DORA Umsetzung
Timeline und Meilensteine.
Uebersicht der wichtigsten Daten, Fristen und regulatorischen Meilensteine fuer die DORA-Umsetzung in Finanzinstituten.
Hinweis: Diese Timeline stellt eine Zusammenfassung wichtiger DORA-relevanter Daten und Fristen dar. Die Angaben basieren auf oeffentlich verfuegbaren Quellen (BaFin, EBA, EUR-Lex). Fuer verbindliche Fristen und aktuelle Aenderungen konsultieren Sie bitte die Originalquellen.
Management-Zusammenfassung
- DORA ist am 17. Januar 2025 in Kraft getreten — alle Finanzunternehmen muessen die Anforderungen umsetzen.
- Wichtige Fristen: Informationsregister (jaehrlich Maerz), TLPT (erstmalig bis 17.01.2028), MaRisk-Novelle (Finalisierung H2 2026).
- Die Timeline zeigt vergangene Meilensteine, laufende Verpflichtungen und kommende Fristen zur Planungssicherheit.
- Regulatorische Aenderungen (9. MaRisk-Novelle, WpI MaRisk) werden fortlaufend ergaenzt.
2024
BaFin Aufsichtsmitteilung: Erleichterungen fuer kleine Institute
Die BaFin hat Hinweise zur Umsetzung von DORA mit vereinfachten IKT-Risikomanagementrahmen veroeffentlicht. Kleine und nicht komplexe Institute erhalten proportionale Erleichterungen.
BaFin DORA-UebersichtBaFin: Dokumentationsanforderungen veroeffentlicht
Die BaFin hat die Dokumentationsanforderungen fuer den regulieren und den vereinfachten IKT-Risikomanagementrahmen veroeffentlicht.
2025
DORA tritt in Kraft
Die Digital Operational Resilience Act (DORA) Verordnung (EU) 2022/2554 wird anwendbar. Alle Finanzunternehmen muessen die Anforderungen umsetzen.
EUR-Lex DORA-VerordnungErste Informationsregister-Einreichung
Finanzunternehmen muessen ihr erstes Informationsregister mit Stichtag 31. Maerz 2025 bis spaetestens 28. April 2025 einreichen.
BaFin: Vereinfachte IKT-Risikomanagementrahmen
Hinweise zur Umsetzung von DORA mit vereinfachten IKT-Risikomanagementrahmen und IKT-Drittparteienrisikomanagement fuer kleine Institute.
2026
BaFin: Risiken im Fokus 2026
Die BaFin veroeffentlicht den Jahresbericht zu den Risiken im Fokus. Erstmals werden auch die wichtigsten Verbraucherrisiken thematisiert.
9. MaRisk-Novelle: Konsultationsentwurf veroeffentlicht
Die BaFin veroeffentlicht den Konsultationsentwurf der 9. MaRisk-Novelle (MaRisk 10.0). Stellungnahmen koennen bis 8. Mai 2026 eingereicht werden.
9. MaRisk-Novelle: Konsultation abgeschlossen
Die Konsultation zur 9. MaRisk-Novelle ist abgeschlossen. Die Finalisierung ist fuer die zweite Jahreshaelfte 2026 geplant.
WpI MaRisk: Zweite Konsultationsfassung
Die BaFin stellt den zweiten Entwurf des WpI MaRisk Rundschreibens zur Konsultation. Stellungnahmen bis 17. Juni 2026.
Zweite Informationsregister-Einreichung
Finanzunternehmen muessen ihr Informationsregister fuer das Geschaeftsjahr 2025 (Stichtag 31.12.2025) zwischen dem 9. und 30. Maerz 2026 einreichen. Hohe Datenqualitaet wird erwartet.
Status: Aktiv — Unternehmen sollten jetzt ihre Daten pruefen und vorbereiten.
Kommende Fristen
9. MaRisk-Novelle: Finalisierung erwartet
Die Finalisierung der 9. MaRisk-Novelle ist fuer die zweite Jahreshaelfte 2026 geplant. Institute sollten die Anpassungen fruehzeitig pruefen.
Erste TLPT-Frist fuer bedeutende Institute
Bedeutende Institute (significant entities) muessen bis spaetestens 17. Januar 2028 ihr erstes Threat-Led Penetration Testing (TLPT) durchgefuehrt haben.
Vorbereitung: Beginnen Sie fruehzeitig mit der Auswahl akkreditierter Tester und der Planung des Testumfangs.
Handlungsempfehlungen
- Informationsregister 2026: Daten mit Stichtag 31.12.2025 pruefen, Fehlerprotokolle korrigieren, rechtzeitig vor dem 9. Maerz 2026 einreichen.
- TLPT-Vorbereitung: Akkreditierte Tester identifizieren, Scope festlegen, Threat Intelligence beschaffen.
- MaRisk-Novelle: Auf die Finalisierung H2 2026 vorbereiten, insbesondere Aenderungen bei IKT-Risiken und Auslagerungen.
- Kontinuierlich: Rueckblickend pruefen, ob alle DORA-Anforderungen (Art. 5–30) vollstaendig umgesetzt sind.