DORA & Informationssicherheits-beauftragter – IKT-Risikokontrollfunktion im Fokus
Mit dem Digital Operational Resilience Act (DORA) schafft die EU einen neuen Rahmen für digitale operationelle Widerstandsfähigkeit. Eine Kernanforderung ist die Einrichtung eines Informationssicherheitsbeauftragten mit einer unabhängigen IKT-Risikokontrollfunktion (Art. 6 Abs. 4 DORA).
Ziel ist es, Cyber- und IT-Risiken wirksam zu überwachen, die Einhaltung von Sicherheitsstandards zu garantieren und Prüfungsfestigkeit gegenüber der Aufsicht herzustellen.
Typische Herausforderungen – und wie Sie sie meistern
| Herausforderung | Risiko | Praxislösung |
|---|---|---|
| Unklare Rollen & Abgrenzungen | Überschneidungen zwischen ISB, CISO & Datenschutz | Klare Governance, RACI-Modelle und definierte Schnittstellen |
| Steigende Komplexität | Unkontrollierbare Lieferketten & Cloud-Risiken | IKT-Risikokontrollfunktion mit standardisierten Risikoanalysen |
| Dokumentationslast | Prüfungsfeststellungen, fehlende Nachweise | SLA-basierter Kontrollplan, revisionssichere Dokumentation |
| Aufsichtsdruck | Sanktionen bei Verstößen gegen DORA | Regelmäßige Berichte an Geschäftsleitung & Managementreport ISB |
Informationssicherheitsbeauftragter mit IKT-Risikokontrollfunktion (Art. 6 Abs. 4 DORA)
Verantwortung & Durchführung
-
Verantwortlich: Informationssicherheitsbeauftragter & Stellvertreter
-
Unterstützung: Mitarbeiter des S+P Compliance Teams im Auftrag des ISB
Ziel der Kontrolle
-
Sicherstellung der Informationssicherheit & DORA-Konformität
-
Unabhängige Überwachung von IT-Sicherheit und IKT-Risikomanagement
-
Schutz von Vertraulichkeit, Integrität und Verfügbarkeit
Ablauf & Dokumentation
-
Grundlage: SLA & genehmigter Kontrollplan
-
Tätigkeiten: IT-Sicherheitsprotokolle prüfen, Infrastruktur-Monitoring, Berichte erstellen
-
Reporting: Abweichungen an die Geschäftsleitung, Integration in jährlichen Managementbericht Informationssicherheit & IKT-Risiken
Prozessintegration
-
Alle relevanten IT-Sicherheitsprozesse (Systeme, Netzwerke, Anwendungen)
-
Besonders kritisch: Verarbeitung sensibler Daten, Notfall- & BCM-Konzepte (oft basierend auf einer
Business Impact Analyse (BIA) als Grundlage für DORA -
Schnittstelle zur
Auslagerung von IT-Dienstleistungen (BAIT & KAIT)
Frequenz
-
Regelmäßig: quartalsweise Kontrollen
-
Anlassbezogen: bei Incidents oder Systemänderungen
-
Berichte: Präsentation der Ergebnisse an Geschäftsleitung & Management
DORA-Compliance Anforderungen im Überblick
-
Betroffene: Finanzunternehmen, Zahlungsdienstleister, IT- und Cloud-Provider
-
Kernpflichten: Governance, Incident-Reporting, Resilienz-Tests, Cyber-Sicherheit
-
Sanktionen: Geldstrafen & aufsichtsrechtliche Maßnahmen bei Nichteinhaltung
Cyber-Resilienz & Sensibilisierung
-
Schulungen & Awareness: Mitarbeiter für Cyberrisiken sensibilisieren
-
Praktische Maßnahmen: Tests, Szenarien, Notfallübungen
-
Verknüpfung mit BCM: RTO/RPO (siehe
Business Impact Analyse (BIA)
Outsourcing & Unterstützung durch S+P
Mit unserem
Sie profitieren von praxisnahen Methoden, laufendem Monitoring und einer prüfungsfesten Umsetzung nach DORA – als Teil der umfassenden Lösungen von
FAQ: DORA & Informationssicherheitsbeauftragter
-
Wer benötigt einen Informationssicherheitsbeauftragten nach DORA?
Alle Finanzinstitute, Zahlungsdienstleister und kritische IT-/Cloud-Dienstleister müssen eine unabhängige IKT-Risikokontrollfunktion etablieren – in Form eines Informationssicherheitsbeauftragten.
-
Wie unterscheidet sich der ISB vom CISO oder Datenschutzbeauftragten?
Der ISB überwacht unabhängig die Informationssicherheit und das IKT-Risikomanagement. Der CISO verantwortet die operative Umsetzung, der Datenschutzbeauftragte fokussiert sich auf DSGVO-Compliance.
-
Welche Aufgaben umfasst die IKT-Risikokontrollfunktion?
Dazu gehören Risikoanalysen, Überprüfung von Sicherheitsmaßnahmen, Monitoring von Systemen und Prozessen sowie regelmäßige Berichte an die Geschäftsleitung.
-
Wie häufig muss die Kontrolle erfolgen?
Mindestens vierteljährlich, ergänzt durch anlassbezogene Kontrollen bei Incidents oder Systemänderungen. Die Ergebnisse fließen in Managementberichte und Reviews ein.
-
Kann die Funktion des Informationssicherheitsbeauftragten ausgelagert werden?
Ja. S+P übernimmt die Rolle als externer Informationssicherheitsbeauftragter mit IKT-Risikokontrollfunktion – inklusive SLA, Kontrollplan, Risikoanalysen und Reporting.
Vertiefende Inhalte zu DORA & Informationssicherheitsbeauftragter
Entdecken Sie unsere wichtigsten Themenseiten rund um DORA, IKT-Risiken und die Rolle des Informationssicherheitsbeauftragten:
- Informationssicherheitsbeauftragter nach DORA (Art. 6 Abs. 4)
- IKT-Risikomanagement nach DORA
- DORA-Compliance Anforderungen (Überblick)
- Cyber-Resilienz & Sensibilisierung der Mitarbeiter
- Outsourcing Informationssicherheitsbeauftragter