Ist Microsoft offiziell ein kritischer IKT-Drittdienstleister unter DORA?

Ja. Am 18. November 2025 haben die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA – zusammen ESAs) die erste Liste der Critical ICT Third-Party Providers (CTPPs) veröffentlicht. Microsoft Ireland Operations Limited ist Teil dieser Liste von 19 Anbietern und unterliegt seit Anfang 2026 der direkten Aufsicht durch die ESAs. Die operative Überwachung mit eigenen Joint Examination Teams (JETs) hat 2026 begonnen.

Welche Frist hat die BaFin für das DORA-Informationsregister gesetzt?

Das erste Informationsregister musste deutschen Finanzunternehmen zwischen dem 9. und 30. März 2026 an die BaFin gemeldet werden. Es enthält alle IKT-Drittdienstleister inklusive Cloud, SaaS, Datacenter und Managed Security – mit Kritikalität, Datenstandort und Sub-Dienstleisterkette. Wer Microsoft 365 oder Azure nutzt, hat damit eine direkte Verbindung zu einem CTPP im Register.

Was unterscheidet DORA Art. 28 von einem klassischen Cloud-Vertrag?

Artikel 28 verlangt eine vertraglich fixierte und regelmäßig getestete Exit-Strategie für jeden kritischen IKT-Dienst. Es genügt nicht, einen Exit theoretisch zu beschreiben. Verlangt werden dokumentierte Datenportabilität, ein Migrationsplan zu einem alternativen Anbieter oder on-premise, getestete Wiederanlauffristen und eine Übergangsphase ohne Service-Unterbrechung. Ein reines Microsoft-eigenes Exit-Playbook erfüllt diese Anforderung nur teilweise, weil es Microsoft als einzigen Ausgangspunkt voraussetzt.

Wie passt DORA zu CLOUD Act, NIS2 und BSI-Grundschutz?

DORA ist sektorspezifisch (Finanzwesen), die anderen sind sektor-übergreifend. Wer Microsoft 365 in einer Bank betreibt, muss vier Regimes parallel bedienen – DSGVO/Schrems, NIS2 (für Kritis-relevante Bereiche), BSI-IT-Grundschutz oder C5 plus DORA. Die Risikoanalysen sind weitgehend deckungsgleich, die Dokumentationspflichten überschneiden sich. Wer früh europäisch hostet, reduziert die Vier-Regime-Last in einem Schritt.

DORA & Finanzsektor·Jun 2, 2026

DORA, CTPP-Designation und Microsoft 365 – warum Banken 2026 eine belastbare Exit-Strategie brauchen

Seit Ende 2025 gilt Microsoft als kritischer IKT-Drittdienstleister unter DORA. Was BaFin, ESAs und das Konzentrationsrisiko-Framework jetzt für Banken und Versicherer bedeuten.

europioneer Team

DORA, CTPP-Designation und Microsoft 365 – warum Banken 2026 eine belastbare Exit-Strategie brauchen

Am 18. November 2025 haben die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA die erste offizielle Liste der Critical ICT Third-Party Providers unter dem Digital Operational Resilience Act (DORA) veröffentlicht. Auf dieser Liste stehen 19 Anbieter, darunter Microsoft Ireland Operations Limited. Anfang 2026 hat die operative ESA-Aufsicht über diese CTPPs begonnen – mit eigenen Joint Examination Teams und einem Lead Overseer pro Anbieter. Am 2. Februar 2026 hat Microsoft daraufhin ein eigenes Konzentrationsrisiko- und Exit-Strategie-Framework veröffentlicht. Wer in Deutschland eine Bank, eine Versicherung, einen Zahlungsdienstleister oder ein Wertpapierinstitut führt, hat ab diesem Zeitpunkt ein konkretes regulatorisches Problem, falls Microsoft 365 oder Azure nicht aktiv im Exit-Plan dokumentiert ist.

Wir ordnen ein, was sich seit der CTPP-Designation geändert hat, welche Anforderungen die BaFin im DORA-Informationsregister konkret prüft und wie ein Exit-Plan aussieht, der einer ESA-Prüfung im laufenden Jahr standhält. Hintergrund zur europäischen Sovereignty-Bewegung – siehe unsere Analyse zum Eurostack-Konzept und zur CLOUD-Act-Exposition deutscher Microsoft-Tenants.

Was DORA seit Anfang 2026 verlangt – kurz und konkret

DORA ist seit dem 17. Januar 2025 EU-weit verbindlich. Adressiert sind ungefähr 22 000 europäische Finanzunternehmen – Banken, Versicherer, Wertpapierhäuser, KVGen, Zahlungsdienstleister, Krypto-Verwahrer, Handelsplätze, ICT-Drittanbieter mit kritischen Funktionen.

Vier Säulen sind aufsichtsrechtlich wirksam:

IKT-Risikomanagement – Governance, Asset Inventar, Schutz- und Erkennungsmaßnahmen, Geschäftsfortführungsplanung.
Vorfallsmeldung – Klassifikation und Meldung schwerwiegender IKT-Vorfälle binnen weniger Stunden.
Resilienztests – inklusive Threat-Led Penetration Testing (TLPT) für signifikante Institute.
IKT-Drittanbieter-Risiko – Art. 28 ff., das Herzstück der CTPP-Designation. Vertragspflichten, Exit-Strategie, regelmäßiges Testen.

Die BaFin-Frist für das erste DORA-Informationsregister lief vom 9. bis 30. März 2026. Wer es nicht oder unvollständig abgegeben hat, ist bereits in der zweiten Stufe – Nachfrage, Frist, Anordnung. Hintergrund zum Zusammenspiel mit NIS2 und DSGVO siehe NIS2-DSGVO-Microsoft-Paradox.

Was die CTPP-Designation von Microsoft praktisch ändert

Die ESA-Designation hat drei direkte Konsequenzen für jedes Microsoft-Kunden-Institut in Deutschland:

Direkte Aufsicht: Microsoft wird ab 2026 von ungefähr 30 ESA-Aufsehern überwacht. Ein Lead Overseer ist benannt, ein Joint Examination Team kann jederzeit Informationen anfordern und Vor-Ort-Prüfungen durchführen.
Erhöhte Dokumentationspflicht beim Kunden: Die Bank muss ihren Microsoft-Footprint nicht nur listen, sondern auch das Konzentrationsrisiko quantifizieren – also belegen, wie kritisch die Abhängigkeit ist und welche Alternativen existieren.
Bezug auf Sub-Dienstleister: Microsoft muss seine Sub-Dienstleisterkette an die ESA offenlegen. Bank-Kunden übernehmen diese Kette in ihr eigenes DORA-Register – inklusive Akamai, CDN-Anbieter, regionaler Sub-Operator. Dieselbe Diskussion wie beim Copilot Flex Routing, nur regulatorisch verbindlich.

Wichtig: CTPP-Designation bedeutet nicht, dass Microsoft jetzt automatisch DORA-konform ist. Sie bedeutet, dass Microsoft direkt überwacht wird. Die Kundenverantwortung bleibt: Jede Bank muss ihre eigene Exit-Strategie nach Art. 28 vorhalten – Microsoft kann sie nicht erfüllen.

Microsofts Konzentrationsrisiko-Framework – nützlich, aber kein Freibrief

Am 2. Februar 2026 hat Microsoft ein Sechs-Schritte-Resilience-Framework publiziert. Es enthält:

Datenportabilitätsformate für Azure-Dienste (Blob, SQL, Active Directory, Analytics)
Geschätzte Exportzeiten je nach Datenvolumen
Migrations-Playbooks zu AWS, GCP oder on-premise
Vorlagen für Cloud-Risk-Governance

Das ist ein echter Fortschritt. Aufsichtsrechtlich ersetzt es aber drei Dinge nicht:

Die eigene Konzentrationsrisiko-Bewertung – die ESA verlangt das Institut, nicht den Anbieter, als Autor.
Die getestete Exit-Übung – Microsoft kann Pfade beschreiben, aber nicht im Namen der Bank durchspielen.
Die Wahl einer echten Alternative – ein Wechsel von Microsoft zu AWS oder GCP löst das Konzentrationsrisiko nicht, weil alle drei dem CLOUD Act unterliegen. DORA fragt nach Resilienz, nicht nach US-Hyperscaler-Diversifikation.

Wer als deutsche Bank eine ESA-prüfbare Exit-Strategie aufbauen will, kommt deshalb an einem europäisch souveränen Ersatzstack nicht vorbei. Architektur und Komponenten siehe /alternativen.

Die Exit-Strategie nach Art. 28 – HowTo

Die sechs Schritte unten sind im strukturierten HowTo-Schema dieses Beitrags abgelegt (für Googles Rich Results). Zusammengefasst:

Schritt 1: Microsoft-Footprint identifizieren {#step-1}

Alle Microsoft-Verträge im DORA-Register markieren. Microsoft 365, Azure, Entra ID, Dynamics, Power Platform, Defender. Kritikalität nach Geschäftsprozess klassifizieren.

Schritt 2: Konzentrationsrisiko quantifizieren {#step-2}

Heatmap nach durchschnittlicher und maximaler Wiederanlaufzeit. Welche Komponenten haben heute keinen Ersatzplan? Genau diese sind ESA-meldepflichtig.

Schritt 3: Alternativen technisch validieren {#step-3}

Mindestens einen europäischen Ersatzpfad pro Dienst benennen und im Labor testen. Open-Xchange statt Exchange, Nextcloud statt SharePoint, Keycloak statt Entra ID, Element/Matrix statt Teams. Vergleichbar zum Stack, den auch das openDesk-Vertriebspartnerprogramm verwendet.

Schritt 4: Exit-Vertrag mit Übergangsphase {#step-4}

Mindestens 12 Monate garantierte Datenexportphase, standardisierte Formate, API-Exporte. Eine fünftägige Kündigungsfrist trägt nicht.

Schritt 5: Jährliche Exit-Übung {#step-5}

Migration einer realen Abteilung. Ergebnisse dokumentieren. Die JETs werden nach genau diesen Übungen fragen.

Schritt 6: Vier-Regime-Dokumentation konsolidieren {#step-6}

DSGVO, NIS2, DORA, BSI-IT-Grundschutz oder C5 in einer Datenbank führen. Background siehe BSI-Grundschutz und Microsoft 365.

Begriffe – kurz definiert

DORA: Digital Operational Resilience Act, EU-Verordnung 2022/2554, anwendbar seit 17. Januar 2025. Adressiert die digitale operationelle Widerstandsfähigkeit des EU-Finanzsektors.
CTPP: Critical ICT Third-Party Provider. Anbieter, dessen Ausfall systemische Folgen für den europäischen Finanzsektor hätte. Designation durch die ESAs nach Art. 31(9) DORA, Liste erstmals am 18. November 2025 veröffentlicht.
JET (Joint Examination Team): Prüfteam aus EBA-, EIOPA- und ESMA-Mitarbeitern, das einen designierten CTPP operativ überwacht.
Lead Overseer: Federführende Behörde pro CTPP. Für Microsoft ist das einer der drei ESAs, abhängig vom Schwerpunktsegment.
Exit-Strategie nach Art. 28 DORA: Vertraglich fixierter, regelmäßig getesteter Plan zur Ablösung eines IKT-Drittdienstleisters innerhalb einer aufsichtsrechtlich tragfähigen Frist – ohne Service-Unterbrechung, ohne Datenverlust, in einem Format, das ein alternativer Anbieter verarbeiten kann.
Konzentrationsrisiko: Aufsichtsrechtliches Risiko, das aus der Bündelung kritischer Funktionen bei einem einzelnen Anbieter entsteht. Beim DORA-Register quantitativ erfasst.

Wo europioneer ansetzt

europioneer betreibt einen europäisch souveränen Ersatzstack auf Basis von Nextcloud, Open-Xchange, Element/Matrix, Keycloak und Collabora Online – als Managed-Hosted-Service in deutschen und EU-Rechenzentren, ohne Hyperscaler-Sub-Processor. Für Banken und Versicherer übernehmen wir die technische Validierung in Schritt 3 sowie die jährliche Exit-Übung in Schritt 5 – inklusive Migration einer realen Abteilung von Exchange Online und SharePoint auf den europäischen Stack, dokumentiert in einem Format, das die JETs lesen. Komponentenüberblick unter /alternativen, Pakete und Preise unter /pricing.

Fazit

2026 ist das Jahr, in dem DORA von Papier zu Prüfung wird. Die ESA-Aufseher haben Microsoft offiziell unter Beobachtung – aber sie prüfen nicht Microsoft, sie prüfen die deutsche Bank, die ihren Microsoft-Footprint nicht ehrlich quantifiziert. Das Microsoft-Konzentrationsrisiko-Framework vom Februar 2026 ist ein gutes Stück Material – aber nicht die Exit-Strategie eines deutschen Instituts. Wer 2026 eine ESA-prüfbare Antwort liefern muss, kommt an einem europäischen Ersatzstack im Test- und Pilotbetrieb nicht vorbei.

Exit-Strategie-Workshop anfragen →

Verwandte Beiträge:

openDesk verlässt die Bundesverwaltung – ZenDIS öffnet den Souveränen Arbeitsplatz für KMU

Seit Mai 2026 dürfen Vertriebspartner openDesk an KMU verkaufen. Was die ZenDIS-Suite leistet, wie sie Microsoft 365 ablöst und wie Sie pilotieren.

Nextcloud für KMU – Die sichere Alternative zu OneDrive und SharePoint

Nextcloud bietet alles, was KMU für Dateiverwaltung, Teamkollaboration und Kommunikation brauchen – auf eigenen Servern, DSGVO-konform.