Anforderungen an die interne IKT-Revision

Anforderungen an die interne IKT-Revision nach DORA

Mit der Verordnung (EU) 2022/2554, bekannt als DORA (Digital Operational Resilience Act), hat die Europäische Union erstmals ein einheitliches Regelwerk geschaffen, das die digitale operationale Resilienz von Finanzunternehmen umfassend reguliert.
Ein zentrales Element dieses Regelwerks ist die interne IKT-Revision – sie stellt sicher, dass Governance-, Risiko- und Kontrollprozesse im Bereich der Informations- und Kommunikationstechnologie (IKT) effektiv, unabhängig und nachweisbar funktionieren.

1. Rechtlicher Rahmen und Zielsetzung

Die Anforderungen an die interne IKT-Revision leiten sich direkt aus mehreren Artikeln und Erwägungsgründen der DORA ab:

  • Erwägungsgrund (38): Größere Finanzunternehmen müssen ihren IKT-Risikomanagementrahmen regelmäßigen internen Revisionen unterziehen.
  • Erwägungsgrund (43): Kleinstunternehmen sind hiervon ausgenommen und können vereinfachte, risikobasierte Kontrollen durchführen.
  • Artikel 5 Abs. 2 Buchst. f: Das Leitungsorgan genehmigt und überprüft regelmäßig die IKT-Revisionspläne.
  • Artikel 6 Abs. 4–7: Verpflichtung zur funktionalen Trennung, regelmäßigen internen Revision und Nachverfolgung von Findings.
  • Artikel 11 Abs. 3: IKT-Reaktions- und Wiederherstellungspläne müssen einer unabhängigen internen Revision unterzogen werden.

Damit schafft DORA erstmals eine verbindliche europäische Prüfarchitektur für IT- und Cyber-Resilienz im Finanzsektor.

2. Governance und organisatorische Verantwortung

Die Verantwortung für die interne IKT-Revision liegt eindeutig beim Leitungsorgan.
Dieses muss:

  • die Revisionspläne genehmigen,
  • deren Durchführung überwachen,
  • und die Unabhängigkeit sowie ausreichende Ressourcen sicherstellen.

DORA fordert eine klare Trennung der Funktionen zwischen:

  1. operativem IKT-Management,
  2. Kontrollfunktionen (z. B. Compliance, Risk Control),
  3. interner Revision.

Dieses Prinzip des „Three Lines of Defence“ ist der zentrale Governance-Pfeiler für alle DORA-pflichtigen Unternehmen.

3. Regelmäßige und risikobasierte Prüfungen

Finanzunternehmen müssen ihren IKT-Risikomanagementrahmen regelmäßig und risikoorientiert prüfen.

Nach Artikel 6 Abs. 6 DORA gilt:

„Häufigkeit und Schwerpunkt von IKT-Revisionen sind den IKT-Risiken des Finanzunternehmens entsprechend angemessen.“

In der Praxis bedeutet das:

  • jährliche Überprüfungen der Kernsysteme,
  • engere Prüfzyklen bei kritischen Anwendungen,
  • Berücksichtigung von Outsourcing-Abhängigkeiten und Cyber-Vorfällen.

Die Ergebnisse sind zu dokumentieren und in die kontinuierliche Verbesserung des Rahmens einzubeziehen (Art. 6 Abs. 5 DORA).

4. Fachliche Anforderungen an IKT-Revisoren

DORA legt ausdrücklich fest, dass IKT-Revisoren über ausreichende Kenntnisse, Fähigkeiten und Fachkenntnisse im Bereich IKT-Risiken verfügen müssen.
Dazu zählen:

  • Wissen über Cybersecurity, IT-Governance, BCM und Incident-Management,
  • Verständnis für regulatorische Anforderungen (z. B. NIS2, ISO 27001, MaRisk AT 7.3),
  • Fähigkeit zur risikoorientierten Prüfungsplanung und Priorisierung.

Zudem verlangt DORA angemessene Unabhängigkeit, um Interessenkonflikte auszuschließen.

5. Prüfung von Reaktions- und Wiederherstellungsplänen

Nach Artikel 11 Abs. 3 DORA müssen alle IKT-Reaktions- und Wiederherstellungspläne einer unabhängigen internen Revision unterzogen werden.
Geprüft werden:

  • Aufbau, Vollständigkeit und Aktualität der Notfall- und Wiederanlaufpläne,
  • Schnittstellen zu Krisenmanagement und Business-Continuity-Management,
  • Dokumentation und Nachverfolgung von Lessons Learned.

So wird gewährleistet, dass Institute bei Cyberangriffen oder Systemausfällen tatsächlich resilient und handlungsfähig bleiben.

6. Follow-up und kontinuierliche Verbesserung

Gemäß Artikel 6 Abs. 7 DORA müssen Institute ein formelles Follow-up-Verfahren für Revisionsfeststellungen etablieren.

Dieses umfasst:

  • klare Verantwortlichkeiten,
  • Fristen und Eskalationswege,
  • regelmäßige Berichterstattung an das Management.

Die Ergebnisse fließen in den jährlichen Verbesserungsprozess des IKT-Risikomanagementrahmens ein – ein zentraler Mechanismus für nachweisbare Reife und Prüfungsfähigkeit.

7. Proportionalität und vereinfachte Anforderungen für Kleinstunternehmen

Gemäß Erwägungsgrund 43 DORA gelten für Kleinstunternehmen vereinfachte Regelungen:

  • keine Pflicht zur regelmäßigen internen IKT-Revision,
  • stattdessen risikobasierte Selbstbewertungen,
  • optionale Delegation von Audit-Rechten an unabhängige Dritte.

Damit bleibt der Aufwand verhältnismäßig, ohne die Sicherheits- und Resilienzpflichten vollständig aufzuheben.

8. IKT-Revision als Rückgrat der digitalen operationale Resilienz

Die DORA-Vorgaben heben die interne IKT-Revision auf eine neue regulatorische Ebene.
Sie ist nicht nur Kontrollinstanz, sondern strategisches Element der Unternehmensführung:

Governance → Kontrolle → IKT-Revision → Follow-up → Verbesserung.

Für Finanzunternehmen bedeutet das:

  • formalisierte Revisionspläne,
  • unabhängige Prüfer mit IKT-Kompetenz,
  • dokumentierte Ergebnisse und Nachverfolgung,
  • laufende Weiterentwicklung des IKT-Risikomanagements.

Wer diese Anforderungen erfüllt, erreicht nicht nur DORA-Compliance, sondern stärkt nachhaltig seine digitale operationale Resilienz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert