Contents
Was ist die DORA IKT-Risikokontrollfunktion?
Die IKT-Risikokontrollfunktion ist eine neue, eigenständige Kontrollinstanz, die gemäß Artikel 6 Absatz 4 der DORA-Verordnung (EU) 2022/2554 dafür zuständig ist, die Wirksamkeit des IKT-Risikomanagements in einem Finanzunternehmen überwachend zu begleiten.
Kernaufgaben laut DORA Art. 6 Abs. 4 DORA:
- Unabhängige Überwachung der IKT-Risikomanagement-Prozesse
- Überprüfung von IKT-Strategien, Richtlinien, Verfahren und Kontrollen
- Unterstützung der Geschäftsleitung durch kritische Analysen und Berichte
- Sicherstellung, dass IKT-Risiken im Gesamtrisikomanagement angemessen berücksichtigt werden
Abgrenzung: DORA IKT-Risikokontrollfunktion vs. XAIT Informationssicherheitsbeauftragter (ISB)
| Kriterium | IKT-Risikokontrollfunktion (DORA) | Informationssicherheitsbeauftragter (ISB, nach BAIT/VAIT/ZAIT) |
|---|---|---|
| Regulatorischer Rahmen | Art. 6 Abs. 4 DORA | XAIT (BAIT, VAIT, KAIT, ZAIT) |
| Fokus | Gesamtes IKT-Risikomanagement | Informationssicherheit |
| Rolle im 3-Lines-of-Defense-Modell | 2. LoD | 2. LoD |
| Organisatorische Unabhängigkeit | Erforderlich | Erforderlich |
| Outsourcing erlaubt? | Ja, explizit möglich (Art. 6 Abs. 10 DORA) | Ja, unter Bedingungen (nach XAIT) |
Fazit: Die IKT-Risikokontrollfunktion ist nicht identisch mit dem ISB, aber es bestehen thematische Überschneidungen – insbesondere bei der Bewertung von IKT-Bedrohungen, dem Monitoring von Sicherheitsvorfällen und der Prüfung von Schutzmaßnahmen. Organisationen können hier Synergien nutzen, z. B. durch abgestimmte Reports oder gemeinsame Risikoanalysen.
Was bedeutet das für die Praxis?
- Unternehmen müssen klar definieren, wer die IKT-Risikokontrollfunktion übernimmt – intern oder durch geeignete externe Dienstleister.
- In kleinen Instituten kann eine Doppelrolle mit dem ISB vertretbar sein, wenn Interessenkonflikte ausgeschlossen sind.
- Es sollten Rollenprofile, Berichtslinien und Kontrollpläne formal festgelegt und dokumentiert werden.
- Die IKT-Risikokontrollfunktion muss über ausreichende Fachkenntnisse, methodische Kompetenz und Zugang zur Geschäftsleitung verfügen.