IKT-Risikomanagement

Überblick

Ganzheitlicher Ansatz für IKT-Risikomanagement als steuerbares Rahmenwerk.

Management-Zusammenfassung

DORA Kapitel II (Art. 5–8) verlangt ein durchgängiges IKT-Risikomanagement mit Governance, Identifikation, Bewertung, Behandlung, Monitoring und kontinuierlicher Verbesserung.
Das Leitungsorgan trägt die Gesamtverantwortung und muss Strategie, Risikoappetit und Budget für IKT-Resilienz genehmigen.
Finanzinstitute müssen Risiken systematisch inventarisieren, Schutzbedarfe feststellen, Kontrollen etablieren und Nachweise führen.
Die Anforderungen sind mit MaRisk (AT 4.3) und ISO/IEC 27001:2022 (Kapitel 5–10) abzustimmen, um Doppelarbeiten zu vermeiden.

Regulatorischer Rahmen

DORA Art. 5 legt die Pflicht zum IKT-Risikomanagement fest. Art. 6 adressiert Governance, Art. 7 die Identifikation und Bewertung von IKT-Risiken, Art. 8 die Behandlung, Überwachung und Berichterstattung. Die DORA-Anforderungen greifen auf Ebene des Leitungsorgans, der Risikosteuerung und des operativen IT-Betriebs.

Art. 5 — Pflicht zum IKT-Risikomanagement

Verpflichtung zur Einrichtung eines durchgängigen IKT-Risikomanagements mit angemessenen Governance-Strukturen.

Art. 6 — Governance

Verantwortung des Leitungsorgans, IKT-Risikostrategie, Risikoappetit und Eskalationsmechanismen.

Art. 7–8 — Identifikation, Bewertung, Behandlung

Systematische Risikoanalyse, Schutzbedarfsfeststellung, Kontrollen und Monitoring.

Sechs Handlungsfelder

Das IKT-Risikomanagement nach DORA gliedert sich in sechs miteinander verzahnte Handlungsfelder. Jedes Feld hat definierte Zielbilder, Nachweise und Review-Zyklen.

Governance

Rahmenwerk, Rollen, Strategie, Risikoappetit, Eskalation. Art. 6 DORA; AT 4.3 MaRisk.

Risikoidentifikation

Risikoinventar, Schutzbedarf, kritische Dienstleistungen. Art. 7 DORA; ISO A.5.7–A.5.10.

Risikoanalyse

Bewertung, Priorisierung, Risikomatrix, Szenarioanalyse. Art. 7 DORA; ISO A.5.8.

Risikobehandlung

Massnahmen, Akzeptanz, Restrisiken, Kontrollen. Art. 8 DORA; ISO A.5.29, A.8.3.

Kontrollsystem

Kontrollziele, Wirksamkeitsprüfung, Nachweise. Art. 8 DORA; ISO A.5.35–A.5.37.

Monitoring & Reporting

Frühwarnung, Management-Reporting, Eskalation. Art. 8 DORA; ISO A.5.35–A.5.36.

Abgrenzung zu MaRisk und ISO 27001

DORA, MaRisk und ISO 27001 decken ähnliche Themen ab, unterscheiden sich aber in Regulierungstiefe und Fokus.

DORA

Europäische Verordnung, verbindlich für Finanzinstitute. Detaillierte IKT-Risikomanagement-Anforderungen, Meldepflichten, Drittparteiensteuerung, Tests.

MaRisk (AT 4.3)

BaFin-Rundschreiben, nationaler Rahmen. Adressiert IT-Risiken im Kontext der allgemeinen Risikosteuerung. DORA setzt MaRisk fort und spezifiziert.

ISO/IEC 27001:2022

Internationaler Standard für ISMS. Liefert Kontrollziele und Methoden, die die operative Umsetzung von DORA und MaRisk unterstützen.

Praxis-Tipp

Institute mit ISO 27001-Zertifizierung haben bereits 70–80 % der DORA-Anforderungen abgedeckt. Fokus auf DORA-Spezifika: Meldereihenfolge, Drittparteientiefe, TLPT, CTPP-Oversight.

Hinweis

Diese Übersicht ersetzt keine Rechtsberatung und keine verbindliche aufsichtsrechtliche Einzelfallauslegung. Die Inhalte sind als eigenständig formulierte Umsetzungshilfe zu verstehen.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

EUR-Lex: DORA (EU) 2022/2554 Art. 5–8 Stand: 2022-12-14
BaFin: DORA — IKT-Risikomanagement Stand: Abruf 2026-05-13
BaFin: MaRisk (AT 4.3 IT-Risiken) Stand: Abruf 2026-05-13

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.