Marcus Michel, Vorstand FCH AG
Die digitale Resilienz von Finanzunternehmen steht im Zentrum des europäischen Digital Operational Resilience Act (DORA), der ab dem 17. Januar 2025 verbindlich anzuwenden ist. Während viele Unternehmen aktuell an technischen Sicherheitsvorkehrungen arbeiten, rückt ein Aspekt zunehmend in den Mittelpunkt regulatorischer Aufmerksamkeit: die Fachkunde des Managementgremiums in Bezug auf Informations- und Kommunikationstechnologie (IKT)-Risiken.
Verantwortung beginnt an der Spitze
Artikel 5 der DORA-Verordnung verpflichtet ausdrücklich das Managementgremium, die digitale operationale Resilienz nicht nur strategisch zu überwachen, sondern aktiv zu gestalten. Dabei geht es nicht allein um das Absegnen von Richtlinien oder die Bestellung von Experten. Vielmehr müssen die Mitglieder des Managementgremiums nachweislich über ein angemessenes Verständnis der IKT-Risikolandschaft verfügen – und dieses Wissen kontinuierlich aktualisieren.
Diese neue Verantwortung bedeutet einen Kulturwandel. Während Cyber- und IT-Risiken in der Vergangenheit oft als technisches Thema betrachtet wurden, verlangt DORA nun, dass sich Vorstände, Geschäftsführer und Schlüsselfunktionen aktiv und fundiert mit diesen Risiken auseinandersetzen. Denn nur ein informierter Vorstand kann angemessene Entscheidungen treffen, Risiken realistisch bewerten und auf Vorfälle adäquat reagieren.
Was genau fordert DORA?
Die Verordnung verpflichtet das Managementgremium zu Folgendem:
- Überwachung und Kontrolle des IKT-Risikomanagement-Rahmens,
- Zuweisung klarer Rollen und Verantwortlichkeiten für IKT-bezogene Funktionen,
- Regelmäßige Schulungen und Weiterbildungen, um Fachkenntnisse auf dem neuesten Stand zu halten,
- Förderung einer organisationsweiten Sicherheitskultur, die auch auf strategischer Ebene gelebt wird.
Die Fachkunde muss dabei nicht nur intern nachgewiesen werden – auch die Aufsichtsbehörden werden künftig ein Augenmerk darauf legen, ob das Management angemessen qualifiziert ist und DORA-konform handelt.
Qualifikation ist keine Einmalmaßnahme
Wissen zu IKT-Risiken ist keine statische Kompetenz. Technologische Entwicklungen, neue Angriffsvektoren und regulatorische Änderungen machen kontinuierliches Lernen notwendig. Für Managementmitglieder bedeutet das: Teilnahme an gezielten Schulungen, Verständnis der eigenen Systemarchitektur, kritisches Hinterfragen von Risikoanalysen – und letztlich die Fähigkeit, auch unter Druck fundierte Entscheidungen zu treffen.
Es geht nicht darum, tiefes technisches Know-how zu erwerben, sondern um ein übergreifendes Risikoverständnis und die Fähigkeit, Informationen richtig einzuordnen. Dieses strategische IT-Verständnis wird künftig ein zentrales Element guter Unternehmensführung im Finanzsektor sein.
Praxistipps für Managementgremien
- IKT-Schulungen in den Vorstandskalender integrieren
Planen Sie regelmäßige Schulungseinheiten – mindestens halbjährlich – zu aktuellen IKT-Bedrohungen, regulatorischen Neuerungen und Lessons Learned aus Sicherheitsvorfällen. - IKT-Risiken in strategische Entscheidungen einbeziehen
Stellen Sie sicher, dass bei allen wesentlichen Entscheidungen (z. B. Outsourcing, Systemwechsel, neue Produkte) eine IKT-Risikoanalyse vorliegt und berücksichtigt wird. - Interdisziplinäre Workshops veranstalten
Fördern Sie den Austausch zwischen Management, IT und Compliance, um gegenseitiges Verständnis zu stärken und Risiken ganzheitlich zu bewerten. - Transparenz über eigene Wissensstände schaffen (Fit & Proper)
Führen Sie interne Kompetenzanalysen durch und definieren Sie individuelle Entwicklungsziele für die Mitglieder des Gremiums in Bezug auf IKT-Risiken.
Beitragsnummer: 22957