Compliance-Lexikon · DORA
DORA Governance
auch: DORA-Leitungsorganverantwortung
DORA Governance bezeichnet die in Art. 5 DORA verankerte Anforderung, dass das Leitungsorgan eines Finanzunternehmens die direkte Verantwortung fuer das IKT-Risikomanagement traegt - einschliesslich Genehmigung des Risikorahmens, regelmaessiger Schulung und aktiver Ueberwachung der Umsetzung.
Warum DORA-Governance ueber klassisches IT-Reporting hinausgeht
DORA verlangt nicht nur, dass das Leitungsorgan informiert wird - es verlangt aktive Verantwortungsuebernahme. Vorstands- und Aufsichtsratsmitglieder muessen den IKT-Risikomanagement-Rahmen selbst genehmigen, regelmaessig Schulungen zu IKT-Risiken absolvieren und die Wirksamkeit des Rahmens ueberwachen. Diese Anforderung ist deutlich konkreter als allgemeine Corporate-Governance-Prinzipien.
Wo DORA-Governance gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 5 | Governance und Organisation: Direkte Verantwortung des Leitungsorgans fuer IKT-Risikomanagement. |
| DORA | Art. 5 Abs. 4 | Pflichtschulungen: Leitungsorganmitglieder muessen ausreichende IKT-Risikokenntnisse nachweisen. |
| DORA | Art. 6 | IKT-Risikomanagement-Rahmen: Genehmigung durch das Leitungsorgan als Pflichtanforderung. |
| EBA/ESMA/EIOPA | RTS Art. 5 | Technische Regulierungsstandards konkretisieren die Governance-Anforderungen. |
| BaFin MaRisk | AT 3 | Vergleichbare Anforderungen an die Geschaeftsleitung im deutschen Aufsichtsrecht. |
BAM-Objektreferenz
Haeufige Fehler
- IKT-Risikomanagement-Rahmen nur von der IT-Abteilung erstellt, nicht vom Leitungsorgan genehmigt
- Keine dokumentierten Schulungsnachweise fuer Leitungsorganmitglieder
- Leitungsorgan-Sitzungsprotokolle enthalten keine IKT-Risikothemen
- Verantwortlichkeiten zwischen Vorstand, Aufsichtsrat und CISO unklar abgegrenzt
Konkrete Governance-Anforderungen
Das Leitungsorgan muss den IKT-Risikomanagement-Rahmen formal genehmigen, regelmaessig (mindestens jaehrlich) ueber die IKT-Risikolage informiert werden, ausreichende Ressourcen fuer das IKT-Risikomanagement bereitstellen und sicherstellen, dass IKT-Risiken in die Gesamtrisikostrategie integriert sind. Pflichtschulungen fuer Leitungsorganmitglieder muessen dokumentiert und regelmaessig aufgefrischt werden.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DORA-Bereitschaft.