2025 gelangten 103 Meldungen schwerwiegender IKT-Vorfälle von Finanzunternehmen an die österreichische Finanzmarktaufsicht. 63 % davon standen in Zusammenhang mit externen IKT-Dienstleistern.1 In Deutschland lag die Zahl bei 600 gemeldeten schweren IKT-Vorfällen.2
Mit dem Digital Operational Resilience Act hat die EU einen einheitlichen Rahmen geschaffen, um Informationen zu Cyberbedrohungen auszutauschen, systemische Risiken zu erkennen und schneller auf Angriffe reagieren zu können. Nach dem ersten Jahr DORA zogen die Aufsichtsbehörden Bilanz. „DORA war ein zentraler Schritt, um die Stabilität des europäischen Finanzmarktes im digitalen Zeitalter nachhaltig zu stärken. Wir sehen nach einem Jahr bereits deutlich mehr Transparenz über digitale Risiken“, so FMA-Vorstand Helmut Ettl.1 Einige der aktuellen Entwicklungen und Erkenntnisse sind nachfolgend zusammengefasst.
Informationsregister-Abgabe 2026
In Österreich erfolgt die Abgabe des Informationsregisters zwischen 16. Februar und 13. März 2026. Bei der Einmeldung ist verpflichtend die Excel-Vorlage der FMA zu verwenden.
Alle Details dazu finden Sie hier: FMA Österreich
In Deutschland liegt der Zeitraum für die Einreichung etwas später: vom 9. bis 30. März 2026. Finanzunternehmen haben dabei ausschließlich eine strukturierte Datei (xBRL), die der Taxonomie der ESAs entspricht, oder die Excel-Vorlage der BaFin zu nutzen.
Alle Details dazu finden Sie hier: BaFin Deutschland
Inhaltlich muss das Informationsregister den Sachstand zum Stichtag 31. Dezember 2025 wiedergeben. Technische Änderungen an der Taxonomie für den Einreichprozess gab es vonseiten der ESAs keine.3 Bei Verwendung der automatisierten Informationsregister-Erstellung von Fabasoft Dora sind die neuen Validierungsregeln gemäß EBA-Vorgaben bereits im System umgesetzt.
Hoher Anteil kritischer Drittdienstleister aus den USA
Nach Sichtung der 2025 eingereichten Informationsregister haben die ESAs nun die Liste der kritischen IKT-Drittdienstleister veröffentlicht. Diese umfasst insgesamt 19 Anbieter – darunter internationale Technologiekonzerne wie Amazon, Microsoft und Google –, die mit dem neuen DORA-Aufsichtsrahmen künftig unter direkter Überwachung der ESAs stehen.
Die Auflistung der kritischen IKT-Drittdienstleister finden Sie hier: ESMA
Laut Analyse der BaFin stammen in Deutschland drei Viertel der von den Finanzunternehmen selbst als kritisch eingestuften IKT-Drittdienstleister aus Drittstaaten, darunter zu einem hohen Anteil aus den USA.4 Zwar achtet die Mehrheit der Institute auf eine europäische oder deutsche Datenlokation – doch im Hinblick auf vollständige DSGVO-Konformität und die Wahrung der digitalen Souveränität, ist eine reine Speicherung der Daten innerhalb Europas nicht ausreichend. Vor diesem Hintergrund ist die Überlegung bezüglich einer europäischen Alternative sinnvoll.
Fehlende vertragliche Anpassungen und Exitpläne
Laut Aussagen der Aufsichtsbehörden ist eine Vielzahl der bestehenden IKT-Verträge immer noch nicht an die neuen Mindestvertragsinhalte nach DORA und die dazugehörigen RTS angepasst. Finanzinstitute sind daher angehalten, die ausständigen Adaptierungen so rasch wie möglich durchzuführen.4 Der IKT-Vertragsbestand lässt sich mit den individualisierbaren KI-Prüfkatalogen von Fabasoft Dora schnell kontrollieren. Anhand von Checklisten analysiert die KI die Vertragsinhalte auf K.-o.-Kriterien und regulatorische Anforderungen und bereitet die identifizierten Risiken übersichtlich auf. Die nachfolgende Erstellung von DORA-konformen Ergänzungsvereinbarungen gelingt einfach durch digitale Workflows und Klauselbibliotheken.
Auch überraschend: Für viele vertragliche Vereinbarungen mit IKT-Drittdienstleistern liegen nach eigener Angabe der deutschen Finanzunternehmen keine Exitpläne vor. Je leichter dabei die Ersetzbarkeit, desto seltener ist ein solcher vorhanden. DORA fordert für alle IKT-Dienstleistungen, die eine kritische oder wichtige Funktion unterstützen, einen Ausstiegsplan. Besonders in der Kategorie „nicht ersetzbar“ stellt diese regulatorische Vorgabe eine Herausforderung für die Institute dar, wie die BaFin berichtet.4 Fabasoft Dora unterstützt auch hier mit digitalen Vorlagen für Exitpläne.
Aufholbedarf bei Vor-Ort-Prüfungen
Wo sich bei den Vor-Ort-Prüfungen vieler Finanzunternehmen noch Raum für Verbesserungen gezeigt hat, waren klare Verantwortlichkeiten und Prozesse für die Maßnahmenumsetzung und –überwachung. Häufig sind diese noch unvollständig, binden Leitungsorgane nicht ausreichend ein oder sind für die Prüfer nicht nachvollziehbar.4 Für eine einheitliche und transparente Dokumentation ist es essenziell, sämtliche mit einer Auslagerung verbundenen Geschäftsabläufe zu digitalisieren. Grafische Prozessdesigner ermöglichen eine individuelle Erstellung von Workflows ohne Programmierkenntnisse. Elektronische Workflow-Unterschriften und revisionssichere Audit-Logs machen jede durchgeführte Tätigkeit nachweisbar.
Angleichung der Regulatorik
Wie in einer Informationsverantstaltung der BaFin angekündigt, arbeitet die Europäische Bankenaufsicht aktuell an einer neuen Version der Guidelines on Outsourcing. Ziel ist es, die aktuellen Redundanzen zu DORA aufzulösen (Informationsregister vs. Auslagerungsregister). Demnach fallen IKT-Dienstleistungen künftig nicht mehr in die Definition einer Auslagerung nach EBA-Guidelines und müssen somit nur noch einmalig im Rahmen des DORA-Informationsregisters reportet werden. Die Überarbeitung soll noch im ersten Halbjahr 2026 erfolgen.4
Quellen:
1) Cybersicherheit gestärkt: FMA und OeNB ziehen positive Bilanz nach einem Jahr DORA - FMA Österreich
2) BaFin meldet über 600 schwere IKT-Vorfälle seit Dora-Start
3) BaFin - Informationsregister und Anzeigepflichten
4) BaFin - News & Maßnahmen - IT-Aufsicht im Finanzsektor: Das erste Jahr DORA
