Mehr als ein Jahr nach der verpflichtenden Anwendung (17. Januar 2025) bleibt die Anwendung der DORA-Verordnung und die zugehörigen Level II und III-Regulierungen (konsolidiert einsehbar u.a. hier) über die digitale operationale Resilienz im Finanzsektor für EbAV eine anspruchsvolle Aufgabe.

Ein wichtiger Meilenstein für DORA-Anwender war im Frühjahr 2026 die Einreichung des Informationsregister bis zum 30. März 2026. Es handelt sich dabei um ein strukturiertes Verzeichnis aller genutzten IKT-Drittdienstleistungen einschließlich zugehöriger Dienstleister, Verträge und Subauslagerungen. Das Register musste erstmals im Jahr 2025 eingereicht werden. Damals wurde die Einreichungsfrist auf Grund von kurzfristigen Anpassungen bei den Datenanforderungen noch bis Ende April verlängert.

Zur zweiten Einreichungsperiode hatte die BaFin im Februar 2026 zwei Online-Veranstaltungen angeboten, zu denen die Präsentationen hier dokumentiert sind. Wesentliche Erkenntnisse aus den Veranstaltungen: Das von der BaFin angebotene digitale Excel-Template zur Einreichung konnte ohne wesentliche Änderungen weiterverwendet werden. 2025 hat sich herausgestellt, dass EbAV, die ihr Informationsregister nicht über softwaregestützte Tools von Dienstleitern einreichen, mit diesem Template überwiegend gute Erfahrungen gemacht haben. Dazu passend berichteten die BaFin-Referenten von einer guten Datenqualität und einer relativ niedrigen Quote von Beanstandungen und Fehlermeldungen.

2026 müssen sich deutsche Finanzunternehmen erstmals darauf einstellen, nach einer erfolgreichen Übermittlung des Registers über das Melde- und Veröffentlichungsportal der BaFin ein zusätzliches Feedback von der Europäischen Bankenaufsicht zur Datenqualität zu erhalten. Die Veröffentlichung von Details des Feedbackprozesses (z.B. Fehlercodes) steht aktuell noch aus.

Die Arbeitsgruppe DORA der aba hat die DORA-Anwendung in den letzten Monaten kontinuierlich begleitet. Sie befindet sich dazu (vorwiegend über die betroffenen Fachvereinigungen) auch im Austausch mit der BaFin. Bereits Mitte 2025 wurden bei der BaFin unter Beteiligung von EbAV aus der aba-Mitgliedschaft mehrere Arbeitsgruppen eingerichtet, die über ausgewählte Einzelaspekte der DORA-Anwendung die Arbeit des Fachgremiums IKT unterstützen. In diesem Rahmen wurden zuletzt Erfahrungen der EbAV bei der Anpassung von Verträge mit IKT-Dienstleistern gesammelt.

Aktuell in Vorbereitung ist eine Umfrage unter EbAV über die Auswirkungen der neuen Regelung in § 35 Abs. 1 Nr. 10 VAG, wodurch die Wirtschaftsprüfer für den Prüfungszeitraum 2025 erstmals die Einhaltung der Anforderungen aus der DORA-Verordnung prüfen sollen.

Dieses Thema wird auch im Rahmen der aba-Jahrestagung vertieft. Erik Barndt (Forvis Mazars GmbH & Co. KG WPG) wird am 13. Mai 2025 im Rahmen der gemeinsamen Tagung der Fachvereinigungen Direktversicherung, Öffentlich-rechtliche Versorgungseinrichtungen, Pensionsfonds und Pensionskassen über Erfahrungen der Wirtschaftsprüfer mit DORA-Prüfungen bei Altersversorgungseinrichtungen berichten.