DORA-Informationsregister und Anzeigepflichten
Informationsregister und Anzeigepflichten nach DORA
Inhalte, Pflichten und
Auswirkungen für Unternehmen
Stand: Februar2026
Lesezeit: ca. 5 Minuten
Das Wichtigste zum DORA-Register auf einen Blick
Finanzunternehmen, die unter den Anwendungsbereich des Digital Operational Resilience Act (DORA) fallen, sind verpflichtet, jährlich ihre Informationsregister gemäß Artikel 28 Absatz 3 DORA einzureichen. Die BaFin nimmt die Einreichungen ausschließlich über das Fachverfahren „Digital Operational Resilience Act (DORA)“ auf der Melde- und Veröffentlichungsplattform (MVP) entgegen, wobei die Daten entweder als strukturierte Datei entsprechend der Taxonomie der ESAs oder über eine von der BaFin bereitgestellte Excel-Vorlage übermittelt werden müssen. Die Informationen im Register müssen den Sachstand zum Stichtag 31. Dezember des Vorjahres widerspiegeln, insbesondere Änderungen bei Verträgen mit IKT-Drittdienstleistern, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen. Eine hohe Datenqualität hinsichtlich Richtigkeit und Vollständigkeit ist zwingend erforderlich, um die Einreichung den aufsichtsrechtlichen Anforderungen entsprechend abzuschließen.DORA einzureichen. Die BaFin nimmt die Einreichungen ausschließlich über das Fachverfahren „Digital Operational Resilience Act (DORA)“ auf der Melde- und Veröffentlichungsplattform (MVP) entgegen, wobei die Daten entweder als strukturierte Datei entsprechend der Taxonomie der ESAs oder über eine von der BaFin bereitgestellte Excel-Vorlage übermittelt werden müssen. Die Informationen im Register müssen den Sachstand zum Stichtag 31. Dezember des Vorjahres widerspiegeln
Kerndaten des DORA-KI-Leitfadens
Das Informationsregister erfüllt mehrere Funktionen für die Aufsicht. Es stellt sicher, dass die zuständige Behörde vollständige Informationen über alle relevanten IKT-Verträge erhält und ermöglicht den europäischen Aufsichtsbehörden (ESAs) die jährliche Einstufung kritischer IKT-Drittdienstleister. Die Übermittlung der Register an die ESAs erfolgt durch die nationalen Aufsichtsbehörden, in Deutschland über die BaFin, und muss den Stichtag 31. Dezember des Vorjahres widerspiegeln. Ziel ist es, Transparenz über die IKT-Dienstleisterketten zu schaffen, Risiken zu identifizieren und Doppelmeldungen zu vermeiden. Durch die Vereinheitlichung der Einreichung und die Nutzung von standardisierten Vorlagen wird ein konsistenter, prüfbarer Datensatz gewährleistet.
Hintergrund und Ziele
Die Nutzung von KI erstreckt sich über die gesamte Wertschöpfungskette von Finanzunternehmen – von Kreditvergabe über Risikomodellierung, Kundenkommunikation bis hin zur Schadenbearbeitung. Dadurch entstehen spezifische IKT-Risiken, die unabhängig von den fachlichen Prozessen auftreten. Mit der Orientierungshilfe möchte die BaFin Unternehmen unverbindlich unterstützen, die regulatorischen Anforderungen des DORA einzuhalten. Ziel ist es, die Resilienz von KI-Systemen zu erhöhen, Governance-Strukturen zu stärken und Risiken frühzeitig zu identifizieren.
Wesentlicher Regelungsinhalt
Die Einreichung erfolgt über die BaFin MVP, wobei entweder die strukturierte Datei gemäß ESAs-Taxonomie oder die von der BaFin bereitgestellte Excel-Vorlage genutzt werden kann. Die von den ESAs veröffentlichten Validierungsregeln für die einzelnen Datenfelder müssen eingehalten werden, und bei Fehlern oder unvollständigen Angaben sind korrigierte Register erneut einzureichen. Neben der jährlichen Einreichung der Informationsregister bestehen Anzeigepflichten für neue Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Diese Pflicht ergänzt die sektoralen Vorschriften zu Auslagerungen, wobei die BaFin Doppelmeldungen vermeiden möchte. Das Fachverfahren „Anzeige von Auslagerungen“ wird hierfür angepasst, sodass eine Anzeige sowohl DORA- als auch sektorale Meldepflichten abdecken kann. Bei Fällen, in denen keine reguläre Auslagerungsanzeige erforderlich ist, können Unternehmen die geplante Vereinbarung über ein Excel-Formular direkt an die BaFin übermitteln.
Sanktionen und Durchsetzung
Finanzunternehmen müssen ihre internen Prozesse so gestalten, dass die Einreichung der Informationsregister fristgerecht und vollständig erfolgt. Dazu gehört die korrekte Pflege der Vertragsinformationen, die Sicherstellung der Datenqualität, die Überwachung des Status der Einreichung im MVP-Portal und die rechtzeitige Korrektur etwaiger Fehler. Die Meldung gilt erst als abgeschlossen, wenn das Register erfolgreich validiert wurde. Für geplante Änderungen bei kritischen oder wichtigen Funktionen besteht eine zeitnahe Anzeigepflicht, die bei Bedarf über die überarbeitete Meldung zur Auslagerung erfüllt werden kann. Um die Unternehmen auf die Einreichung vorzubereiten, bietet die BaFin Workshops an, in denen Fragen zu erforderlichen Informationen, häufigen Fehlern und Änderungen gegenüber dem Vorjahr erläutert werden.
Die wichtigsten Fragen – kurz beantwortet
Betroffen sind alle Finanzunternehmen, die unter den Anwendungsbereich von DORA fallen, insbesondere solche mit kritischen oder wichtigen IKT-Funktionen und entsprechenden Dienstleisterverträgen.
Unternehmen sollten sicherstellen, dass alle relevanten Verträge korrekt dokumentiert sind, die Melder für das MVP-Fachverfahren freigeschaltet sind, Testeinreichungen durchgeführt und mögliche Fehler in der Vorlage frühzeitig korrigiert werden.
Die Einreichung der Informationsregister erfolgt zwischen dem 9. und 30. März 2026, wobei die Daten den Stichtag 31. Dezember 2025 abbilden müssen. Anzeigepflichten für neue oder geänderte IKT-Verträge bestehen ergänzend und sind zeitnah zu erfüllen.2026, wobei die Daten den Stichtag 31. Dezember 2025 abbilden müssen. Anzeigepflichten für neue oder geänderte IKT-Verträge bestehen ergänzend.
