· 

DORA macht digitale Resilienz zu einer klaren Führungsaufgabe – und hebt Compliance damit endgültig auf CEO‑, Vorstand‑ und Geschäftsführungslevel


 

Warum DORA mehr ist als „nur IT-Regulierung“

DORA richtet sich an Banken, Zahlungsdienstleister, Versicherungen, Vermögensverwalter – und an deren wesentliche IT‑Dienstleister. Kernidee: Nicht nur Cybersecurity stärken, sondern die operative Widerstandsfähigkeit des gesamten Finanzunternehmens gegenüber IKT‑Störungen sicherstellen.

 

Dazu verlangt DORA unter anderem:

  • Ein integriertes IKT‑Risikomanagement mit klaren Verantwortlichkeiten.
  • Meldung schwerwiegender IT‑Vorfälle an die Aufsicht.
  • Regelmäßige Tests der digitalen Resilienz (inklusive Threat‑Led‑Penetration‑Tests).
  • Strenges Management von IKT‑Drittparteirisiken, insbesondere Cloud‑Providern.

 

Resilienz als Chefsache: Rolle des Managements

DORA adressiert ausdrücklich das „Management Body“ – in der Praxis also Vorstand, Geschäftsführung bzw. das oberste Leitungsorgan. Dieses Gremium muss den IKT‑Risikomanagement‑Rahmen definieren, billigen, überwachen und tragen – Delegation in die IT reicht nicht mehr.

 

Zu den Pflichten gehören insbesondere:

  • Strategische Aufsicht über das IKT‑Risikomanagement‑Framework.[2][9]
  • Verantwortung für Ressourcen, Budgets und Priorisierung von Resilienzmaßnahmen.[11][2]
  • Regelmäßige Berichterstattung und Kennzahlen zu IKT‑Risiken und Vorfällen auf Agenda‑Ebene.[3][11][2]
  • Sicherstellung von Governance, Training und „Tone from the Top“ zur operativen Resilienz.[3][11]

 

Damit wird Resilienz zur Führungsaufgabe – mit persönlicher Verantwortung der Organmitglieder und hoher Erwartung an Nachweisbarkeit gegenüber Aufsichtsbehörden.

 

 

Was Unternehmen jetzt konkret tun sollten / müssen

Viele Institute arbeiten bereits an DORA‑Programmen – häufig fokussiert auf IT‑Security und Policies, aber noch zu wenig auf Governance, Kultur und Nachweisführung im Management.

 

Aus meiner Sicht sollten Sie jetzt drei Ebenen gleichzeitig adressieren:

  • Struktur: IKT‑Risikomanagement‑Framework, Rollenmodell (inkl. unabhängiger IKT‑Risikokontrollfunktion), Gremienstrukturen und Reportinglinien sauber definieren.
  • Prozesse: Incident‑Management, Krisen‑ und Notfallpläne, Tests der Resilienz, Drittanbietersteuerung und Dokumentation konsistent entlang der DORA‑Anforderungen ausrichten.
  • Menschen & Kultur: Management‑Schulungen zu DORA‑Pflichten, regelmäßige Board‑Updates, klare Kommunikation, dass digitale Resilienz Teil der Unternehmensstrategie ist – nicht nur ein IT‑Projekt.

 

Ein pragmatischer Einstieg ist ein DORA‑Gap‑Assessment, das bestehende Strukturen aus Sicht von Vorstand, Geschäftsführung und Compliance‑Funktion bewertet und in eine priorisierte Roadmap übersetzt.

 

 

Welche Rolle Interim & Compliance spielen können

DORA verschärft nicht nur die Anforderungen – es erhöht auch den Umsetzungsdruck: Keine Übergangsfristen, hohe regulatorische Erwartungen, Aufsicht mit klarem Fokus auf Resilienz. Gleichzeitig sollen laufender Betrieb, andere Regulierungsprojekte (NIS2, AI Act etc.) und Business‑Ziele weiterlaufen.

 

Hier kann ein externer, erfahrener Compliance‑ oder Legal Interim Manager gezielt unterstützen, etwa durch:

  • Aufbau oder Review des IKT‑Governance‑ und Resilienz‑Frameworks aus Management‑Perspektive.
  • Übersetzung der DORA‑Anforderungen in klare Verantwortlichkeiten, Gremien‑Setups und Reporting.
  • Moderation von Workshops mit Vorstand, Geschäftsführung, Risk, IT und Compliance zur Definition der Resilienzstrategie.
  • Begleitung von Gap‑Analysen, Prüfungsfestigkeit und Vorbereitung auf Aufsichts‑ oder Internal‑Audit‑Reviews.

 

So wird DORA von einer weiteren Regulierungswelle zu einem Hebel für robuste, zukunftsfähige Unternehmenssteuerung – mit Resilienz als echter Führungsaufgabe an der Spitze.

 

Wenn Sie Ihre DORA‑Umsetzung strategisch aufsetzen und die Rolle von Vorstand oder Geschäftsführung stärken möchten, begleite ich Sie gern – von der ehrlichen Standortbestimmung bis zur praxistauglichen Roadmap.