DORA-Compliance-Leitfaden

Anforderungen an das DORA-Informationsregister: Was Finanzunternehmen tatsächlich melden müssen

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die die DORA-Compliance für das Informationsregister über mehrgliedrige Finanzgruppen hinweg automatisiert — mit vorab zugeordneten ESA-Templates.

Das Informationsregister ist die operativ anspruchsvollste Verpflichtung unter DORA. Es erfordert granulare, strukturierte Daten zu jeder IKT-Drittparteienvereinbarung in Ihrer gesamten Gruppe — verteilt auf 15 miteinander verknüpfte Templates mit strengen Taxonomien. Die meisten Organisationen sind noch immer nicht bereit. Hier erfahren Sie genau, was die Templates verlangen, welche Datenfelder verpflichtend sind und wie Sie die Lücke vor Ihrer nächsten Einreichungsfrist schliessen.

15

Miteinander verknüpfte Templates

ESA-ITS unter DORA Artikel 28(9)

20

Kategorien betroffener Finanzunternehmen

EIOPA, DORA-Verordnung (EU) 2022/2554

34%

Nennen die Drittparteien-Überwachung als schwierigste Anforderung

Censuswide-Umfrage unter EMEA-Finanzdienstleistern, 2025

Kostenlose RoI-Bereitschaftscheckliste herunterladen

Keine Demo erforderlich. Sofortiger Zugriff auf ein praxisnahes Selbstbewertungstool.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum das RoI so schwierig ist

Warum das DORA-Informationsregister Compliance-Teams den Schlaf raubt

Das RoI ist keine Tabellenkalkulationsübung. Es ist eine strukturierte, mehrgliedrige Datenherausforderung, die jeden Bereich Ihrer Organisation berührt. Hier sind die fünf Gründe, warum Compliance-Teams damit ringen.

Herausforderung 01

Nicht ein Register: 15 miteinander verknüpfte Templates

Die meisten Organisationen erwarten ein einfaches Dokument. Die Realität: Die Implementing Technical Standards der ESA definieren miteinander verknüpfte Templates (B_01 bis B_06 sowie Sub-Templates), die Entitätsinformationen, Vertragsvereinbarungen, IKT-Dienstleistungen und Anbieterketten abdecken. Jedes Template enthält Dutzende Pflichtfelder mit strengen Taxonomien und 116 Datenqualitäts-Validierungsregeln.

6,5% Bestehensquote im ESA Dry Run

ESA 2024 DORA Dry Run Summary Report, Dezember 2024

Herausforderung 02

Granularität auf Entitätsebene über Ihre gesamte Gruppe

Jede Tochtergesellschaft, Niederlassung und regulierte Entität muss einzeln zugeordnet werden. Gemäss DORA Artikel 28(3) müssen Register auf Entitäts-, Teilkonsolidierungs- und Konsolidierungsebene geführt werden. Für eine Finanzgruppe mit über 20 Entitäten in mehreren Rechtsordnungen bedeutet das Tausende von Datenpunkten, die über LEI-Kennungen verknüpft sind — und nicht eine einzige konsolidierte Übersicht.

Register auf 3 Ebenen erforderlich: Entität, Teilkonsolidierung, Konsolidierung

DORA Artikel 28(3), Verordnung (EU) 2022/2554

Herausforderung 03

Ihre Daten liegen in Silos (oder gar nirgendwo)

Vertragsdetails liegen im Einkauf. Anbieter-Risikobewertungen stecken in GRC-Tools. Entitätsstrukturen werden von der Rechtsabteilung verwaltet. Unterauslagerungsketten existieren oft nur in E-Mails oder überhaupt nicht. Das RoI zwingt Organisationen erstmals dazu, in Silos liegende Daten zu verknüpfen. Im ESA Dry Run liessen sich 86% der Fehler auf fehlende Pflichtinformationen wie eindeutige Kennungen und Lieferkettendaten zurückführen.

86% der Fehler durch fehlende Pflichtdaten verursacht

ESA 2024 DORA Dry Run Erkenntnisse, berichtet durch EBA

Herausforderung 04

Laufende Pflege statt einmaliger Einreichung

Das Register muss laufend aktuell gehalten und den zuständigen Behörden jährlich übermittelt werden, mit der Fähigkeit, es jederzeit auf Anfrage bereitzustellen. Nationale Behörden konsolidieren die Register und leiten sie zur Benennung kritischer Anbieter an die ESAs weiter. Dies ist keine Momentaufnahme, sondern ein fortlaufender operativer Prozess, der eine kontinuierliche Daten-Governance erfordert.

Jährliche Einreichungsfrist: jeweils 31. März an die NCAs

AFM (Niederländische Finanzmarktaufsicht), 2025

Herausforderung 05

Fehler haben echte Konsequenzen

Die zuständigen Behörden nutzen das Register, um systemische Konzentrationsrisiken zu bewerten und kritische IKT-Drittdienstleister zu benennen. Unvollständige oder fehlerhafte Einreichungen lösen aufsichtsrechtliche Prüfungen aus. Bei Nichteinhaltung drohen Finanzunternehmen Bussgelder von bis zu 2% des weltweiten Jahresumsatzes sowie tägliche Zwangsgelder von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes, um eine Behebung zu erzwingen.

Bussgelder bis zu 2% des weltweiten Jahresumsatzes

DORA Artikel 50, Verordnung (EU) 2022/2554

Herausforderung 06

Die Branche kämpft: 46% nennen das RoI als schwierigsten Teil

Sie sind nicht allein, wenn Sie dies als überwältigend empfinden. Fast die Hälfte aller befragten Finanzinstitute bezeichnet das Informationsregister als die einzelne anspruchsvollste DORA-Anforderung — deutlich vor der Due Diligence bei IKT-Anbietern (17%) und dem Business-Continuity-Testing (25%). Nur 50% der Institute erwarteten, bis Ende 2025 vollständige Compliance zu erreichen, wobei 38% ihr Zieldatum in das Jahr 2026 verschieben.

46% nennen das RoI als schwierigste DORA-Anforderung

Deloitte Digital Operational Resilience Act Survey, Wave 3

Im Dry Run der ESA 2024 bestanden nur 6,5% der eingereichten Register sämtliche 116 Datenqualitätsprüfungen. Fast 1'000 Finanzunternehmen nahmen teil, und die grosse Mehrheit benötigte erhebliche Verbesserungen.

Quelle: EBA DORA Dry Run Summary Report, Dezember 2024

Priverions entitätsübergreifendes Daten-Mapping und automatisierte Rezertifizierungs-Workflows sind genau für diese Art mehrgliedriger, jurisdiktionsübergreifender Compliance-Herausforderung konzipiert.

Echte Ergebnisse von echten Kunden

Die Zahlen, die für Ihr Compliance-Team zählen

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec sparte mit Priverions auditfertigen Nachweispaketen und vorab zugeordneten Massnahmen über 200 Stunden bei der ISO-27001-Vorbereitung ein.

Medtec, gemessen während des ISO-27001-Bereitschaftsprojekts

60%

Geringere Gesamtkosten gegenüber etablierten Enterprise-Anbietern

Enterprise-Datenschutzplattformen wie OneTrust können bei Mehrmodul-Bereitstellungen jährlich im mittleren bis hohen sechsstelligen Bereich liegen. Priverion liefert ein gleichwertiges Datenschutz-Programmmanagement zu einem Bruchteil davon — mit planbaren Preisen pro Unternehmen und ohne Pro-Nutzer-Fallen.

Basierend auf Vendr-Beschaffungsdaten 2026 zur Preisgestaltung von Enterprise-Datenschutzplattformen

3 Mt.

Vorsprung bei der ISO-27001-Bereitschaft

Eine ISO-27001-Zertifizierung dauert in der Regel 6 bis 12 Monate. Mit Priverions vorgefertigten Massnahmen-Mappings und automatisierter Nachweiserfassung verkürzen Kunden wie Medtec diesen Zeitplan deutlich und erreichen die Auditbereitschaft Monate früher.

Medtec-Zeitplan; Branchenrichtwert aus ISO 27001-Zertifizierungs-Benchmarks (ISMS.online, Vanta, 2026)

Sehen Sie, wie sich diese Zahlen auf Ihre Organisation übertragen
Priverion vs. OneTrust

Warum Mid-Market-Unternehmen wechseln

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang. Priverion ist für mehrgliedrige Organisationen gebaut, die Enterprise-Compliance ohne den Enterprise-Overhead benötigen. So vergleichen sich beide in den Dimensionen, die am meisten zählen.

Die Enterprise-Falle

Was Mid-Market-Teams mit OneTrust erleben

Intransparente, eskalierende Preise

OneTrust veröffentlicht keine Listenpreise. Laut aggregierten, von Käufern gemeldeten Preisdaten bewegen sich Mid-Market-Bereitstellungen üblicherweise im mittleren bis oberen fünfstelligen bis niedrigen sechsstelligen Bereich pro Jahr, wobei Implementierungsleistungen separat berechnet werden. Quelle: aggregierte, von Käufern gemeldete Preise von Vendr und Enzuzo, abgerufen am 18.05.2026.

Quelle: Enzuzo-Preisanalyse, März 2026

Steile Lernkurve

Mid-Market-Nutzer berichten durchweg, dass sie wochenlange Konfiguration und dedizierte Schulungen benötigen. Wie ein G2-Rezensent anmerkte, kann sich die Oberfläche «überladen anfühlen», und die Einrichtung erfordert erheblichen Zeit- und Arbeitsaufwand, besonders für kleinere Teams.

Quelle: Verifizierte Nutzerbewertungen von G2 und Capterra, 2025

Schleichende Modulkosten

Jedes Modul wird nach einer eigenen Kennzahl abgerechnet: Besucher, Admin-Nutzer, Asset-Inventar. Ihre Rechnung kann in Richtungen wachsen, die Sie nicht erwartet haben, sobald Ihr Team oder Ihr Datenbestand wächst.

Quelle: Vendr Procurement Intelligence, Februar 2026

In den USA gehostete Infrastruktur

Selbst «Sovereign-Cloud»-Angebote von US-Anbietern können keine europäische Datensouveränität garantieren. Der US CLOUD Act erlaubt es Behörden, Zugriff auf Daten zu verlangen, unabhängig davon, wo sie gespeichert sind.

Quelle: CMS-Law-Whitepaper zum US CLOUD Act vs. europäische Datensouveränität, Februar 2026

Für den Mid-Market gebaut

Was Priverion stattdessen liefert

Planbare, transparente Preise

Preise basierend auf der Anzahl der Unternehmen und der Organisationsgrösse. Nicht pro Nutzer, nicht pro Modul. Keine Erweiterungsfallen, keine überraschenden Verlängerungserhöhungen. Sie wissen vor der Unterschrift, was Sie zahlen werden.

Priverion-Preismodell

In Wochen einsatzbereit, nicht in Monaten

Klare, intuitive UX, konzipiert für Datenschutzbeauftragte und Compliance-Verantwortliche, nicht für Berater. Aircraft manufacturer reduzierte den Compliance-Administrationsaufwand innerhalb der ersten sechs Monate um 60%.

Aircraft manufacturer, erste 6 Monate

All-in-One-Plattform, ein Preis

Verwaltung des Verarbeitungsverzeichnisses, DSFA-Automatisierung, Anbieter-Risikobewertungen, Bearbeitung von Betroffenenanfragen, Incident-Management und Compliance-Dashboards. Alles inklusive. Keine Modul-Upsells.

Priverion-Kernfunktionen

Garantierte Schweizer Datensouveränität

In der Schweiz entwickelt. In der Schweiz gehostet. Sämtliche Datenverarbeitung innerhalb Schweizer Infrastruktur. Nicht dem US CLOUD Act unterworfen. In einer Post-Schrems-II-Welt, in der EU-Mitgliedstaaten im November 2025 die Declaration for European Digital Sovereignty unterzeichneten, ist dies kein Marketing-Häkchen. Es ist ein rechtlicher und strategischer Vorteil.

Priverion-Infrastruktur; Berliner Erklärung, November 2025

7.1B+

Kumulierte DSGVO-Bussgelder (EUR)

DLA Piper DSGVO-Umfrage, Januar 2026

443

Meldungen von Datenschutzverletzungen pro Tag in Europa

DLA Piper, 22% Zunahme gegenüber dem Vorjahr, Januar 2026

60%

Weniger Compliance-Administrationsaufwand

Aircraft manufacturer, erste 6 Monate mit Priverion

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses, automatisiert

AXA, vollständig automatisiert mit Priverion

Kostenloses Template

DORA-Informationsregister: Ihr Einstiegs-Template für die Compliance

Gemäss Artikel 28(3) der DORA muss jedes betroffene Finanzunternehmen ein umfassendes Register führen, das sämtliche IKT-Drittparteien-Vertragsvereinbarungen dokumentiert. Die Implementing Technical Standards der ESAs legen 15 miteinander verknüpfte Templates fest, die Sie ausfüllen müssen. Dieses kostenlose Einstiegs-Template hilft Ihnen, die wichtigsten Datenpunkte zu strukturieren, bevor Sie mit der formellen Berichterstattung beginnen.

Das erhalten Sie:

  • + Ein vorstrukturiertes Inventarlayout, das alle IKT-Drittdienstleister, Vertragsdetails und Kritikalitätsbewertungen im Einklang mit dem EBA Reporting Framework 4.0 abdeckt
  • + Feldweise Anleitung zur Dokumentation von Leistungsumfang, Art, Dauer und damit verbundenen Risiken gemäss Artikel 28(3) und der Durchführungsverordnung (EU) 2024/2956 der Kommission
  • + Einen Abschnitt zur Unterauftragnehmer-Zuordnung, damit Sie die IKT-Dienstleistungs-Lieferkette nachverfolgen können, einschliesslich Direktanbieter (Rang 1) und Unterauftragnehmer, die kritische oder wichtige Funktionen tragen
  • + Eine Checkliste zum Konzentrationsrisiko, die Ihr Leitungsorgan dabei unterstützt, Abhängigkeiten von kritischen IKT-Drittdienstleistern vor den jährlichen aufsichtsrechtlichen Einreichungen zu identifizieren und zu überprüfen

Die jährliche RoI-Berichterstattung ist nun eine wiederkehrende Verpflichtung. Die zuständigen Behörden leiten die gesammelten Register jeweils bis Ende Q1 zur CTPP-Benennung und Konzentrationsrisikoanalyse an die ESAs weiter. Ihr internes Register jetzt korrekt aufzusetzen, erspart Ihnen später erheblichen Nacharbeitsaufwand.

Holen Sie sich das kostenlose DORA-RoI-Template

Geben Sie Ihre geschäftliche E-Mail-Adresse ein, und wir senden es Ihnen direkt in Ihren Posteingang.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es in Ihren Posteingang.

DORA (Verordnung (EU) 2022/2554) ist seit dem 17.01.2025 anwendbar. Die Anforderungen an das Informationsregister sind in Artikel 28(3) und der Durchführungsverordnung (EU) 2024/2956 der Kommission festgelegt. Dieses Template dient der internen Vorbereitung und ersetzt keine formellen xBRL-CSV-Einreichungen bei Ihrer national zuständigen Behörde.

Das Compliance-Umfeld beschleunigt sich

Schluss mit Datenschutz-Compliance in Tabellen. Schlafen Sie wieder ruhig.

Die DSGVO-Bussgelder überstiegen per Januar 2026 7,1 Milliarden €, wovon allein 2025 1,2 Milliarden € verhängt wurden — gemäss dem DLA Piper GDPR Fines and Data Breach Survey. Europäische Aufsichtsbehörden erhalten inzwischen 443 Meldungen von Datenschutzverletzungen pro Tag. Für mehrgliedrige Organisationen ist der Spielraum für manuelle Compliance dahin.

60%

weniger Compliance-Administrationsaufwand

Aircraft manufacturer, erste 6 Monate

200+

eingesparte Stunden bei der Auditvorbereitung

Medtec, ISO 27001

100%

Rezertifizierungsquote des Verarbeitungsverzeichnisses

AXA, vollständig automatisiert

In der Schweiz entwickelt. In der Schweiz gehostet. KI-gestützt mit vollständiger menschlicher Aufsicht.

Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick — Anforderungen an das DORA-Informationsregister

Das DORA-Informationsregister (RoI) ist die operativ anspruchsvollste Verpflichtung unter der Verordnung (EU) 2022/2554. Finanzunternehmen müssen jede IKT-Drittparteienvereinbarung über 15 miteinander verknüpfte ESA-Templates dokumentieren, geführt auf Entitäts-, Teilkonsolidierungs- und Konsolidierungsebene. Im Dry Run der ESA 2024 bestanden nur 6,5% der Register sämtliche 116 Validierungsprüfungen. Bei Nichteinhaltung drohen Bussgelder von bis zu 2% des weltweiten Jahresumsatzes. Die jährliche Einreichung bei den NCAs ist jeweils bis zum 31. März fällig.

Definitionen

Was ist das DORA-Informationsregister?

DORA-Informationsregister (RoI) ist ein verpflichtendes strukturiertes Register, das gemäss Artikel 28(3) des Digital Operational Resilience Act (Verordnung (EU) 2022/2554) erforderlich ist. Es verpflichtet alle betroffenen Finanzunternehmen, eine vollständige, aktuelle Aufzeichnung sämtlicher Vertragsvereinbarungen mit IKT-Drittdienstleistern zu führen, strukturiert über 15 miteinander verknüpfte Templates, die in den Implementing Technical Standards der Europäischen Aufsichtsbehörden definiert sind.

Was ist DORA (Digital Operational Resilience Act)?

DORA ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates, die einen umfassenden Rahmen für die digitale operationale Resilienz im EU-Finanzsektor schafft. Sie trat am 16.01.2023 in Kraft und ist seit dem 17.01.2025 anwendbar; sie umfasst 20 Kategorien von Finanzunternehmen, darunter Banken, Versicherer, Wertpapierfirmen und Anbieter von Krypto-Dienstleistungen.

Was sind ESA Implementing Technical Standards (ITS)?

ESA Implementing Technical Standards sind verbindliche technische Vorschriften, die gemeinsam von der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) unter DORA Artikel 28(9) entwickelt wurden. Sie definieren die exakten Templates, Datenfelder, Taxonomien und Validierungsregeln für das Informationsregister.

Was ist ein Legal Entity Identifier (LEI)?

LEI ist ein 20-stelliger alphanumerischer Code, der juristische Personen, die an Finanztransaktionen teilnehmen, eindeutig identifiziert, wie in ISO 17442 definiert. LEI-Codes sind verpflichtende Kennungen in den DORA-RoI-Templates, um Entitäten, Anbieter und Vertragsvereinbarungen über das gesamte Register hinweg zu verknüpfen.

Häufig gestellte Fragen

Was ist das DORA-Informationsregister (RoI)?

Das DORA-Informationsregister ist ein verpflichtendes strukturiertes Register, das gemäss Artikel 28(3) der Verordnung (EU) 2022/2554 erforderlich ist. Es verpflichtet Finanzunternehmen, sämtliche IKT-Drittparteien-Dienstleistungsvereinbarungen über 15 miteinander verknüpfte Templates zu dokumentieren, die in den ESA Implementing Technical Standards definiert sind. Das Register muss auf Entitäts-, Teilkonsolidierungs- und Konsolidierungsebene geführt werden und umfasst Entitätsinformationen, Vertragsvereinbarungen, IKT-Dienstleistungen und Anbieter-Lieferketten.

Wie viele Templates enthält das DORA-Informationsregister?

Die ESA Implementing Technical Standards unter DORA Artikel 28(9) definieren 15 miteinander verknüpfte Templates (B_01 bis B_06 sowie Sub-Templates). Jedes Template enthält Dutzende Pflichtfelder mit strengen Taxonomien und 116 Datenqualitäts-Validierungsregeln. Die Templates decken Entitätsidentifikation, Vertragsvereinbarungen, IKT-Dienstleistungsdetails, Risikobewertungen und Unterauslagerungsketten ab.

Wie hoch war die Bestehensquote im ESA DORA Dry Run?

Gemäss dem im Dezember 2024 veröffentlichten EBA DORA Dry Run Summary Report bestanden nur 6,5% der eingereichten Register sämtliche 116 Datenqualitäts-Validierungsprüfungen. Fast 1'000 Finanzunternehmen aus der gesamten EU nahmen teil. Der Bericht stellte fest, dass 86% der Fehler durch fehlende Pflichtinformationen wie eindeutige Kennungen und Lieferkettendaten verursacht wurden, was die operative Komplexität der RoI-Anforderung verdeutlicht.

Welche Strafen drohen bei Nichteinhaltung des DORA-Informationsregisters?

Gemäss DORA Artikel 50 der Verordnung (EU) 2022/2554 kann eine Nichteinhaltung zu Bussgeldern von bis zu 2% des weltweiten Jahresumsatzes für Finanzunternehmen führen. Zusätzlich können die zuständigen Behörden tägliche Zwangsgelder von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes verhängen, um eine Behebung zu erzwingen. Kritische IKT-Drittdienstleister unterliegen separaten Sanktionsregimen gemäss DORA Artikel 35.

Wann ist die Einreichungsfrist für das DORA-Informationsregister?

Finanzunternehmen müssen ihr Informationsregister jährlich bis zum 31. März bei ihrer national zuständigen Behörde (NCA) einreichen. Das Register muss zudem laufend gepflegt und jederzeit auf Anfrage für die aufsichtsrechtliche Prüfung verfügbar sein. Die NCAs konsolidieren die Einreichungen und leiten sie zur Analyse für die Benennung kritischer Anbieter an die Europäischen Aufsichtsbehörden weiter.

Welche Finanzunternehmen fallen in den Anwendungsbereich des DORA-Informationsregisters?

DORA gilt für 20 Kategorien von Finanzunternehmen, wie in Artikel 2 der Verordnung (EU) 2022/2554 definiert. Dazu gehören Kreditinstitute, Wertpapierfirmen, Erst- und Rückversicherungsunternehmen, Zahlungsinstitute, E-Geld-Institute, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Anbieter von Krypto-Dienstleistungen und Schwarmfinanzierungsdienstleister.

Welche Datenfelder sind in den DORA-RoI-Templates verpflichtend?

Pflichtfelder umfassen die Entitätsidentifikation (LEI-Codes gemäss ISO 17442), Details zu Vertragsvereinbarungen (Startdaten, Kündigungsklauseln, anwendbares Recht), IKT-Dienstleistungsbeschreibungen (Dienstleistungsarten unter Verwendung von ESA-Taxonomien), Risikobewertungen (Kritikalitäts- oder Wichtigkeitsklassifizierungen), Unterauslagerungsketten (Identifikation aller Unterauftragnehmer) und Datenverarbeitungsstandorte. Das ESA-Validierungsframework wendet 116 automatisierte Qualitätsprüfungen über diese Felder hinweg an.

Wie unterscheidet sich das DORA-RoI von bestehenden Auslagerungsregistern?

Anders als die EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) deckt das DORA-RoI alle IKT-Drittparteienvereinbarungen ab — nicht nur Auslagerungen — und erfordert strukturierte, maschinenlesbare Daten über 15 Templates statt Freitextdokumentation. Es verlangt Granularität auf Entitätsebene über ganze Unternehmensgruppen hinweg, umfasst die Zuordnung von Unterauslagerungsketten und setzt 116 automatisierte Validierungsregeln durch. Der Anwendungsbereich ist zudem breiter und umfasst 20 Kategorien von Finanzunternehmen, nicht nur Kreditinstitute.

Statistiken und Quellen

Gemäss dem EBA DORA Dry Run Summary Report (Dezember 2024) bestanden nur 6,5% der eingereichten Register sämtliche 116 Datenqualitäts-Validierungsprüfungen, wobei fast 1'000 Finanzunternehmen teilnahmen. Der Bericht stellte fest, dass 86% der Fehler durch fehlende Pflichtinformationen verursacht wurden. Eine Deloitte-Umfrage (Digital Operational Resilience Act Survey, Wave 3) ergab, dass 46% der Finanzinstitute das Informationsregister als die einzelne anspruchsvollste DORA-Anforderung nennen, und dass nur 50% der Institute erwarteten, bis Ende 2025 vollständige Compliance zu erreichen. Gemäss einer Censuswide-Umfrage unter EMEA-Finanzdienstleistern (2025) nennen 34% die Drittparteien-Überwachung als schwierigste DORA-Anforderung. DORA Artikel 50 der Verordnung (EU) 2022/2554 sieht Bussgelder von bis zu 2% des weltweiten Jahresumsatzes für nicht konforme Finanzunternehmen vor.

Übersicht der DORA-RoI-Templates

TemplateAnwendungsbereichWichtige Pflichtfelder
B_01.01Entität, die das Register führtLEI, Entitätsname, Entitätstyp, zuständige Behörde
B_01.02Entitäten im KonsolidierungskreisLEI, Entitätsname, Land, Beziehungstyp
B_01.03Niederlassungen von EntitätenNiederlassungskennung, Land, LEI des Hauptsitzes
B_02.01Vertragsvereinbarungen — allgemeinVertragsreferenz-ID, Startdatum, anwendbares Recht, Kündigungsrechte
B_02.02Vertragsvereinbarungen — spezifischKritikalitätsbewertung, Land der Datenverarbeitung, Substituierbarkeit
B_03.01IKT-DrittdienstleisterAnbieter-LEI, Anbietername, Gründungsland, Anbietertyp
B_03.02IKT-Drittdienstleister — zusätzlichLEI der obersten Muttergesellschaft, Gruppenstruktur
B_04.01IKT-Dienstleistungen — FunktionsidentifikationFunktionsname, Kritikalität oder Wichtigkeit, Geschäftsbereich
B_05.01Unterauslagerung — IKT-UnterauftragnehmerUnterauftragnehmer-LEI, Unterauftragnehmername, Dienstleistungsbeschreibung
B_05.02Unterauslagerung — KettendetailsKettenrang, Standort der Datenverarbeitung, Überwachungsvereinbarungen
B_06.01Bewertung der IKT-DienstleistungenAusstiegsstrategie, alternative Anbieter, Folgenabschätzung