
DORA IKT-Dienstleister Nachweis-Checkliste: Kostenlose Vorlage (XLSX)
Kostenlose DORA-Nachweis-Checkliste für IKT-Dienstleister: RoI-konforme Registerfelder, Kritikalitätsstufen, Nachweis-Kadenz je Stufe und Exit-Strategie-Tracker.
Vorlage herunterladen
Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch
DORA IKT-Dienstleister Nachweis-Checkliste: Kostenlose Vorlage (XLSX)
Kurzantwort: Diese kostenlose DORA-Nachweis-Checkliste für IKT-Dienstleister ist ein herunterladbares XLSX (plus PDF und maschinenlesbares Markdown; die herunterladbaren Dateien sind auf Englisch), das Finanzunternehmen ein am Informationsregister ausgerichtetes Dienstleisterregister gibt, eine Kritikalitätsbewertung nach Artikel 28 Abs. 2 der Verordnung (EU) 2022/2554, eine je Stufe auf Artikel 30 gemappte Nachweis-Checkliste, Felder zur Offenlegung der Unterauftragsketten nach Artikel 29 und dem Unterauftrags-RTS sowie einen Exit-Strategie-Tracker nach Artikel 28 Abs. 8. Die Feldnamen folgen der Struktur der Register-of-Information-Templates der ESAs aus der Durchführungsverordnung (EU) 2024/2956 der Kommission, sodass die von Ihnen erhobenen Daten direkt in Ihr aufsichtliches Register einfließen.
DORA gilt EU-weit seit dem 17. Januar 2025, und die Aufsicht ist von Orientierungshilfen zur Datenqualität übergegangen: Die nationalen zuständigen Behörden sammeln die Register inzwischen jährlich ein, lassen die EBA-Validierungsregeln darüber laufen und beanstanden unvollständige Angaben zu Dienstleistern, Unterauftragnehmern und Kritikalität. Der Engpass ist für die meisten Compliance-Teams nicht das Verständnis der Regeln — es ist das Fehlen eines einzigen Arbeitsdokuments, das nachhält: welcher Dienstleister, welche Kritikalitätsstufe, welcher Nachweis, in welcher Kadenz. Genau das leistet diese DORA-Drittparteienrisiko-Checkliste.
Die wichtigsten Erkenntnisse
- Ein Register, RoI-konform. Das Dienstleisterregister-Blatt spiegelt die Feldlogik der Register-of-Information-Templates der ESAs (15 Templates in 8 Gruppen nach der Durchführungsverordnung (EU) 2024/2956), sodass nichts, was Sie erfassen, zum Einreichungszeitpunkt neu gemappt werden muss.
- Die Kritikalität steuert alles. DORAs Kernunterscheidung ist binär — unterstützt die IKT-Dienstleistung eine kritische oder wichtige Funktion (KWF) oder nicht (Artikel 28 Abs. 2). Die Vorlage ergänzt eine operative dritte Stufe für Dienste mit geringer Abhängigkeit, damit der Nachweisaufwand dem Risiko entspricht.
- Nachweise haben eine Kadenz, keine Checkbox. Artikel 30 Abs. 3 Buchst. e gibt Ihnen laufende Überwachungsrechte gegenüber KWF-Dienstleistern; die Checkliste macht daraus quartalsweise und jährliche Nachweiszeilen statt eines einmaligen Onboarding-Pakets.
- Unterauftragsketten sind im Anwendungsbereich. Artikel 29 und die Delegierte Verordnung (EU) 2025/532 der Kommission verlangen, die Unterauftragskette hinter KWF-Diensten zu identifizieren und zu bewerten — die Vorlage erfasst sie je Dienstleister.
- Exit-Strategien müssen dokumentiert und getestet sein. Artikel 28 Abs. 8 verlangt umfassende, dokumentierte, regelmäßig getestete Exit-Pläne — das Exit-Blatt hält Alternativen, Übergangspläne, Datenportabilität und Testdaten nach.
Was in der Vorlage steckt
Das XLSX enthält fünf Blätter. Hier eine repräsentative Vorschau auf jedes.
1. IKT-Dienstleisterregister (RoI-konform)
| Feld | Beispiel | RoI- / DORA-Anker |
|---|---|---|
| Juristischer Name des Dienstleisters + LEI | CloudCore Europe B.V. · 5493001KJTIIGC8Y1R12 | ITS Dienstleister-Identifikation (B_05) |
| Vertragsreferenz + Vertragstyp | CTR-2024-018 · Eigenständige Vereinbarung | ITS vertragliche Vereinbarungen (B_02) |
| IKT-Dienstleistungstyp (ESA-Taxonomie) | Cloud Computing — IaaS | ITS IKT-Dienstleistungen (B_04) |
| Unterstützt kritische oder wichtige Funktion? | Ja — Zahlungsverarbeitung | Art. 28 Abs. 2, Art. 3 Nr. 22 |
| Datenspeicher- / Verarbeitungsstandorte | Niederlande; Irland (DR) | Art. 30 Abs. 2 Buchst. b |
| Vertragsdaten, Verlängerung, Kündigungsfrist | 01.03.2024 → unbefristet · 6 Monate | ITS Vertragsfelder |
| Als CTPP designierter Dienstleister? | Nein | CTPP-Liste der ESAs (Nov. 2025) |
2. Kritikalitätsbewertung
| Feld | Optionen |
|---|---|
| Unterstützte Funktion | Freitext + Funktions-ID |
| Kritische oder wichtige Funktion? | Ja / Nein / In Bewertung |
| Kritikalitätsstufe (operativ) | Stufe 1 — KWF · Stufe 2 — Standard · Stufe 3 — Geringe Abhängigkeit |
| Substituierbarkeit | Einfach / Schwierig / Hochkomplex |
| Konzentrationsrisiko-Flag | Ja / Nein (vorläufige Bewertung nach Art. 29) |
| Neubewertung fällig | Datum (mindestens jährlich) |
3. Nachweis-Checkliste (je Stufe, mit Kadenz)
| Nachweiskategorie | Beispielnachweis | DORA-Anker | Kadenz Stufe 1 | Kadenz Stufe 2/3 |
|---|---|---|---|---|
| Sicherheitszertifizierung | ISO/IEC-27001-Zertifikat | Art. 28 Abs. 4–5 Sorgfaltsprüfung | Jährlich | Jährlich (S2) / Beim Onboarding (S3) |
| Unabhängige Prüfung | ISAE-3402- / ISAE-3000-Bericht | Art. 30 Abs. 3 Buchst. e Überwachungsrechte | Jährlich | Auf Anfrage |
| Service-Level-Reporting | SLA-Performance-Berichte | Art. 30 Abs. 3 Buchst. a | Quartalsweise | — |
| Resilienztests | Pentest-Zusammenfassung; Bestätigung der TLPT-Mitwirkung | Art. 30 Abs. 3 Buchst. c–d, Art. 26–27 | Jährlich / je TLPT-Zyklus | — |
| Mitwirkung bei Vorfällen | Vorfallsbenachrichtigungs-SLA + Kontaktmatrix | Art. 30 Abs. 2 Buchst. f, Art. 19 | Jährliche Überprüfung | Jährliche Überprüfung |
| Offenlegung der Unteraufträge | Aktuelle Unterauftragnehmerliste + Standorte | Art. 29; Del. VO (EU) 2025/532 | Quartalsweise | Jährlich (S2) |
| Betriebskontinuität | BCP-/DR-Testergebnisse | Art. 30 Abs. 3 Buchst. c | Jährlich | — |
| Exit-Bereitschaft | Datenportabilitätserklärung; getesteter Exit-Plan | Art. 28 Abs. 8, Art. 30 Abs. 3 Buchst. f | Jährlicher Test | — |
4. Unterauftragskette & Exit-Strategie
Für jeden Stufe-1-Dienstleister: Name des Unterauftragnehmers, Jurisdiktion, unterlegter Dienst, Datenstandorte in der Kette, Flag für Bedenken zur Kettenlänge — plus Exit-Felder: identifizierter alternativer Anbieter oder Inhouse-Option, vertraglich vereinbarte Übergangsfrist, Datenrückgabeformat, Datum des letzten Exit-Plan-Tests und Notfallmaßnahmen.
5. Anleitung
Felddefinitionen, Enum-Werte und ein vorgeschlagener quartalsweiser Review-Workflow.
So nutzen Sie diese Checkliste
- Erst inventarisieren. Listen Sie jede IKT-Dienstleistungsvereinbarung im Registerblatt — DORAs Register erfasst alle vertraglichen Vereinbarungen über IKT-Dienstleistungen, nicht nur Cloud oder nur kritische (Artikel 28 Abs. 3).
- Klassifizieren. Führen Sie jede Vereinbarung durch das Blatt Kritikalitätsbewertung. Die KWF-Bestimmung (Artikel 28 Abs. 2) entscheidet, ob die vollständigen Vertragsklauseln nach Artikel 30 Abs. 3 und der Stufe-1-Nachweissatz gelten.
- In der Kadenz einsammeln. Arbeiten Sie das Nachweis-Blatt für Stufe-1-Dienstleister quartalsweise und für den Rest jährlich ab. Hinterlegen Sie Nachweisreferenzen, keine Dokumente — das Blatt verfolgt Status und Daten.
- Die Kette abbilden. Vervollständigen Sie für jeden Stufe-1-Dienstleister die Unterauftragsfelder. Wenn Sie nicht identifizieren können, wer den Dienst faktisch trägt, ist das für sich genommen ein Befund.
- Den Exit testen. Überprüfen und testen Sie Exit-Pläne nach dem im Blatt hinterlegten Zeitplan — ein ungetesteter Exit-Plan erfüllt die „ausreichend getestet"-Anforderung des Artikels 28 Abs. 8 nicht.
- Das Register befüllen. Übertragen Sie im Einreichungsfenster Ihrer Behörde die strukturierten Daten in das offizielle EBA-Meldepaket und lassen Sie vor der Einreichung die Validierungsregeln laufen.
Eine Anmerkung zum Timing: Es gibt keine einheitliche EU-Frist für Unternehmen. Die Behörden legen ihre eigenen Fenster fest — die irische Zentralbank etwa sammelte die Register 2026 zwischen dem 2. und 31. März 2026 mit Stichtag 31. Dezember 2025 ein, damit die Behörden konsolidierte Register bis zum 31. März an die ESAs weiterleiten konnten. Bestätigen Sie Ihr Fenster bei Ihrer eigenen zuständigen Behörde.
Rechtsgrundlage
- Artikel 28 Abs. 2 — vor Vertragsschluss bewerten, ob die Vereinbarung IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion betrifft, ob die aufsichtlichen Bedingungen erfüllt sind und alle relevanten Risiken einschließlich des Konzentrationsrisikos.
- Artikel 28 Abs. 3 — das Informationsregister auf Unternehmens-, teilkonsolidierter und konsolidierter Ebene führen und aktualisieren; mindestens jährlich über neue Vereinbarungen berichten; das Register der zuständigen Behörde zur Verfügung stellen.
- Artikel 28 Abs. 8 — für KWF-Dienstleistungen dokumentierte, umfassende, ausreichend getestete und regelmäßig überprüfte Exit-Strategien einrichten, Alternativlösungen identifizieren und Übergangspläne für die sichere und vollständige Überführung von Dienstleistungen und Daten entwickeln.
- Artikel 29 — vorläufige Bewertung des IKT-Konzentrationsrisikos, einschließlich der Risiken aus langen oder komplexen Unterauftragsketten und Unterauftragnehmern in Drittländern.
- Artikel 30 Abs. 2 und 30 Abs. 3 — vertragliche Basisklauseln für alle IKT-Dienstleistungen (Abs. 2), plus die KWF-Zusätze (Abs. 3): vollständige SLA-Beschreibungen mit quantitativen Zielwerten (a), Melde- und Berichtspflichten (b), Notfall- und Sicherheitsanforderungen (c), TLPT-Teilnahme (d), laufende Überwachung mit Zugangs-, Inspektions- und Auditrechten (e) sowie Exit-Strategien mit einer verpflichtenden angemessenen Übergangsfrist (f).
- Durchführungsverordnung (EU) 2024/2956 der Kommission (29. November 2024) — das ITS der ESAs mit den Standard-Templates für das Informationsregister: 15 Templates in 8 Gruppen, verknüpft über relationale Schlüssel, einzureichen bei den Behörden im EBA-Meldeformat.
- Delegierte Verordnung (EU) 2025/532 der Kommission (24. März 2025, in Kraft seit 22. Juli 2025) — RTS dazu, was Finanzunternehmen bei der Unterauftragsvergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten müssen.
- EBA — Register-of-Information-Meldematerialien — offizielles Datenmodell, Validierungsregeln und Datenqualitätsmaterialien.
Das vollständige regulatorische Bild zeichnet unser DORA-Compliance-Leitfaden; warum die Artikel 19, 28 und 30 über ein klassisches ISMS hinauswachsen, zeigt die Analyse zu DORA Artikel 19, 28 und 30.
UK, Norwegen und der EWR
UK: Es gibt kein UK-DORA. Britische Firmen operieren unter dem FCA/PRA-Regime für operationelle Resilienz (FCA PS21/3 und PRA SS1/21) — wichtige Geschäftsdienste, Impact Tolerances und Szenariotests, vollständig in Kraft seit dem 31. März 2025 — plus dem Critical-Third-Parties-Regime nach dem FSMA 2023 (PS16/24, wirksam seit Januar 2025). UK verlangt internes Mapping und eine lebende Selbstbewertung, aber keine Einreichung eines Informationsregisters. Gruppen, die beide Märkte abdecken, können diese Checkliste dennoch als Obermenge nutzen: Der DORA-Nachweissatz deckt ab, was das UK-Mapping verlangt.
Norwegen / EWR: DORA wurde am 20. Februar 2025 in das EWR-Abkommen übernommen, und Norwegens DORA-Gesetz trat am 1. Juli 2025 in Kraft und löste die frühere IKT-Verordnung (IKT-forskriften) für erfasste Unternehmen ab. Finanstilsynet ist die zuständige Behörde und sammelt Registerinformationen und Vorfallsmeldungen ein — norwegische Finanzunternehmen sollten diese Checkliste daher genauso behandeln wie ihre EU-Pendants, mit den Fenstern und Formularen von Finanstilsynet anstelle derer ihrer Behörde. Wenn Sie andernorts in Ihrer Gruppe DORA gegen NIS2-Pflichten abwägen, kartiert unser Vergleich DORA vs. NIS2 die Unterschiede.
Das Register kontinuierlich aktuell halten
Eine Tabelle bringt Sie durch die erste Einreichung. Was Aufsichtsbehörden zunehmend prüfen, ist, ob das Register kontinuierlich aktualisiert wird — neue Unterauftragnehmer offengelegt, Nachweise in der Kadenz aufgefrischt, Kritikalität bei Funktionsänderungen neu bewertet. Orbiqs Vendor Assurance Platform automatisiert genau diese Ebene: strukturierte Dienstleisterdatensätze, Nachweiserhebung mit Ablaufverfolgung und kontinuierliches Monitoring der Sicherheitslage Ihrer IKT-Dienstleister — gebaut für europäische Finanzunternehmen, mit EU-Datenresidenz. Für die Bewertungsmethodik hinter der Kritikalitätsrubrik ist unsere Vorlage zur Lieferantenrisikobewertung die natürliche Ergänzung. Die maschinenlesbare Markdown-Variante dieser Checkliste ist für KI-Agenten-Workflows unter /downloads/templates/dora-ict-provider-evidence-checklist.md verfügbar.
Quellen & Referenzen
- Verordnung (EU) 2022/2554 (DORA) — EUR-Lex — Amtsblatttext; Verweise auf die Artikel 28, 29 und 30
- Durchführungsverordnung (EU) 2024/2956 der Kommission — EUR-Lex — ITS zu den Standard-Templates für das Informationsregister
- Delegierte Verordnung (EU) 2025/532 der Kommission — EUR-Lex — RTS zur Unterauftragsvergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen
- EBA — Preparation for DORA application: Register-of-Information-Meldematerialien — Datenmodell, Validierungsregeln und Datenqualitätsmaterialien
- EBA — Joint RTS on subcontracting — Status und Anwendungsdatum des Unterauftrags-RTS
- Central Bank of Ireland — Reporting of Registers of Information — Beispiel eines behördlichen Einreichungsfensters für 2026
- FCA PS21/3 — Building Operational Resilience — britisches Regime für operationelle Resilienz
- Finanstilsynet — Norwegisches DORA-Gesetz in Kraft seit 1. Juli 2025 — norwegische Umsetzung und zuständige Behörde
Vorlage herunterladen
Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch
Häufig gestellte Fragen
Was ist das DORA-Informationsregister (Register of Information)?
Das Informationsregister ist das strukturierte Register aller vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, das Finanzunternehmen nach Artikel 28 Abs. 3 der Verordnung (EU) 2022/2554 (DORA) führen müssen. Es ist auf Unternehmens-, teilkonsolidierter und konsolidierter Ebene zu führen, muss Vereinbarungen kennzeichnen, die kritische oder wichtige Funktionen unterstützen, und ist der nationalen zuständigen Behörde mit den Standard-Templates der Durchführungsverordnung (EU) 2024/2956 der Kommission zu melden.
Welche Nachweise sollten Finanzunternehmen nach DORA von IKT-Dienstleistern einholen?
Das hängt von der Kritikalität ab. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, verlangt DORA Artikel 30 Abs. 3 vertragliche Rechte auf vollständiges Service-Level-Reporting, Mitwirkung bei Vorfällen, TLPT-Teilnahme, laufende Überwachung mit Audit- und Inspektionsrechten sowie Exit-Unterstützung — Unternehmen sollten daher SLA-Berichte, ISO/IEC-27001-Zertifikate oder ISAE-Prüfberichte, Resilienztest-Ergebnisse, Offenlegungen der Unterauftragsketten und getestete Exit-Pläne einholen. Für nicht-kritische Dienstleistungen genügen Basis-Nachweise nach Artikel 30 Abs. 2 wie Leistungsbeschreibungen, Datenstandorte und Sicherheitszusagen.
Gibt es eine einheitliche EU-Frist für die Einreichung des Informationsregisters 2026?
Nein. Die nationalen zuständigen Behörden legen ihre eigenen Einreichungsfenster für Finanzunternehmen fest — die irische Zentralbank etwa sammelte die Register 2026 zwischen dem 2. und 31. März 2026 mit Stichtag 31. Dezember 2025 ein. Der 31. März begrenzt, wann die Behörden konsolidierte Register an die ESAs weiterleiten, nicht wann jedes Unternehmen einreicht. Bestätigen Sie das Fenster stets bei Ihrer eigenen zuständigen Behörde.
Was muss eine DORA-Exit-Strategie enthalten?
Nach Artikel 28 Abs. 8 müssen Exit-Strategien für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, umfassend, dokumentiert, ausreichend getestet und regelmäßig überprüft sein. Sie müssen Alternativlösungen identifizieren, Übergangspläne enthalten, um Dienstleistungen und Daten vom Dienstleister abzuziehen und sicher an einen alternativen Anbieter oder ins eigene Haus zu überführen, und durch Notfallmaßnahmen abgesichert sein, die den Geschäftsbetrieb aufrechterhalten, falls der Dienstleister ausfällt oder die Servicequalität sich verschlechtert.
Gilt DORA im Vereinigten Königreich?
Nein. UK hat kein direktes DORA-Pendant. Britische Firmen folgen dem FCA/PRA-Regime für operationelle Resilienz (FCA PS21/3 und PRA SS1/21, vollständig in Kraft seit dem 31. März 2025), das auf wichtigen Geschäftsdiensten und Impact Tolerances aufbaut, plus dem Critical-Third-Parties-Regime nach dem FSMA 2023. Das UK-Regime verlangt internes Mapping und Selbstbewertung, aber keine DORA-artige Einreichung eines Informationsregisters.
Gilt DORA in Norwegen?
Ja. DORA wurde am 20. Februar 2025 in das EWR-Abkommen übernommen, und Norwegens nationales DORA-Gesetz (Lov om digital operasjonell motstandsdyktighet i finanssektoren) trat am 1. Juli 2025 in Kraft und löste die frühere IKT-Verordnung für erfasste Unternehmen ab. Finanstilsynet ist die zuständige Behörde und sammelt Vorfallsmeldungen und Registerinformationen norwegischer Finanzunternehmen ein.