DORA & Informationssicherheits-beauftragter – IKT-Risikokontrollfunktion im Fokus

Mit dem Digital Operational Resilience Act (DORA) schafft die EU einen neuen Rahmen für digitale operationelle Widerstandsfähigkeit. Eine Kernanforderung ist die Einrichtung eines Informationssicherheitsbeauftragten mit einer unabhängigen IKT-Risikokontrollfunktion (Art. 6 Abs. 4 DORA).
Ziel ist es, Cyber- und IT-Risiken wirksam zu überwachen, die Einhaltung von Sicherheitsstandards zu garantieren und Prüfungsfestigkeit gegenüber der Aufsicht herzustellen.

Typische Herausforderungen – und wie Sie sie meistern

Herausforderung	Risiko	Praxislösung
Unklare Rollen & Abgrenzungen	Überschneidungen zwischen ISB, CISO & Datenschutz	Klare Governance, RACI-Modelle und definierte Schnittstellen
Steigende Komplexität	Unkontrollierbare Lieferketten & Cloud-Risiken	IKT-Risikokontrollfunktion mit standardisierten Risikoanalysen
Dokumentationslast	Prüfungsfeststellungen, fehlende Nachweise	SLA-basierter Kontrollplan, revisionssichere Dokumentation
Aufsichtsdruck	Sanktionen bei Verstößen gegen DORA	Regelmäßige Berichte an Geschäftsleitung & Managementreport ISB

Informationssicherheitsbeauftragter mit IKT-Risikokontrollfunktion (Art. 6 Abs. 4 DORA)

Verantwortung & Durchführung

Verantwortlich: Informationssicherheitsbeauftragter & Stellvertreter
Unterstützung: Mitarbeiter des S+P Compliance Teams im Auftrag des ISB

Ziel der Kontrolle

Sicherstellung der Informationssicherheit & DORA-Konformität
Unabhängige Überwachung von IT-Sicherheit und IKT-Risikomanagement
Schutz von Vertraulichkeit, Integrität und Verfügbarkeit

Ablauf & Dokumentation

Grundlage: SLA & genehmigter Kontrollplan
Tätigkeiten: IT-Sicherheitsprotokolle prüfen, Infrastruktur-Monitoring, Berichte erstellen
Reporting: Abweichungen an die Geschäftsleitung, Integration in jährlichen Managementbericht Informationssicherheit & IKT-Risiken

Prozessintegration

Alle relevanten IT-Sicherheitsprozesse (Systeme, Netzwerke, Anwendungen)
Besonders kritisch: Verarbeitung sensibler Daten, Notfall- & BCM-Konzepte (oft basierend auf einer Business Impact Analyse (BIA) als Grundlage für DORA)
Schnittstelle zur Auslagerung von IT-Dienstleistungen (BAIT & KAIT)

Frequenz

Regelmäßig: quartalsweise Kontrollen
Anlassbezogen: bei Incidents oder Systemänderungen
Berichte: Präsentation der Ergebnisse an Geschäftsleitung & Management

DORA-Compliance Anforderungen im Überblick

Betroffene: Finanzunternehmen, Zahlungsdienstleister, IT- und Cloud-Provider
Kernpflichten: Governance, Incident-Reporting, Resilienz-Tests, Cyber-Sicherheit
Sanktionen: Geldstrafen & aufsichtsrechtliche Maßnahmen bei Nichteinhaltung

Cyber-Resilienz & Sensibilisierung

Schulungen & Awareness: Mitarbeiter für Cyberrisiken sensibilisieren
Praktische Maßnahmen: Tests, Szenarien, Notfallübungen
Verknüpfung mit BCM: RTO/RPO (siehe Business Impact Analyse (BIA)), Disaster-Recovery, Krisenmanagement

Outsourcing & Unterstützung durch S+P

Mit unserem S+P Service: Auslagerung Informationssicherheitsbeauftragter übernehmen wir die IKT-Risikokontrollfunktion vollständig oder unterstützen beim Aufbau Ihrer internen Organisation. Ähnliche Modelle bieten wir auch für andere Rollen an (siehe Case Study: Outsourcing des Compliance Officers und Case Study: Outsourcing des Geldwäschebeauftragten).

Sie profitieren von praxisnahen Methoden, laufendem Monitoring und einer prüfungsfesten Umsetzung nach DORA – als Teil der umfassenden Lösungen von S+P Compliance Services.

Zu unseren Outsourcing-Services

FAQ: DORA & Informationssicherheitsbeauftragter

Wer benötigt einen Informationssicherheitsbeauftragten nach DORA?

Alle Finanzinstitute, Zahlungsdienstleister und kritische IT-/Cloud-Dienstleister müssen eine unabhängige IKT-Risikokontrollfunktion etablieren – in Form eines Informationssicherheitsbeauftragten.
Wie unterscheidet sich der ISB vom CISO oder Datenschutzbeauftragten?

Der ISB überwacht unabhängig die Informationssicherheit und das IKT-Risikomanagement. Der CISO verantwortet die operative Umsetzung, der Datenschutzbeauftragte fokussiert sich auf DSGVO-Compliance.
Welche Aufgaben umfasst die IKT-Risikokontrollfunktion?

Dazu gehören Risikoanalysen, Überprüfung von Sicherheitsmaßnahmen, Monitoring von Systemen und Prozessen sowie regelmäßige Berichte an die Geschäftsleitung.
Wie häufig muss die Kontrolle erfolgen?

Mindestens vierteljährlich, ergänzt durch anlassbezogene Kontrollen bei Incidents oder Systemänderungen. Die Ergebnisse fließen in Managementberichte und Reviews ein.
Kann die Funktion des Informationssicherheitsbeauftragten ausgelagert werden?

Ja. S+P übernimmt die Rolle als externer Informationssicherheitsbeauftragter mit IKT-Risikokontrollfunktion – inklusive SLA, Kontrollplan, Risikoanalysen und Reporting.

Nächste Schritte

Unverbindliches Erstgespräch

S+P Outsourcing-Services

Schulungen & Zertifizierungen

Vertiefende Inhalte zu DORA & Informationssicherheitsbeauftragter

Entdecken Sie unsere wichtigsten Themenseiten rund um DORA, IKT-Risiken und die Rolle des Informationssicherheitsbeauftragten:

Zur Übersicht DORA & Informationssicherheitsbeauftragter

Weitere relevante Themen und ergänzende Pläne

Geschäftsfortführungsplan (BCP): Was ist ein Geschäftsfortführungsplan (BCP)?
DORA-Informationsregister: Das DORA-Informationsregister
DORA Insight – BCM-Verzahnung: BCM-Verzahnung zwischen Insourcer und Outsourcer optimieren
Prüfpflichten unter DORA: Prüfpflichten unter DORA
Business Impact Analyse (BIA): Was ist eine Business Impact Analyse (BIA)?