Zeitraum: 11.03.2026 – 17.03.2026
Kernmeldungen (5)
EU-Kommission betont DORA als tragende Säule der Krisen- und Cyber-Resilienz des Finanzsektors
Ampel: 
Prüfen
Was ist passiert?
Die Europäische Kommission hat am 13.03.2026 einen Bericht zur Resilienz des EU-Finanzsektors gegenüber schweren Störungen veröffentlicht. Darin wird der Digital Operational Resilience Act (DORA) ausdrücklich als harmonisierter EU-Rahmen für den Umgang mit ICT- und Cyberrisiken sowie für die Aufsicht über kritische ICT-Drittdienstleister hervorgehoben.
Warum ist das relevant (für Finanzinstitute)?
Das ist keine neue Norm, aber ein klares aufsichtspolitisches Signal: DORA wird inzwischen nicht nur als Einzelregulierung, sondern als Bestandteil der gesamtstaatlichen Preparedness- und Krisenresilienzarchitektur gelesen. Für Institute erhöht das den Erwartungsdruck, DORA nicht als reines Compliance-Thema, sondern als Nachweis operativer Durchhaltefähigkeit in geopolitischen, cyberbezogenen und infrastrukturellen Stresslagen zu steuern.
Was sollten Institute jetzt prüfen oder tun?
Institute sollten prüfen, ob ihre DORA-Umsetzung bereits in bestehende Krisenmanagement-, Business-Continuity- und Zahlungsverkehrs-/Liquiditätsnotfallstrukturen integriert ist. Managementseitig empfiehlt sich ein kurzer Abgleich, ob die eigene Governance zu kritischen Funktionen, ICT-Abhängigkeiten und Krisenkommunikation belastbar dokumentiert und entscheidungsfähig ist.
Quelle(n):
Europäische Kommission — Commission report confirms resilience of the EU financial sector — 13.03.2026 — Quelle:
EZB stellt sich gegen vorschnelle Einbindung der DORA-Incident-Reports in einen neuen Single-Entry-Point
Ampel: 
Handeln
Was ist passiert?
Die Europäische Zentralbank hat am 10.03.2026 ihre Stellungnahme zum vorgeschlagenen „Digital Omnibus“ veröffentlicht. Sie begrüßt zwar Vereinfachungen beim ICT-Incident-Reporting, empfiehlt aber ausdrücklich, DORA vorerst aus dem geplanten Single-Entry-Point-Regime auszunehmen, weil DORA bereits eine harmonisierte Meldearchitektur geschaffen habe und zusätzliche Zwischenebenen neue Verzögerungs- und Verfügbarkeitsrisiken erzeugen könnten.
Warum ist das relevant (für Finanzinstitute)?
Für Institute ist das hoch relevant, weil es die Richtung für künftige Meldeprozesse beeinflusst. Die EZB macht deutlich, dass DORA-Meldewege aus Sicht der Aufsicht zeitkritisch und operativ robust bleiben müssen; das spricht gegen vorschnelle Umbauten in den Meldeprozessen und für Stabilität der bereits aufgebauten DORA-Incident-Reporting-Logik.
Was sollten Institute jetzt prüfen oder tun?
Institute sollten ihre DORA-Meldeprozesse nicht auf Basis allgemeiner Digital-Omnibus-Erwartungen vorzeitig umbauen. Sinnvoll ist jetzt ein gezielter Review der Incident-Governance: Zuständigkeiten, Eskalationszeiten, Datenhaushalt, Parallelmeldungen zu anderen Regimen und technische Übermittlungswege sollten so dokumentiert sein, dass kurzfristige regulatorische Anpassungen möglich bleiben, ohne den DORA-Betrieb zu destabilisieren.
Quelle(n):
Europäische Zentralbank — Opinion of the European Central Bank of 10 March 2026 on a proposed regulation as regards the simplification of the digital legislative framework (Digital Omnibus) (CON/2026/9) — 10.03.2026 — Quelle:
ESMA meldet erhöhte Cyber- und Hybridbedrohungen als systemisches Risiko
Ampel: Handeln
Was ist passiert?
ESMA hat vor wenigen Tagen ihren TRV Risk Monitor No. 1/2026 veröffentlicht. Darin hebt ESMA hervor, dass Cyber- und Hybridbedrohungen erhöht bleiben und das Risiko schwerer Störungen von Marktinfrastrukturen sowie breiterer systemischer Verwundbarkeiten verstärken.
Warum ist das relevant (für Finanzinstitute)?
Das ist mehr als allgemeine Cyberlagebeobachtung: ESMA verknüpft Cyber-/Operational-Risk explizit mit Marktstabilität, Ansteckungseffekten und Infrastrukturabhängigkeiten. Für Banken, Wertpapierfirmen, FMIs und angebundene Dienstleister steigt damit die Erwartung, Konzentrationsrisiken, Interdependenzen und Wiederanlaufzeiten nicht nur technisch, sondern auch aus Marktwirkungssicht zu beherrschen.
Was sollten Institute jetzt prüfen oder tun?
Institute sollten ihre Szenarien für schwere ICT-Störungen daraufhin prüfen, ob Marktinfrastruktur-, Zahlungsverkehrs-, Handels- und Datenprovider-Abhängigkeiten realistisch abgebildet sind. Zusätzlich empfiehlt sich ein Management-Check, ob die Auswirkungen eines Ausfalls kritischer externer Services auf Kunden, Marktkommunikation, Liquidität und regulatorische Meldungen in Notfallübungen ausreichend berücksichtigt werden.
Quelle(n):
European Securities and Markets Authority (ESMA) — TRV Risk Monitor No. 1, 2026 — veröffentlicht im März 2026 — Quelle:
ESMA aktualisiert den Compliance-Stand der DORA-Leitlinien zur Aufsichtskooperation
Ampel: Prüfen
Was ist passiert?
Am 13.03.2026 hat ESMA die Compliance-Tabelle zu den Joint Guidelines on oversight cooperation under DORA aktualisiert. Die Tabelle zeigt, welche zuständigen Behörden die Leitlinien anwenden oder anwenden wollen; für Deutschland ist BaFin mit „Yes“ aufgeführt, also mit Umsetzung in der Aufsichtspraxis.
Warum ist das relevant (für Finanzinstitute)?
Die Meldung hat praktische Relevanz für Institute mit grenzüberschreitenden Aktivitäten, gruppenweiten ICT-Strukturen oder Abhängigkeiten von kritischen ICT-Drittdienstleistern. Sie bestätigt, dass die DORA-bezogene Zusammenarbeit und der Informationsaustausch zwischen ESAs und nationalen Behörden in der Aufsichtspraxis zunehmend operationalisiert werden; damit steigt die Wahrscheinlichkeit kohärenter, aber auch eng abgestimmter Nachfragen über Länder- und Sektorgrenzen hinweg.
Was sollten Institute jetzt prüfen oder tun?
Institute sollten prüfen, ob ihre Governance für behördenübergreifende Anfragen, gruppenweite Register-of-Information-Daten und Drittparteiensteuerung konsistent ist. Gerade international aufgestellte Häuser sollten sicherstellen, dass nationale Antworten, zentrale Vendor-Daten und DORA-relevante Evidenzen inhaltlich deckungsgleich und kurzfristig abrufbar sind.
Quelle(n):
European Securities and Markets Authority (ESMA) — Guidelines Compliance Table: Joint Guidelines on oversight cooperation under DORA (JC/GL/2024/36) — 13.03.2026 — Quelle:
EBA aktualisiert technische Kategorisierung für Reporting Framework 4.2 kurz vor dem März-Referenzstichtag
Ampel: Prüfen
Was ist passiert?
Die EBA hat am 10.03.2026 eine aktualisierte „templates categorisation“ für das Reporting Framework 4.2 veröffentlicht. Das steht im unmittelbaren Kontext der ab Ende März 2026 anwendbaren 4.2-Logik und der bereits kommunizierten Umstellung bei den operational-risk-bezogenen Meldungen.
Warum ist das relevant (für Finanzinstitute)?
Auch wenn dies technisch wirkt, ist die Meldung umsetzungsrelevant: In der heißen Phase vor dem Referenzdatum erhöhen sich Fehlerrisiken in Meldehaushalt, Mapping, Validierung und Fach-/IT-Abstimmung. Für DORA-nahe Steuerungs- und Reportingthemen ist das wichtig, weil gerade Operational-Risk- und ICT-bezogene Datenhaushalte sauber an die neuen Vorgaben anschließen müssen.
Was sollten Institute jetzt prüfen oder tun?
Institute sollten kurzfristig prüfen, ob ihre 4.2-Mapping- und Validierungslogik auf dem letzten veröffentlichten Stand ist und ob Fachbereich, Regulatory Reporting und IT dieselbe Version verwenden. Zusätzlich sollte für die März-/Juni-2026-Übergänge klar dokumentiert sein, welche Templates verpflichtend, optional oder noch nicht zu melden sind, um Fehleinreichungen und Nacharbeiten zu vermeiden.
Quelle(n):
European Banking Authority (EBA) — EBA BS 2025 615 rev2 (Updated templates categorisation for 4.2 DPM - High level) — 10.03.2026 — Quelle:
European Banking Authority (EBA) — The EBA provides guidance to banks on enhanced reporting requirements for operational risk ahead of new June 2026 reference date — 17.12.2025 — Quelle:
European Banking Authority (EBA) — Reporting framework 4.2 — aktualisiert Februar 2026, anwendbar ab Referenzdatum Ende März 2026 — Quelle:
PCS-Einordnung & Ausblick
Die Woche zeigt ein klares Muster: Die europäische Aufsicht verschiebt den Fokus von der Normsetzung auf die operative Verdichtung der DORA-Aufsicht. Drei Linien sind erkennbar. Erstens wird DORA zunehmend als Kernbaustein sektorweiter Krisenresilienz gelesen, nicht nur als ICT-Regelwerk. Zweitens verdichtet sich die Aufsichtspraxis rund um Incident Reporting, Behördenkooperation und Drittparteiensteuerung. Drittens steigen die Erwartungen an belastbare, technisch saubere Evidenzen in Melde- und Datenhaushalten.
Kurzfristig sollten Institute daher vor allem drei Prioritäten setzen: Stabilität der DORA-Meldewege, Konsistenz grenzüberschreitender Evidenzen und technische Reife im Reporting-Setup zum März-/Juni-2026-Übergang. Erwartbar sind als nächste Themen weitere Konkretisierungen zur Aufsicht über kritische ICT-Drittdienstleister, stärkere Verzahnung von DORA mit sektorübergreifenden Cyber-/Preparedness-Initiativen sowie vertiefte Nachfragen zu Konzentrationsrisiken und Krisenübungen.