Monatliches IT-Regulatorik Briefing | 17.03.2026

Veröffentlicht am 17. März 2026

Die regulatorische Verdichtung rund um DORA ist nun klar in der Umsetzungsphase angekommen. Die Finalisierung technischer Standards verschiebt den Fokus von Interpretation zu konkreter Implementierung. Parallel zeigt sich, dass Drittparteirisiken (insbesondere Cloud) zum dominierenden Aufsichtsthema werden – quer über EBA, ESMA und nationale Behörden.

i 3 Inhaltsverzeichnis

 

Zeitraum: 17.02.2026 – 17.03.2026

Kernmeldungen (6)

DORA: Finalisierung weiterer RTS/ITS durch ESAs

Ampel: 🔴 Handeln
Was ist passiert?
Die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) haben weitere Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) im Kontext des Digital Operational Resilience Act (DORA) finalisiert und an die EU-Kommission übermittelt. Fokus liegt u. a. auf Incident Reporting, ICT Third-Party Risk und Threat-Led Penetration Testing (TLPT).

Warum ist das relevant (für Finanzinstitute)?
Mit der Finalisierung konkretisieren sich die bislang abstrakten DORA-Anforderungen erheblich. Institute müssen ihre bestehenden Prozesse (z. B. Meldewesen, Drittparteiensteuerung) gegen die finalen technischen Anforderungen spiegeln.

Was sollten Institute jetzt prüfen oder tun?

  • Gap-Analyse gegen finalisierte RTS/ITS durchführen

  • Incident-Reporting-Prozesse (Klassifizierung, Fristen, Inhalte) konkret anpassen

  • Vertrags- und Steuerungsmodelle für ICT-Drittdienstleister überprüfen

  • TLPT-Fähigkeiten und Scope definieren

Quelle(n):

  • European Supervisory Authorities (ESAs) — Final draft technical standards under DORA — 2026 — https://www.eba.europa.eu

BaFin: Klarstellungen zur DORA-Umsetzung und Proportionalität

Ampel: 🟡 Prüfen
Was ist passiert?
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in aktuellen Veröffentlichungen und Redebeiträgen ihre Erwartungen zur DORA-Umsetzung konkretisiert, insbesondere zur Anwendung des Proportionalitätsprinzips.

Warum ist das relevant (für Finanzinstitute)?
Die BaFin signalisiert klar, dass Proportionalität nicht als Reduktion von Anforderungen, sondern als differenzierte Umsetzung zu verstehen ist. Kleine Institute können sich nicht pauschal entlasten.

Was sollten Institute jetzt prüfen oder tun?

  • Eigene DORA-Umsetzungsprogramme auf Proportionalitätsargumentation prüfen

  • Dokumentation der Risikoeinschätzung und Ableitung von Maßnahmen schärfen

  • Erwartungshaltung der Aufsicht in Governance-Strukturen verankern

Quelle(n):

NIS2-Umsetzung in Deutschland: Fortschritte und Verzögerungen

Ampel: 🟡 Prüfen
Was ist passiert?
Der nationale Umsetzungsprozess der NIS2-Richtlinie in Deutschland verzögert sich weiterhin. Ein finaler Gesetzesentwurf liegt noch nicht vor, jedoch wurden neue Diskussionsstände zur Abgrenzung von KRITIS und „wichtigen Einrichtungen“ veröffentlicht.

Warum ist das relevant (für Finanzinstitute)?
Viele Finanzinstitute werden direkt oder indirekt unter NIS2 fallen. Unklare Abgrenzungen erschweren derzeit die Vorbereitung, insbesondere bei gruppenweiten Strukturen.

Was sollten Institute jetzt prüfen oder tun?

  • Vorläufige Betroffenheitsanalyse durchführen (inkl. Tochtergesellschaften)

  • Schnittstellen zu DORA identifizieren (Doppelregulierung vermeiden)

  • Monitoring des Gesetzgebungsprozesses intensivieren

Quelle(n):

  • Bundesministerium des Innern (BMI) — NIS2-Umsetzungsgesetz (Diskussionsstand) — 2026 — https://www.bmi.bund.de

EBA: Update zu ICT- und Sicherheitsrisiken im Finanzsektor

Ampel: 🟢 Beobachten
Was ist passiert?
Die Europäische Bankenaufsichtsbehörde (EBA) hat einen aktualisierten Bericht zu ICT- und Sicherheitsrisiken veröffentlicht. Der Fokus liegt auf zunehmenden Drittparteirisiken und geopolitischen Cyberbedrohungen.

Warum ist das relevant (für Finanzinstitute)?
Der Bericht dient als aufsichtlicher Referenzrahmen für Prüfungen und Supervisory Dialogue. Erwartungshaltungen werden indirekt verschärft.

Was sollten Institute jetzt prüfen oder tun?

  • Eigene Risikoanalysen mit EBA-Risikoeinschätzungen abgleichen

  • Third-Party-Risk-Management (TPRM) priorisieren

  • Szenarien für geopolitische Cyberrisiken erweitern

Quelle(n):

BSI: Neue Orientierungshilfe zu Cloud-Sicherheit

Ampel: 🟡 Prüfen
Was ist passiert?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine aktualisierte Orientierungshilfe zur sicheren Nutzung von Cloud-Diensten veröffentlicht, mit Fokus auf Governance, Exit-Strategien und Resilienz.

Warum ist das relevant (für Finanzinstitute)?
Cloud-Nutzung ist zentraler Bestandteil der DORA- und BAIT-Anforderungen. Die BSI-Leitlinien werden häufig als Best Practice von der Aufsicht herangezogen.

Was sollten Institute jetzt prüfen oder tun?

  • Cloud-Governance und Exit-Strategien überprüfen

  • Abhängigkeiten von Hyperscalern bewerten

  • Kontrollmechanismen (z. B. Auditrechte, Monitoring) nachschärfen

Quelle(n):

  • Bundesamt für Sicherheit in der Informationstechnik (BSI) — Orientierungshilfe Cloud-Sicherheit — 2026 — https://www.bsi.bund.de

ESMA: Fokus auf ICT-Drittparteien und Konzentrationsrisiken

Ampel: 🔴 Handeln
Was ist passiert?
Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat verstärkte Aufmerksamkeit auf Konzentrationsrisiken bei ICT-Drittdienstleistern gelegt und mögliche aufsichtliche Maßnahmen angekündigt.

Warum ist das relevant (für Finanzinstitute)?
Die Abhängigkeit von wenigen großen Cloud- und IT-Anbietern wird zunehmend als systemisches Risiko betrachtet. Dies kann zu verschärften Anforderungen oder Prüfungen führen.

Was sollten Institute jetzt prüfen oder tun?

  • Konzentrationsrisiken im ICT-Portfolio analysieren

  • Multi-Vendor-Strategien evaluieren

  • Notfall- und Exit-Szenarien konkretisieren

Quelle(n):

  • European Securities and Markets Authority (ESMA) — Statement on ICT third-party risks — 2026 — https://www.esma.europa.eu

PCS-Einordnung & Ausblick

Die regulatorische Verdichtung rund um DORA ist nun klar in der Umsetzungsphase angekommen. Die Finalisierung technischer Standards verschiebt den Fokus von Interpretation zu konkreter Implementierung. Parallel zeigt sich, dass Drittparteirisiken (insbesondere Cloud) zum dominierenden Aufsichtsthema werden – quer über EBA, ESMA und nationale Behörden.

Kurzfristig sollten Institute drei Prioritäten setzen: (1) belastbare DORA-Gap-Analysen auf Basis finaler RTS/ITS, (2) strukturiertes Third-Party-Risk-Management inklusive Konzentrationsrisiken und Exit-Fähigkeit, sowie (3) Integration paralleler Regime wie NIS2 ohne Doppelaufwände.

Mittelfristig ist mit verstärkten aufsichtlichen Prüfungen und ersten Enforcement-Fällen zu rechnen, insbesondere bei unzureichender Operational Resilience und mangelhafter Drittparteisteuerung.