Die BaFin hat in einer Online-Veranstaltung am 4. Dezember 2025 eine erste Zwischenbilanz der seit dem 17. Januar 2025 verpflichtend anzuwendenden DORA-Verordnung über die digitale operationale Resilienz von Finanzunternehmen aus aufsichtlicher Perspektive gezogen. In den Vorträgen betonten die Vertreter der BaFin die anhaltend hohe Gefährdung der IT-Resilienz von Finanzunternehmen und appellierten dafür, die mit der DORA-Verordnung und der zugehörigen Level II- und Level-III-Regulierung geschaffenen „Werkzeuge“ vollständig einzusetzen. Mit Blick auf künftige Prüfungen kam in den Antworten auf Teilnehmerfragen zum Ausdruck, dass die BaFin zwar die praktischen Herausforderungen anerkennt, die sich aus der Umsetzung der Gesamtheit aller DORA-Anforderungen ergeben haben bzw. teilweise noch ergeben. Spätestens ab dem Jahr 2026 werde aber grundsätzlich eine vollständige Umsetzung der DORA-Anforderungen erwartet („Offene DORA-Projekte wirken sich bei aufsichtlichen Prüfungen natürlich nicht strafmildernd aus.“).

Die BaFin hat wegen technischer Probleme beim Zugang zum Veranstaltungsstream Aufzeichnungen der (ansonsten auf 5.000 Personen beschränkte Online-Veranstaltung) zum freien Zugang veröffentlicht.

Update: Laut Ankündigung der BaFin sollten die Videos nur bis 31.12.2025 verfügbar sein. Derzeit (letzter überprüfter Stand: 15. Januar 2026) sind sie aber immer noch abrufbar. 

• Begrüßung
• Keynote
• Das erste Jahr DORA
• Entwicklungen im IKT-Drittparteienrisikomanagement
• Analyse von IKT-Drittparteibeziehungen
• Beobachtungen aus dem Meldewesen für IKT-Vorfälle
• Erste Erkenntnisse aus DORA-Prüfungen
• Schlusswort

Bereits am 18. November 2025 gab es auch einen wichtigen Fortschritt im Bereich des Managements des Drittparteienrisikomanagements: die europäischen Aufsichtsbehörden haben eine Liste mit insgesamt 18 als kritisch identifizierten IKT-Dienstleistern (CTPP Critical Third-Party Providers) veröffentlicht. Es handelt sich dabei um diejenigen Dienstleister, bei denen aufgrund ihrer Marktstellung und technischen Verbreitung IT-Vorfälle potenziell besonders gravierende Auswirkungen auf die Finanzmarktstabilität haben und für die die DORA-Verordnung daher in den Art. 31 ff. DORA VO einen eigenen EU-Überwachungsrahmen vorsieht. Datenbasis für die Ermittlung der kritischen Dienstleister war die Auswertung der an die nationalen Aufsichtsbörden eingereichten Informationsregister (Art. 28 DORA-VO). Diese Register mit einem detaillierten Gesamtüberblick über die IKT-Vertragsbeziehungen mussten in Deutschland erstmals bis 28. April 2025 bei der BaFin übermittelt werden und müssen fortan jährlich bis 31. März in aktualisierter Form eingereicht werden.

Am 18. Dezember 2025 erschien außerdem eine seit längerer Zeit erwartete BaFin-Aufsichtsmitteilung mit dem Titel „Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen“. Sie soll beaufsichtigten Unternehmen helfen, IKT-Risiken nach den Vorgaben von DORA zu managen. In der Ankündigung der BaFin heißt es u.a. „Besonderes Augenmerk gilt dabei dem IKT-Risikomanagement und dem IKT-Drittparteienrisikomanagement. Die Orientierungshilfe betrachtet die IKT-Risiken entlang des KI-Lebenszyklus. Dieser umfasst die Beschaffung von Daten, die Entwicklung von Modellen und deren Bereitstellung sowie den laufendenden Betrieb und die Stilllegung. Die Sicherheit und Resilienz eines KI-Systems müssen in jeder Phase gewährleistet sein.“