Contents
Schulungen zur digitalen operationalen Resilienz (Art. 13 Abs. 6 DORA i.V.m. Art. 5 Abs. 2 lit. g DORA)
Die DORA verpflichtet Finanzunternehmen, neben IKT-Sicherheitstrainings auch Schulungen zur digitalen operationalen Resilienz durchzuführen. Diese sind Teil des Pflichtprogramms für alle Beschäftigten – einschließlich der Geschäftsleitung und ggf. IKT-Drittdienstleister.
| Vorschrift | Inhalt |
|---|---|
| Art. 13 Abs. 6 DORA | Obligatorische Schulungen zur digitalen operationalen Resilienz und IKT-Sicherheit für Mitarbeitende und Führungskräfte |
| Art. 5 Abs. 2 lit. g DORA | Das Leitungsorgan ist verantwortlich für Budget, Umsetzung und Überprüfung der Schulungsmaßnahmen |
Was ist unter „digitaler operationaler Resilienz“ zu verstehen?
Digitale operationale Resilienz bedeutet die Fähigkeit eines Finanzunternehmens, trotz Cyberangriffen, Systemausfällen oder Drittparteienproblemen kritische Funktionen aufrechtzuerhalten, zu erkennen, zu reagieren und wiederherzustellen.
Anforderungen an die Schulungsprogramme
Zielgruppen:
- Alle Beschäftigten
- Geschäftsleitung (Board, Management)
- IKT-Drittdienstleister, sofern relevant (gem. Art. 30 Abs. 2 lit. i DORA)
Inhalte der Schulungen:
| Themenfeld | Inhalt |
|---|---|
| Resilienzverständnis | Was bedeutet digitale Resilienz für die Organisation, Mitarbeitende, Kunden und Regulatoren? |
| IKT-Risiken | Sensibilisierung für systemische Risiken, Drittparteienabhängigkeiten, Anomalieerkennung |
| Meldepflichten | Wer muss wann was melden – intern und an Aufsichtsbehörden (Art. 19 DORA)? |
| Rollen im Notfall | Was ist im Cyberkrisenfall zu tun? Welche Rolle spielt jede Funktion? |
| Recovery-Verhalten | Wiederanlaufpläne, Kommunikation, Eskalationsprozesse, Business Continuity |
Weitere Anforderungen:
- Pflicht für alle – kein freiwilliges Training
- Rollenspezifische Tiefe – z. B. Management vs. IT vs. Einkauf
- Regelmäßige Aktualisierung – auf Basis neuer Bedrohungslagen
- Nachweisführung – Teilnahme, Inhalte, Erfolg (z. B. Quiz), Wiederholungen
Rolle des Leitungsorgans
Das Leitungsorgan trägt die Verantwortung für:
| Aufgabe | Umsetzungspflicht |
|---|---|
| Definition & Freigabe | Schulungsstrategie, Verantwortliche, Inhalte |
| Ressourcen | Zuweisung von Budget, Personal, Lernplattformen |
| Monitoring | Überprüfung von Teilnahmequoten, Kompetenznachweisen, Auditberichten |
| Integration | Einbindung in den IKT-Risikomanagementrahmen (Art. 6 DORA) |
Best Practices für die Umsetzung
✅ Typische Schulungskomponenten:
| Modul | Zielgruppe | Format |
|---|---|---|
| Einführung in DORA & Resilienz | Alle Mitarbeitenden | Video, E-Learning |
| Rollen im Krisenfall | Management, Notfallteams | Workshop, Planspiel |
| Drittparteien-Resilienz | Einkauf, Auslagerungsmanagement | Webinar |
| Meldeprozesse bei Vorfällen | IT, Compliance, Risk | Schulungsunterlage + Quiz |
| Update-Trainings | Jährlich für alle | Microlearning (10 Min.) |