Wissensraum · Deep Dive 9 von 27
Was Management und Board tatsächlich verantworten
Was dieser Deep Dive Ihnen zeigt
Was Management und Board unter DORA tatsächlich verantworten – und warum Governance mehr als Delegation ist.
DORA verschiebt die Verantwortung für ICT-Risiken klar auf die Leitungs- und Überwachungsebene. ICT-Risiken sind damit kein reines IT- oder Security-Thema mehr, sondern Teil der unternehmerischen Steuerung.
Die EU geht davon aus, dass Management- und Board-Entscheidungen maßgeblichen Einfluss auf das ICT-Risikoprofil eines Unternehmens haben. Entsprechend verlangt DORA, dass Verantwortlichkeiten nicht nur benannt, sondern nachvollziehbar wahrgenommen und dokumentiert werden. Governance wird damit zu einem prüfbaren Entscheidungsprozess.
| Ebene | Wer | Verantwortlichkeiten |
|---|---|---|
| Strategische Ebene | Board / Geschäftsleitung | ICT-Strategie, Überwachung des Frameworks, Verständnis kritischer Prozesse, Genehmigung Third-Party-Konzepte |
| Operative Ebene | Management / Abteilungsleitungen | Umsetzung der Vorgaben, Steuerung von ICT-Risiken, Incident Management, Koordination |
| Technische Ebene | IT, Engineering, Security | Technische Kontrollen, Logging, Monitoring, Bereitstellung von Nachweisen |
Neu unter DORA Das Board muss nachweisen können, dass Entscheidungen auf einer informierten Grundlage getroffen wurden – nicht nur formal, sondern inhaltlich.
DORA stärkt ausdrücklich die Prüf- und Eingriffsrechte der Aufsicht. Künftig können unter anderem verlangt werden:
Sitzungs- und Entscheidungsprotokolle
Architektur- und Abhängigkeitsübersichten
Dokumentierte Entscheidungsgrundlagen
Data-Flow- und Schnittstellendokumentationen
Nachweise zur Bewertung und Akzeptanz von Risiken
Governance ist damit nicht mehr nur organisatorisch, sondern dokumentations- und beweisfähig auszugestalten.
Formale Genehmigungen ohne Verständnis der Architektur
Generische Risikoanalysen ohne Systembezug
Nicht nachvollziehbare Entscheidungswege
Fehlende Verbindung zwischen Governance-Strukturen und Technik
Unklare Verantwortlichkeiten („IT kümmert sich darum“)
Ausgangssituation
Ein Finanzdienstleister führt ein neues Kundensystem ein. Die Geschäftsleitung genehmigt das Projekt formal.
Was im Audit auffällt
Risikoanalyse passt nicht zur tatsächlichen Architektur
Third-Party-Abhängigkeiten wurden nicht bewertet
Incident-Ketten sind unvollständig
Veränderungen wurden nicht konsistent dokumentiert
Die Aufsicht fragt
Bitte zeigen Sie uns, wie das Management die Risiken verstanden und bewertet hat.
Das Kernproblem
Das Management hat das Projektbudget genehmigt – nicht aber die fachliche Governance.
Konsequenzen
Aufsichtsrechtliche Beanstandung
Umfangreiche Nachweis- und Dokumentationsauflagen
Projektstopp für mehrere Wochen
Reputationsschaden
Strukturiertes Management-Briefing vor Projektstart: Darstellung von Risiken, Architektur, Abhängigkeiten und Kontrollen.
Dokumentierte Entscheidungen: Genehmigungen auf Basis klarer, nachvollziehbarer Fakten.
Integration in laufende Governance-Prozesse: Regelmäßige Überprüfung durch Board oder Geschäftsleitung.
Nachvollziehbare Risikobewertung: Pro Prozess, pro System und pro Schnittstelle.
Praxis-Impuls
Unter DORA ist Governance kein Kontrollritual – sondern die Fähigkeit des Managements, Risiken zu verstehen, Entscheidungen zu begründen und Verantwortung nachweisbar wahrzunehmen. Formale Zustimmung reicht nicht mehr aus. Die Aufsicht fragt nicht, ob jemand zugestimmt hat – sondern ob derjenige verstanden hat, was er genehmigt hat.
Was bleibt
Governance ist nicht Compliance. DORA macht Governance-Strukturen, Entscheidungswege und Dokumentation zum expliziten Prüfgegenstand – weil regulatorische Verantwortung strategische Verantwortung ist.
Das Board ist nicht die IT. Unter DORA trägt die Geschäftsleitung unmittelbare Verantwortung für ICT-Risiken. Die klassische Delegation auf die IT-Abteilung wird regulatorisch nicht mehr akzeptiert.
Governance-Strukturen müssen dokumentierbar sein. Es reicht nicht, dass Governance «de facto» stattfindet. DORA verlangt nachweisbare Prozesse, Rollen und Audits – von oben bis zur operativen Ebene.
Governance schafft Vertrauen in Audits. Wer Governance strukturell verankert hat, reduziert Audit-Findings, erhöht die Nachvollziehbarkeit und schafft damit die Grundlage für Transaktionsfähigkeit.