Wie DORA die IKT-Kontrolle neu positioniert

DORA verpflichtet Finanzunternehmen, ein umfassendes IKT-Risikomanagement-Rahmenwerk einzurichten. Zentral ist dabei die IKT-Risikokontrollfunktion gemäß Artikel 6 Absatz 4 DORA. Diese Funktion muss IKT-Risiken identifizieren, bewerten und überwachen, die Umsetzung der Resilienz-Strategie kontrollieren und regelmäßig an die Geschäftsleitung berichten.

Die Verordnung knüpft an das Three-Lines-of-Defense Modell an und fordert eine klare Trennung zwischen operativen IKT-Einheiten (erste Verteidigungslinie) und der Kontrollfunktion (zweite Verteidigungslinie). Während viele Institute bislang auf den ISB oder IT-Security-Teams vertrauten, reicht dies unter DORA nicht mehr aus. Die neue Funktion muss formalisiert, personell ausgestattet und organisatorisch verankert sein (siehe Abbildung 1).

Institute müssen nachweisen können, dass eine vom Leitungsorgan beschlossene IKT-Risikomanagement-Policy existiert, ein formelles Mandat der IKT-Risikokontrollfunktion vorliegt, aktuelle Organigramme mit klaren Berichtslinien vorhanden sind, ein konsolidiertes Risiko-Register geführt und regelmäßige Management-Reports mit definierten KPIs erstellt werden. 

Der Informationssicherheitsbeauftragte (ISB) ist in vielen Finanzinstituten etabliert. Seine Aufgaben umfassen typischerweise Erstellung und Überwachung von IT-Sicherheitskonzepten, Koordination von Sicherheitsmaßnahmen sowie Schulung und Sensibilisierung der Mitarbeiter.

Die Weiterentwicklung: Während der ISB bislang primär für die Informationssicherheit zuständig war, erweitert die IKT-Risikokontrollfunktion nach DORA den Fokus auf das ganzheitliche Management und die Überwachung des IKT-Risikomanagementrahmens. DORA fordert eine unabhängige Kontrollfunktion (zweite Verteidigungslinie), die nicht selbst operative IKT-Maßnahmen umsetzt, sondern diese überwacht und herausfordert. Die IKT-Risikokontrollfunktion muss breiter aufgestellt sein als der klassische ISB: Sie deckt nicht nur IT-Sicherheit ab, sondern das gesamte IKT-Risiko inklusive Verfügbarkeit. Sie berichtet direkt an die Geschäftsleitung und benötigt dokumentierte Governance-Strukturen sowie klare Abgrenzungen zur ersten und dritten Verteidigungslinie.

Der ISB kann Teil der IKT-Risikokontrollfunktion sein oder zu ihr weiterentwickelt werden, er ersetzt sie jedoch nicht automatisch. Institute müssen prüfen, ob ihre bestehende ISB-Rolle hinsichtlich Mandat, Ressourcen, Kompetenzen und organisatorischer Unabhängigkeit ausgebaut werden muss oder ob eine neue, umfassendere Einheit erforderlich ist.

DORA und die Regulierungsstandards zum IKT-Risikomanagement präzisieren die Dokumentations- und Reporting-Pflichten. 

Folgende Kernfragen sind dabei zu beantworten: 

• Existiert eine formal eingerichtete IKT-Risikokontrollfunktion?
• Ist die Funktion personell ausreichend besetzt und fachlich kompetent?
• Sind Unabhängigkeit und Berichtslinien dokumentiert?
• Erfolgt eine Überwachung anhand regelmäßiger Kontrollen und messbarer KPI?
• Wird regelmäßig an die Geschäftsleitung berichtet?
• Sind Berichte nachvollziehbar, vollständig und aktuell?

Institute, die diese Nachweise nicht erbringen können, riskieren Aufsichtsmaßnahmen. Eine wirksame IKT-Risikokontrollfunktion ist die Voraussetzung, um diese Anforderungen erfolgreich zu erfüllen. Dazu gehören ausreichend qualifiziertes Personal mit Expertise in IKT-Risikomanagement und Governance, etablierte Prozesse zur systematischen Erfassung und Bewertung von IKT-Risiken, standardisierte Dokumentationen aller Kontrolltätigkeiten sowie klare Schnittstellen zu anderen Funktionen wie operativer IT und Compliance.

Institute sollten standardisierte KPIs implementieren. Dazu gehören die Anzahl offener kritischer IKT-Risiken mit Schweregrad und Alter, der Status kritischer Drittparteien inklusive Compliance-Status, Mean Time to Detect (MTTD) und Mean Time to Mitigate (MTTM), die Downtime kritischer Systeme sowie der Prozentsatz abgeschlossener Test-Findings. Zu jedem KPI gehören Schwellenwerte, Verantwortlichkeiten und Eskalationspfade.

DORA ist eine unmittelbar anwendbare EU-Verordnung. Verstöße können zu erheblichen Konsequenzen führen. Zuständige Behörden können Anordnungen zur Nachbesserung erlassen, die Geschäftsleitung abberufen oder deren Befugnisse einschränken, die Aufnahme neuer Geschäftsaktivitäten untersagen und öffentliche Bekanntmachungen von Verstößen vornehmen.

Verstöße können öffentlich bekannt gemacht werden, was zu erheblichen Reputationsschäden führt („Blame & Shame“ Prinzip). Zudem können erhebliche finanzielle Sanktionen verhängt werden. 

In Deutschland wurden die Bußgeldvorschriften durch das Finanzmarktdigitalisierungsgesetz (FinMaDiG) in § 56 des Kreditwesengesetzes (KWG) verankert. Für Verstöße gegen die DORA-Verordnung können folgende Geldbußen verhängt werden:

• Für schwerwiegende Verstöße (gemäß § 56 Absatz 5e Nummer 2 und 3 KWG): Bis zu 5 Millionen Euro
• Für andere Verstöße (gemäß § 56 Absatz 5e Nummer 1, 4, 5 und 6 KWG): Bis zu 500.000 Euro

Neben regulatorischen Sanktionen drohen Vertrauensverlust bei Kunden und Geschäftspartnern, negative Medienberichterstattung und Beeinträchtigung der Geschäftsbeziehungen zu kritischen IKT-Drittanbietern. Das Fehlen oder die unzureichende Ausgestaltung der IKT-Risikokontrollfunktion ist kein bloßes Compliance-Thema, sondern ein strategisches Geschäftsrisiko.

DORA bringt einen Paradigmenwechsel in der IKT-Governance. Die neue IKT-Risikokontrollfunktion ist kein „Nice-to-have“, sondern eine regulatorische Pflicht mit klaren Anforderungen an Unabhängigkeit, Berichtswege und Dokumentation.

Damit Ihre IKT-Risikokontrollfunktion die regulatorischen Anforderungen erfüllt, empfehlen wir folgende Schritte:

1. Bestandsaufnahme mit einem Quick Check: Bewerten Sie den aktuellen Reifegrad Ihrer IKT-Risikokontrollfunktion. Dies zeigt auf, in welchen Bereichen (Governance, Prozesse, Personal, Reporting) noch Handlungsbedarf besteht.

2. DORA-Compliance-Analyse: Eine umfassende Analyse überprüft systematisch, welche regulatorischen Anforderungen bereits erfüllt sind und wo Lücken in der Angemessenheit der internen Vorgaben oder Wirksamkeit der eingesetzten Verfahren bestehen.

3. Strukturierter Aufbau mit Best Practices: Gemeinsam bauen wir mit Ihnen die IKT-Risikokontrollfunktion nach bewährten Best Practices auf oder optimieren diesen. Klare Rollen, Prozessdefinitionen, standardisierte Dokumentation und regelmäßige Kontrollen stellen sicher, dass die Funktion aufsichtskonform und wirksam operiert.

4. Fachliches Coaching: Gezieltes Coaching qualifiziert die Mitarbeiter der IKT-Risikokontrollfunktion, damit sie ihre Aufgaben kompetent und nachhaltig erfüllen können. Dabei setzten wir praxisbewährte Methoden und Known-Transfer ein.

Starten Sie jetzt: Analysieren Sie Ihre IKT-Governance, identifizieren Sie Lücken und positionieren Sie Ihre IKT-Kontrollfunktion zukunftssicher. Severn begleitet Sie Schritt für Schritt, damit Sie rechtzeitig compliant sind.