DORA Implementation
Timeline and Milestones.
Overview of key dates, deadlines, and regulatory milestones for DORA implementation in financial institutions.
Hinweis: Diese Timeline stellt eine Zusammenfassung wichtiger DORA-relevanter Daten und Fristen dar. Die Angaben basieren auf oeffentlich verfuegbaren Quellen (BaFin, EBA, EUR-Lex). Für verbindliche Fristen und aktuelle Änderungen konsultieren Sie bitte die Originalquellen.
Management-Zusammenfassung
- DORA ist am 17. Januar 2025 in Kraft getreten — alle Finanzunternehmen müssen die Anforderungen umsetzen.
- Wichtige Fristen: Informationsregister (jährlich März), TLPT (erstmalig bis 17.01.2028), 10. MaRisk (Finalisierung H2 2026).
- Die Timeline zeigt vergangene Meilensteine, laufende Verpflichtungen und kommende Fristen zur Planungssicherheit.
- Regulatorische Änderungen (10. MaRisk, WpI MaRisk) werden fortlaufend ergänzt.
2024
BaFin Aufsichtsmitteilung: Erleichterungen für kleine Institute
Die BaFin hat Hinweise zur Umsetzung von DORA mit vereinfachten IKT-Risikomanagementrahmen veröffentlicht. Kleine und nicht komplexe Institute erhalten proportionale Erleichterungen.
BaFin DORA-ÜbersichtBaFin: Dokumentationsanforderungen veröffentlicht
Die BaFin hat die Dokumentationsanforderungen für den regulieren und den vereinfachten IKT-Risikomanagementrahmen veröffentlicht.
2025
DORA tritt in Kraft
Die Digital Operational Resilience Act (DORA) Verordnung (EU) 2022/2554 wird anwendbar. Alle Finanzunternehmen müssen die Anforderungen umsetzen.
EUR-Lex DORA-VerordnungErste Informationsregister-Einreichung
Finanzunternehmen müssen ihr erstes Informationsregister mit Stichtag 31. März 2025 bis spätestens 28. April 2025 einreichen.
BaFin: Vereinfachte IKT-Risikomanagementrahmen
Hinweise zur Umsetzung von DORA mit vereinfachten IKT-Risikomanagementrahmen und IKT-Drittparteienrisikomanagement für kleine Institute.
2026
BaFin: Risiken im Fokus 2026
Die BaFin veröffentlicht den Jahresbericht zu den Risiken im Fokus. Erstmals werden auch die wichtigsten Verbraucherrisiken thematisiert.
10. MaRisk: Konsultationsentwurf veröffentlicht
Die BaFin veröffentlicht den Konsultationsentwurf der 10. MaRisk (MaRisk 10.0). Stellungnahmen können bis 8. Mai 2026 eingereicht werden.
10. MaRisk: Konsultation abgeschlossen
Die Konsultation zur 10. MaRisk ist abgeschlossen. Die Finalisierung ist für die zweite Jahreshälfte 2026 geplant.
WpI MaRisk: Zweite Konsultationsfassung
Die BaFin stellt den zweiten Entwurf des WpI MaRisk Rundschreibens zur Konsultation. Stellungnahmen bis 17. Juni 2026.
Zweite Informationsregister-Einreichung
Finanzunternehmen müssen ihr Informationsregister für das Geschäftsjahr 2025 (Stichtag 31.12.2025) zwischen dem 9. und 30. März 2026 einreichen. Hohe Datenqualität wird erwartet.
Status: Aktiv — Unternehmen sollten jetzt ihre Daten prüfen und vorbereiten.
Kommende Fristen
10. MaRisk: Finalisierung erwartet
Die Finalisierung der 10. MaRisk ist für die zweite Jahreshälfte 2026 geplant. Institute sollten die Anpassungen frühzeitig prüfen.
Erste TLPT-Frist für bedeutende Institute
Bedeutende Institute (significant entities) müssen bis spätestens 17. Januar 2028 ihr erstes Threat-Led Penetration Testing (TLPT) durchgeführt haben.
Vorbereitung: Beginnen Sie frühzeitig mit der Auswahl akkreditierter Tester und der Planung des Testumfangs.
Handlungsempfehlungen
- Informationsregister 2026: Daten mit Stichtag 31.12.2025 prüfen, Fehlerprotokolle korrigieren, rechtzeitig vor dem 9. März 2026 einreichen.
- TLPT-Vorbereitung: Akkreditierte Tester identifizieren, Scope festlegen, Threat Intelligence beschaffen.
- 10. MaRisk: Auf die Finalisierung H2 2026 vorbereiten, insbesondere Änderungen bei IKT-Risiken und Auslagerungen.
- Kontinuierlich: Rueckblickend prüfen, ob alle DORA-Anforderungen (Art. 5–30) vollständig umgesetzt sind.