Informationssicherheits-beauftragter nach DORA (Art. 6 Abs. 4)

Mit dem Digital Operational Resilience Act (DORA) wird die Einrichtung eines unabhängigen Informationssicherheitsbeauftragten (ISB) zur Pflicht. Nach Art. 6 Abs. 4 übernimmt der ISB die Rolle der IKT-Risikokontrollfunktion und überwacht die Einhaltung von Sicherheitsrichtlinien und Standards.

Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen zu gewährleisten – unabhängig von der operativen IT. Dies trägt maßgeblich zur Cyber-Resilienz des Unternehmens bei.

nformationssicherheits-beauftragter nach DORA

Typische Herausforderungen – und wie Sie sie meistern

Herausforderung	Risiko	Praxislösung
Unklare Abgrenzung zu CISO & Datenschutz	Überschneidungen, Verantwortungsdiffusion	Klare Rollenbeschreibung und Schnittstellen-Definition
Mangelnde Unabhängigkeit	Interessenkonflikte mit operativer IT	Verankerung des ISB in der 2nd Line of Defence
Fehlende Nachweise	Prüfungsfeststellungen durch Aufsicht	Kontrollpläne, SLA-basierte Dokumentation, Reporting
Aufsichtsdruck	Sanktionen bei Nichteinhaltung von DORA	Quartalsweise & anlassbezogene Kontrollen mit Managementbericht

Aufgaben & Abgrenzung zu CISO & Datenschutz

Informationssicherheitsbeauftragter (ISB): Unabhängige Überwachung von Informationssicherheit und IKT-Risikomanagement nach DORA.
CISO: Operative Umsetzung von Sicherheitsmaßnahmen (Firewalls, Incident Handling, Patch-Management).
Datenschutzbeauftragter (DSB): Sicherstellung der DSGVO-Compliance und Überwachung personenbezogener Daten.

Fazit: Der ISB nach DORA agiert als neutrale Kontrollinstanz, während CISO & DSB jeweils operative bzw. datenschutzrechtliche Verantwortung tragen.

IKT-Risikokontrollfunktion im Unternehmen

Die IKT-Risikokontrollfunktion stellt sicher, dass Informationssicherheit nicht nur operativ umgesetzt, sondern auch unabhängig überwacht wird. Damit werden Risiken frühzeitig erkannt (oft basierend auf einer Business Impact Analyse (BIA) als Grundlage für DORA), Kontrollen dokumentiert und Prüfungsanforderungen der Aufsicht erfüllt.

Überwachung von IT-Systemen, Netzwerken & Anwendungen
Kontrolle kritischer Bereiche mit sensiblen Daten
Prüfung von Sicherheitsmaßnahmen & Notfallplänen
Begleitung von Audits und aufsichtsrechtlichen Prüfungen
Überwachung im Kontext von DORA & das Auslagerungsmanagement (IKT-Drittanbieter)

Reportingpflichten an die Geschäftsleitung

Regelmäßig: Quartalsweise Kontrollberichte mit Ergebnissen & Maßnahmen
Anlassbezogen: Sofort-Reporting bei Sicherheitsvorfällen oder Systemänderungen
Jährlich: Integration der Ergebnisse in den Managementbericht „Informationssicherheit & IKT-Risiken“

Nutzen für Unternehmen

Die Einrichtung eines Informationssicherheitsbeauftragten nach DORA bringt nicht nur regulatorische Erfüllung im Rahmen der DORA-Compliance Anforderungen (Überblick), sondern auch konkreten Mehrwert für Ihr Unternehmen. Durch eine unabhängige Überwachung entstehen Transparenz, bessere Steuerungsmöglichkeiten und ein höheres Vertrauen bei Kunden und Aufsicht.

Prüfungsfestigkeit: Nachweise und Kontrollen sind jederzeit dokumentiert und abrufbar.
Transparenz: Risiken werden früh erkannt und an die Geschäftsleitung kommuniziert.
Effizienz: Klare Rollen und Abgrenzungen vermeiden Doppelarbeit und Interessenkonflikte.
Vertrauen: Externe Partner, Kunden und Aufsichtsbehörden sehen ein starkes Kontrollumfeld.

Outsourcing & Unterstützung durch S+P

Mit unserem Outsourcing-Service Informationssicherheitsbeauftragter übernehmen wir die IKT-Risikokontrollfunktion vollständig oder unterstützen beim Aufbau Ihrer internen ISB-Struktur.

Sie profitieren von praxisnahen Methoden, SLA-basierten Kontrollen und einer prüfungsfesten Umsetzung nach DORA. Eine Übersicht zu DORA & Informationssicherheitsbeauftragter finden Sie hier.

Zu unseren Outsourcing-Services

FAQ

Was schreibt DORA für den Informationssicherheitsbeauftragten vor?

DORA verlangt die Einrichtung einer unabhängigen IKT-Risikokontrollfunktion in Form eines Informationssicherheitsbeauftragten (Art. 6 Abs. 4). Dieser überwacht die Informationssicherheit unabhängig von der operativen IT.
Worin unterscheidet sich der ISB vom CISO?

Der ISB kontrolliert unabhängig die Wirksamkeit von Sicherheitsmaßnahmen und berichtet direkt an die Geschäftsleitung. Der CISO verantwortet deren operative Umsetzung in der IT.
Welche Aufgaben fallen unter die IKT-Risikokontrollfunktion?

Dazu gehören die Überwachung von IT-Systemen, die Prüfung kritischer Bereiche, die Kontrolle von Notfallplänen sowie die Begleitung von Audits und Prüfungen.
Wie häufig muss das Reporting erfolgen?

Regelmäßig quartalsweise, zusätzlich anlassbezogen bei Vorfällen oder Änderungen, sowie jährlich im Managementbericht Informationssicherheit & IKT-Risiken.
Kann die ISB-Funktion ausgelagert werden?

Ja, S+P bietet die Übernahme der Rolle als externer Informationssicherheitsbeauftragter mit SLA, Kontrollplänen und prüfungsfester Dokumentation.

Nächste Schritte

Unverbindliches Erstgespräch

S+P Outsourcing-Services

Schulungen & Zertifizierungen

Vertiefende Inhalte zu DORA & Informationssicherheitsbeauftragter

Entdecken Sie unsere wichtigsten Themenseiten rund um DORA, IKT-Risiken und die Rolle des Informationssicherheitsbeauftragten:

Zur Übersicht DORA & Informationssicherheitsbeauftragter