Contents
Programme zur Sensibilisierung für IKT-Sicherheit (Art. 13 Abs. 6 DORA i.V.m. Art. 5 Abs. 2 lit. g DORA)
Die Verordnung (EU) 2022/2554 – Digital Operational Resilience Act (DORA) – fordert Finanzunternehmen auf, verpflichtende und rollenbasierte Schulungsprogramme für IKT-Sicherheit und digitale Resilienz zu entwickeln:
| Vorschrift | Inhalt |
|---|---|
| Art. 13 Abs. 6 DORA | Verpflichtende Schulungsprogramme zur IKT-Sicherheit und digitalen operationalen Resilienz für alle Mitarbeitenden und das Leitungsorgan |
| Art. 5 Abs. 2 lit. g DORA | Das Leitungsorgan trägt die Verantwortung und muss für ausreichende Ressourcen (z. B. Budget, Inhalte, IT-Kompetenz) sorgen |
Anforderungen an die Schulungsprogramme
Die Programme müssen folgende Kriterien erfüllen:
1. Zielgruppe:
- Alle Mitarbeitenden
- Das Leitungsorgan (z. B. Vorstand, Geschäftsführung)
- IKT-Drittdienstleister, falls relevant (vgl. Art. 30 Abs. 2 lit. i DORA)
2. Inhaltliche Anforderungen:
| Bereich | Inhaltliche Schwerpunkte |
|---|---|
| IKT-Sicherheit | Grundlagen, Phishing, Passwortsicherheit, Umgang mit Daten, BYOD, Social Engineering |
| Digitale Resilienz | Rolle des Einzelnen bei Notfällen, Verständnis für IKT-Risiken, Meldepflichten, Notfallkommunikation |
| Rollenbezogene Vertiefung | Schulungen für IT, Compliance, Risk, Einkauf, Management – abgestimmt auf spezifische Aufgaben und Risiken |
3. Pflichtcharakter und Nachweis:
- Alle Schulungen müssen obligatorisch sein
- Durchführung, Bestehen (z. B. Quiz) und Auffrischung müssen dokumentiert und prüfbar sein
- Programme müssen regelmäßig aktualisiert und an neue Bedrohungslagen angepasst werden
Governance & Budgetpflicht des Leitungsorgans
Das Leitungsorgan trägt die volle Verantwortung für die Umsetzung:
| Aufgabe des Leitungsorgans | Konkretisierung |
|---|---|
| Definition und Freigabe | Genehmigung der Schulungsstrategie (z. B. Jahresplan, Pflichtmodule, Zertifizierung) |
| Ressourcenzuteilung | Budget für Lernplattformen, Inhalte, Trainer, Awareness-Kampagnen |
| Überwachung | Reports zu Teilnahmequoten, Wiederholungsraten, Kompetenzaufbau und Auditfähigkeit |
Best Practices für die Umsetzung
✅ Awareness-Programm strukturieren:
| Element | Beispiel |
|---|---|
| Kick-Off-Modul | „Was ist DORA?“ – Einführung für alle |
| Pflichtmodule | z. B. „IKT-Sicherheitsgrundlagen“, „Phishing erkennen“ |
| Rollenspezifische Inhalte | für IKT, Management, Einkauf, interne Revision |
| Interaktive Lernformate | E-Learning, simulierte Phishing-Mails, Escape Rooms |
| Wiederholung & Aktualisierung | z. B. jährlicher Pflichtrefresh + quartalsweise Microlearnings |