DORA Interne Revisionsfunktion

Was ist die DORA Interne Revisionsfunktion?

Im Rahmen der Digital Operational Resilience Act (DORA) nimmt die Interne Revisionsfunktion eine zentrale Rolle in der unabhängigen Überprüfung des IKT-Risikomanagements ein. Ihre Aufgaben sind nicht optional, sondern durch mehrere Artikel der Verordnung klar geregelt – insbesondere durch Artikel 6 Abs. 6, Artikel 6 Abs. 7, Artikel 5 Abs. 2 lit. f) und Artikel 11 Abs. 3 DORA.

Rechtsgrundlage: Art. 6 Abs. 6 DORA

„[…] ist der IKT-Risikomanagementrahmen […] regelmäßig einer internen Revision durch Revisoren zu unterziehen […]. Diese Revisoren verfügen über ausreichendes Wissen […] im Bereich IKT-Risiken sowie über eine angemessene Unabhängigkeit.“

Finanzunternehmen (ausgenommen Kleinstunternehmen) sind verpflichtet, ihre IKT-Risikomanagementsysteme regelmäßig durch interne Revisoren prüfen zu lassen, die sowohl fachlich qualifiziert als auch organisatorisch unabhängig sein müssen. Der Umfang und die Häufigkeit der Revisionen müssen risikoorientiert erfolgen.

Kernaufgaben der DORA Internen Revisionsfunktion

  1. Prüfung des IKT-Risikomanagementrahmens
    • Kontrolliert Prozesse, Verfahren und Strategien nach Art. 6 Abs. 1 DORA
    • Überwacht die Wirksamkeit der IKT-Kontrollen und Berichtslinien
  2. Revision der IKT-Reaktions- und Wiederherstellungspläne (Art. 11 Abs. 3)
    • Prüft die Eignung der Notfall- und Incident-Response-Pläne
    • Bewertet Testverfahren, Eskalationspfade und Kommunikationsprozesse
  3. Follow-up-Prozess überwachen (Art. 6 Abs. 7)
    • Erkenntnisse aus der Revision müssen formal nachverfolgt werden
    • Revisoren prüfen die Umsetzung und Nachhaltigkeit von Maßnahmen
  4. Bericht an das Leitungsorgan (Art. 5 Abs. 2 lit. f)
    • Das Leitungsorgan trägt Verantwortung für Genehmigung und Überprüfung der IKT-Revisionen
    • Die Revisionsfunktion versorgt das Management mit prüfbaren Erkenntnissen und Umsetzungsständen

Abgrenzung

FunktionZweck / Fokus
IKT-RisikokontrollfunktionÜberwachung & Analyse des IKT-Risikos (2. Linie)
Interne RevisionPrüfung der Wirksamkeit aller IKT-Kontrollen (3. Linie)

Die Interne Revision ist Teil der dritten Verteidigungslinie und muss unabhängig von den operativen Funktionen und Kontrollfunktionen agieren.

Praxisempfehlungen zur Umsetzung

  • Qualifikation prüfen: Revisoren benötigen nachweislich IKT-Fachkenntnisse (z. B. DORA, ISO 27001, IT-Prozesse)
  • Revisionsplan anpassen: IKT-spezifische Prüfobjekte einfügen (z. B. Incident Management, Logging, BCM)
  • Dokumentation strukturieren:
    • Prüfplan
    • Revisionsberichte
    • Maßnahmenverfolgung (Follow-up)
    • Board Reporting
  • Tool-Unterstützung nutzen: Revisionssoftware oder strukturierte Excel-Tracker zur Maßnahmenverfolgung
  • Interdisziplinäre Zusammenarbeit fördern: z. B. gemeinsame Workshops mit CISO, ISB, IKT-Risikomanager

Beispielhafte Prüfobjekte der DORA Internen Revisionsfunktion

  • Wirksamkeit des IKT-Risikomanagementsystems (Art. 6)
  • Notfallmanagement & Wiederanlaufverfahren (Art. 11)
  • Incident Detection & Reporting (Art. 15–17)
  • Outsourcing & Drittanbietersteuerung (Art. 28–30)
  • Tests zur digitalen operationellen Resilienz (Art. 24)