder 5 % des Gesamtnettoumsatzes gemäß DORA-Art. 50.

Reputationsrisiko: Bei schwerwiegenden Verstößen kann die BaFin Sanktionen öffentlich bekanntmachen.

Persönliche Haftung: Ähnlich wie NIS2 sieht DORA auch die Verantwortlichkeit der Leitungsebene vor — Vorstände können direkt sanktioniert werden.

Wichtig: Die BaFin prüft nicht nur ob ein Register übermittelt wurde, sondern auch ob es vollständig und korrekt ist. Ein unvollständiges Register ist ein Verstoß — auch wenn es fristgerecht eingereicht wurde.

Lücken im Register schließen: Nachlieferung versus Bußgeld

Die pragmatische Botschaft: Es ist besser, jetzt proaktiv auf die BaFin zuzugehen als zu warten, bis die Behörde selbst Lücken identifiziert. In der Aufsichtspraxis gilt: Wer freiwillig nachliefert und kommuniziert, wird milder bewertet als wer auf Sanktionsdruck reagiert.

Praktisches Vorgehen für lückenhafte Register:

Gap-Analyse: Vollständige Bestandsaufnahme aller IKT-Vertragsbeziehungen. Auch indirekte Anbieter (Subunternehmer Ihrer direkten Vertragspartner) müssen erfasst werden.

Priorisierung: Kritische IKT-Dienstleistungen zuerst — welche Anbieter sind unverzichtbar für den Geschäftsbetrieb? Diese haben Priorität in der Nacherfassung.

Dokumentation: Für jeden Anbieter: Vertragsgrundlagen, Art der Dienstleistung, Datenspeicherort, Subunternehmer, Kritikalitätsbewertung.

Kommunikation mit BaFin: Bei erheblichen Lücken empfiehlt sich eine proaktive Kontaktaufnahme mit der BaFin und die Übermittlung eines Nachtrags zum Register mit erläuternden Hinweisen.

DORA ICT Third-Party Risk Management: Der nächste Schritt

Das Informationsregister ist nur ein Element des DORA-Rahmens. Parallel — und mit teils engeren Fristen — müssen Finanzunternehmen ihr gesamtes IKT-Drittanbieter-Risikomanagement aufbauen:

Risikoklassifizierung: Alle Anbieter müssen nach Kritikalität klassifiziert werden. Kritische IKT-Drittanbieter unterliegen verschärften Anforderungen.

Vertragliche Mindestanforderungen: DORA-Art. 30 schreibt konkrete Mindestklauseln für IKT-Verträge vor — Exit-Strategien, Audit-Rechte, Verfügbarkeits-SLAs, Datensicherheit, Subunternehmer-Transparenz.

Exit-Strategien: Für jeden kritischen Anbieter muss ein dokumentierter Exit-Plan existieren. Wer kann den Dienst im Notfall übernehmen?

Regelmäßige Reviews: Das Register ist keine einmalige Übung — es muss kontinuierlich aktualisiert werden. Bei neuen Vertragsbeziehungen sofortige Erfassung.

Concentration Risk: Die BaFin und ESAs beobachten, wie viele Finanzunternehmen von denselben kritischen Anbietern abhängig sind (z.B. AWS, Microsoft Azure, Google Cloud). Übermäßige Konzentration kann aufsichtliche Maßnahmen auslösen.

Alles zur ursprünglichen Meldefrist und den Details des IKT-Registers: DORA-Informationsregister: BaFin-Meldefrist März 2026.

Häufige Fragen zum DORA-IKT-Register nach der Meldefrist

Gibt es eine offizielle Nachfrist von der BaFin?

Eine formale automatische Nachfrist ist nicht vorgesehen. Die BaFin kann im Einzelfall eine Nachfrist setzen — aber das ist eine aufsichtliche Maßnahme, keine reguläre Option. Wer proaktiv Kontakt aufnimmt und Lücken kommuniziert, verbessert seine Position erheblich gegenüber passivem Abwarten.

Müssen auch kleine Zahlungsdienstleister ein vollständiges IKT-Register einreichen?

DORA gilt grundsätzlich für alle Finanzunternehmen im Sinne der Verordnung — unabhängig von der Größe. Allerdings enthält DORA in Art. 16 vereinfachte Regelungen für Kleinstunternehmen (unter 10 Mitarbeiter, unter 2 Mio. Euro Umsatz). Alle anderen sind vollumfänglich pflichtig.

Was ist der Unterschied zwischen direkten und indirekten IKT-Drittanbietern?

Direkte Anbieter: Unternehmen, mit denen Sie direkt einen IKT-Vertrag haben. Indirekte Anbieter: Subunternehmer Ihrer direkten Anbieter, die für die IKT-Dienstleistung wesentlich sind. DORA verlangt Transparenz auch über die Subunternehmer-Ebene — insbesondere wenn ein Subunternehmer eine kritische Funktion erfüllt.

Wie häufig muss das IKT-Register aktualisiert und eingereicht werden?

Das Register muss intern kontinuierlich aktuell gehalten werden. Die jährliche Übermittlung an die BaFin (und von dort an die ESAs) erfolgt bis zum 31. März jeden Jahres. Bei wesentlichen Änderungen (neuer kritischer Anbieter, Kündigung eines Vertrags) sollte das Register sofort intern aktualisiert werden.

ADVISORI begleitet Sie bei der DORA-Umsetzung

Ob lückenhaftes Register, fehlende Vertragsklauseln oder unvollständiges Risikomanagement: ADVISORI hat spezialisierte DORA-Berater, die Finanzunternehmen bei der vollständigen Compliance-Umsetzung unterstützen. Von der Gap-Analyse bis zur Kommunikation mit der BaFin.

Kontaktieren Sie uns — je früher Sie handeln, desto besser Ihre Ausgangslage.