DORA-Informationsregister 2026: BaFin-Meldefrist läuft — Was Finanzunternehmen jetzt tun müssen

DORA-Informationsregister 2026: BaFin-Meldefrist läuft — Was Finanzunternehmen jetzt tun müssen

Avatar of Boris Friedrich
Boris Friedrich
10. März 2026
12 min Lesezeit
Informationssicherheit

Montagmorgen, 10. März 2026. Ihr Compliance-Leiter steht in der Tür: „Die BaFin-Meldefrist für das Informationsregister hat gestern begonnen. Wir haben 20 Tage.“ Sie schauen auf Ihre IKT-Dienstleister-Liste — und sehen ein Excel-Chaos aus drei Abteilungen, fehlende Unterauftragnehmer-Ketten und keinen einzigen xBRL-Export. In 20 Tagen muss ein validiertes, vollständiges Register auf der BaFin-Plattform stehen.

Genau dieses Szenario spielt sich gerade in hunderten Finanzunternehmen ab. Denn seit dem 9. März 2026 läuft die jährliche Einreichungsfrist für das DORA-Informationsregister — und sie endet am 30. März. Keine Verlängerung, keine Kulanz.

Dieser Artikel erklärt, was das Informationsregister konkret verlangt, welche Fehler die BaFin im letzten Jahr am häufigsten gesehen hat und wie Sie die Einreichung in den verbleibenden Wochen schaffen.

Was ist das DORA-Informationsregister?

Artikel 28 Absatz 3 DORA verpflichtet jedes Finanzunternehmen im Anwendungsbereich der Verordnung, ein vollständiges Register aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu führen. Das klingt nach einer Tabelle — ist aber ein komplexes Meldewesen mit klaren technischen Vorgaben.

Das Register erfasst:

  • Alle IKT-Dienstleister, die dem Unternehmen Leistungen erbringen — intern wie extern
  • Alle vertraglichen Vereinbarungen, die kritische oder wichtige Funktionen unterstützen
  • Die vollständige Kette der Unterauftragsvergabe, mindestens bis zum ersten externen Unterauftragnehmer
  • Risikoklassifizierung, Vertragslaufzeiten, Kündigungsfristen und Exitpläne
  • Angaben zur Datenlokation und zum Rechtsstandort des Dienstleisters

Wichtig: Das Register geht weit über klassische Auslagerungsverzeichnisse hinaus. Auch sonstige IKT-Dienstleistungen müssen erfasst werden — also Leistungen, die keine formale Auslagerung darstellen, aber dennoch operative Funktionen unterstützen.

BaFin-Meldefrist 2026: 9. bis 30. März

Die BaFin hat den Einreichungszeitraum für 2026 festgelegt: Vom 9. bis 30. März müssen alle Finanzunternehmen ihr aktualisiertes Informationsregister über die Melde- und Veröffentlichungsplattform (MVP) einreichen.

Die wichtigsten Eckdaten:

  • Stichtag: Das Register muss den Sachstand zum 31. Dezember 2025 wiedergeben
  • Format: Ausschließlich als strukturierte xBRL-Datei (ESA-Taxonomie) oder über die Excel-Vorlage der BaFin
  • Portal: Einreichung nur über das Fachverfahren „Digital Operational Resilience Act (DORA)“ in der BaFin-MVP
  • Validierung: Nach der Einreichung erhalten Unternehmen ein Fehlerprotokoll — Fehler müssen kurzfristig korrigiert und das Register erneut eingereicht werden
  • Testverfahren: Über das Fachverfahren „TEST: DORA“ können vorab Testeinreichungen vorgenommen werden

Keine technischen Änderungen an der Taxonomie: Die ESAs haben für den Einreichungsprozess 2026 keine Änderungen an der xBRL-Taxonomie vorgenommen. Wer seine Daten bereits 2025 im richtigen Format hatte, muss die Struktur nicht anpassen — nur die Inhalte aktualisieren.

600 Vorfälle in 12 Monaten: Warum das Register jetzt so wichtig ist

Die Zahlen sprechen für sich: Seit Januar 2025 hat die BaFin über 600 schwerwiegende IKT-Vorfälle im deutschen Finanzsektor registriert. 63 Prozent dieser Vorfälle standen in direktem Zusammenhang mit externen IKT-Drittdienstleistern.

Das Informationsregister ist kein bürokratischer Selbstzweck. Es ist das zentrale Instrument, mit dem die Aufsicht systemische Abhängigkeiten im Finanzsektor erkennt. Auf Basis der 2025 eingereichten Register haben die Europäischen Aufsichtsbehörden (ESAs) erstmals 19 kritische IKT-Drittdienstleister benannt — darunter Amazon, Microsoft und Google. Diese stehen nun unter direkter Überwachung.

Blog post image

Drei Erkenntnisse aus den bisherigen Einreichungen:

  1. Konzentrationsrisiko ist real: Die Top 10 der kritischen IKT-Dienstleister halten über 85 Prozent aller Verträge. Ein Ausfall bei einem einzelnen Provider kann hunderte Institute gleichzeitig treffen.
  2. 75 Prozent der kritischen Dienstleister sitzen in Drittstaaten: Überwiegend in den USA. Die Datenlokation mag europäisch sein — die Entscheidungsgewalt ist es oft nicht.
  3. Fehlende Exitpläne: Viele Finanzunternehmen haben für ihre wichtigsten IKT-Verträge keinen dokumentierten Ausstiegsplan. Je schwieriger die Ersetzbarkeit, desto seltener existiert ein Plan — genau umgekehrt zu dem, was DORA fordert.

Was muss konkret ins Register?

Das DORA-Informationsregister ist in mehreren Tabellen strukturiert, die der ESA-Taxonomie folgen. Finanzunternehmen müssen für jeden IKT-Vertrag umfassende Angaben machen:

Auf Unternehmensebene

  • LEI (Legal Entity Identifier) des meldenden Unternehmens
  • Konsolidierungsebene: Einzelmeldung (.IND) oder konsolidierte Meldung (.CON) bei Gruppen
  • Identifikation aller kritischen und wichtigen Geschäftsfunktionen

Auf Vertragsebene

  • Vollständige Vertragsidentifikation (Vertragstyp, Laufzeit, Kündigungsfristen)
  • Zuordnung zu den unterstützten Geschäftsfunktionen
  • Risikoklassifizierung: Unterstützt der Vertrag eine kritische oder wichtige Funktion?
  • Kosten und Vergütungsstruktur
  • Datenlokation: Wo werden die Daten verarbeitet und gespeichert?

Auf Dienstleisterebene

  • LEI oder vergleichbare Identifikation des IKT-Drittdienstleisters
  • Rechtsstandort und Hauptsitz
  • Angaben zu Unterauftragnehmern — bei kritischen Funktionen die gesamte Kette
  • Substituierbarkeit: Wie einfach kann der Dienstleister ersetzt werden?

Besondere Aufmerksamkeit bei Unterauftragnehmern: Wenn ein gruppeninterner IKT-Dienstleister Unterauftragnehmer nutzt, muss die Kette im Register immer mindestens den ersten externen Unterauftragnehmer umfassen — auch wenn die Leistung keine kritische Funktion unterstützt.

Die häufigsten Fehler bei der Einreichung

Die BaFin hat im Rahmen ihrer Workshops am 24. und 26. Februar 2026 die typischen Problemfelder adressiert. Aus den Erfahrungen des ersten Einreichungsjahres 2025 zeigen sich wiederkehrende Fehlerquellen:

1. Inkonsistente Foreign Keys

Die Tabellen des Informationsregisters sind untereinander verknüpft. Der LEI in Tabelle B.01.02 muss exakt mit dem LEI in den Vertragstabellen übereinstimmen. Bereits ein Tippfehler führt zur automatischen Ablehnung durch das Validierungssystem.

2. Unvollständige Unterauftragnehmerketten

Viele Institute erfassen nur ihre direkten Dienstleister, nicht aber deren Unterauftragnehmer. DORA verlangt die vollständige Kette — insbesondere bei Dienstleistungen, die kritische Funktionen unterstützen.

3. Falsche Dateiformate

Die BaFin akzeptiert ausschließlich xBRL-Dateien nach ESA-Taxonomie oder die offizielle Excel-Vorlage. Eigene Excel-Formate, CSV-Exporte oder PDF-Uploads werden abgelehnt.

4. Fehlende Risikoklassifizierung

Nicht jeder IKT-Vertrag ist gleich kritisch. Aber die Zuordnung „unterstützt kritische/wichtige Funktion“ muss für jeden Vertrag dokumentiert sein. Unternehmen, die hier pauschal klassifizieren, riskieren Rückfragen.

5. Veraltete Vertragsdaten

Das Register muss den Sachstand zum 31. Dezember 2025 abbilden. Verträge, die 2025 abgeschlossen oder gekündigt wurden, müssen entsprechend erfasst sein. Ein Register, das auf dem Stand von 2024 basiert, wird nicht akzeptiert.

Praxisleitfaden: So schaffen Sie die Einreichung bis 30. März

20 Tage sind knapp. Aber machbar. Hier ist der Fahrplan:

Blog post image

Woche 1 (9.–16. März): Datenerhebung und Konsolidierung

  • Bestehende Vertragsregister aus Einkauf, IT, Compliance und Risikomanagement zusammenführen
  • Lücken identifizieren: Welche IKT-Dienstleister fehlen? Welche Unterauftragnehmer sind nicht erfasst?
  • LEIs aller Dienstleister verifizieren
  • Testeinreichung über das BaFin-Testverfahren durchführen

Woche 2 (17.–23. März): Validierung und Qualitätssicherung

  • Fehlerprotokoll der Testeinreichung auswerten und korrigieren
  • Foreign Keys und Querverweise zwischen Tabellen prüfen
  • Risikoklassifizierung mit den Fachabteilungen abstimmen
  • Exitpläne für Verträge mit kritischen Funktionen dokumentieren

Woche 3 (24.–30. März): Einreichung und Nachkorrektur

  • Finale Einreichung über die BaFin-MVP durchführen
  • Fehlerprotokoll der produktiven Einreichung sofort prüfen
  • Korrekturen innerhalb der Frist nachreichen
  • Interne Dokumentation der Einreichung für Audit-Zwecke sichern

Was passiert, wenn Sie die Frist verpassen?

DORA ist eine EU-Verordnung mit unmittelbarer Geltung. Die BaFin hat die Einreichung des Informationsregisters als aufsichtliche Pflicht definiert. Wer nicht fristgerecht einreicht, muss rechnen mit:

  • Aufsichtlichen Rückfragen und Maßnahmen durch die BaFin
  • Verschärfter Prüfintensität bei anstehenden Vor-Ort-Prüfungen
  • Reputationsrisiken bei der internen und externen Berichterstattung
  • Im Extremfall: Bußgeldern nach dem Finanzmarktdigitalisierungsgesetz (FinmadiG)

Die BaFin hat in ihrem Workshop klar gemacht: Eine hohe Datenqualität wird erwartet. „Richtigkeit und Vollständigkeit“ waren die Kernbotschaften. Die Zeiten, in denen man ein halbfertiges Register abgeben konnte, sind vorbei.

Der größere Kontext: DORA 2026 geht weit über das Register hinaus

Das Informationsregister ist nur einer der fünf DORA-Pfeiler. Die BaFin hat für 2026 ihre Prüfungsschwerpunkte gesetzt:

  • IKT-Risikomanagement-Rahmenwerk: Ist es dokumentiert, von der Geschäftsleitung genehmigt und im operativen Betrieb verankert?
  • Incident Reporting: Kann Ihr Unternehmen die 4-Stunden-Erstmeldefrist für schwerwiegende IKT-Vorfälle einhalten?
  • Resilienz-Testing: Die BaFin erwartet 2026 erste Nachweise über durchgeführte Basistests und — für systemrelevante Institute — Threat-Led Penetration Tests (TLPT)
  • Vertragsanpassung: Bestehende IKT-Verträge müssen an die DORA-Mindestvertragsinhalte angepasst werden. Für Institute unter BAIT/VAIT/KAIT/ZAIT gilt eine Übergangsfrist bis 1. Januar 2027

Fazit: Das Informationsregister ist der Lackmustest für Ihre DORA-Reife

Die Einreichung des Informationsregisters ist nicht nur eine Meldepflicht. Sie ist der erste echte Prüfstein, an dem die BaFin erkennt, wie ernst ein Institut DORA nimmt. Wer ein vollständiges, validiertes Register fristgerecht einreicht, signalisiert Compliance-Reife. Wer es nicht tut, steht auf der Liste für die nächste Vor-Ort-Prüfung.

Die Frist läuft. Nutzen Sie die verbleibenden Tage, um Ihr Register zu konsolidieren, zu validieren und einzureichen. Die BaFin-Hilfestellungen — Ausfüllhinweise , Excel-Vorlage und Fehlercodes — sind solide. Nutzen Sie sie.

Wenn Sie Unterstützung bei der DORA-Umsetzung brauchen — von der Registeraufbereitung bis zur Gesamtstrategie — sprechen Sie mit unseren Experten. ADVISORI begleitet Finanzunternehmen seit Jahren bei regulatorischen Transformationsprojekten.

Häufig gestellte Fragen zum DORA-Informationsregister

Welche Unternehmen müssen das Informationsregister einreichen?

Alle Finanzunternehmen im Anwendungsbereich von DORA — Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, Krypto-Dienstleister und weitere Akteure im Finanzsektor.

In welchem Format muss das Register eingereicht werden?

Als strukturierte xBRL-Datei nach ESA-Taxonomie oder über die offizielle Excel-Vorlage der BaFin. Andere Formate werden nicht akzeptiert.

Was passiert nach der Einreichung?

Die BaFin führt eine automatische Validierung durch und sendet ein Fehlerprotokoll. Fehlerhafte Einreichungen müssen innerhalb der Frist korrigiert und erneut eingereicht werden.

Müssen auch gruppeninterne IKT-Dienstleister erfasst werden?

Ja. Auch konzerninterne IKT-Dienstleister und deren externe Unterauftragnehmer müssen im Register erfasst werden.

Was ist der Unterschied zwischen individueller und konsolidierter Meldung?

Einzelunternehmen reichen eine individuelle Meldung (.IND) ein. Finanzgruppen können eine konsolidierte Meldung (.CON) auf Gruppenebene abgeben, müssen aber alle Einzelunternehmen der Gruppe abdecken.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten