Kontakt
  • News

DORA IKT-Kontrollfunktion als Managed Service

DORA rückt die IKT-Kontrollfunktion ins Zentrum 

Seit dem 17. Januar 2025 ist die Digital Operational Resilience Act (DORA) verbindlich umgesetzt – und damit auch die Anforderung einer eigenständigen IKT-Kontrollfunktion im Finanzsektor. Im Kern von DORA stehen Artikel 5–6 (IKT‑Risikomanagement) sowie Artikel 15 (Kontrollen) und Artikel 28–30 (Auslagerung, IKT‑Drittdienstleister).[1][2][3][4] 

Für Vorstand, CIO, CISO und CRO bedeutet das: 

  • Die IKT‑Risiken sind nicht länger ein reines IT‑Thema, sondern ein Geschäfts‑ und Governance‑Thema. 
  • Die bisherige Trennung von IT‑Betrieb, Informationssicherheit und internen Kontrollen reicht regulatorisch nicht mehr aus.[2][5] 

In der Praxis stehen viele Institute vor einem Dilemma: Anforderungen steigen, Personal ist knapp und die Unabhängigkeit der IKT‑Kontrollfunktion bleibt unklar. Genau hier kommt ein DORA‑konformer Managed Service für die IKT‑Kontrollfunktion ins Spiel – und Bexta als operativer Umsetzungspartner, der die Funktion rechtssicher und revisionssicher auslagern kann.[6][3] 

 

Was DORA bei der IKT-Kontrollfunktion verlangt 

DORA verankert die IKT‑Kontrollfunktion explizit im IKT‑Risikomanagementrahmen.[7][2] 

  1. Unabhängigkeit der IKT‑Kontrollfunktion (Art. 6 DORA)

DORA verlangt, dass Finanzunternehmen, die keine „Kleinstunternehmen“ sind, die Zuständigkeit für das Management und die Überwachung des IKT‑Risikos an eine kontrollweise Funktion übertragen.[6][2] 

  • Diese Funktion ist klar von den operativen IT‑Einheiten zu trennen, um Interessenkonflikte zu vermeiden. 
  • Die Unabhängigkeit muss auch in Konzernstrukturen gewährleistet sein – also nicht nur „organisatorisch“, sondern auch fachlich und hierarchisch.[2][6] 
  1. Permanente Überwachung und Wirksamkeitsnachweis

Die Kontrollfunktion ist nicht nur ein „Papiergefüge“, sondern eine betriebliche Stelle mit Daueraufgaben: 

  • Regelmäßige Überprüfung der IKT‑Risikomanagementprozesse (Art. 6 DORA).[7][2] 
  • Kontinuierliche Bewertung der Wirksamkeit der IKT‑Kontrollen (z.B. Richtlinien, Change‑, Patch‑ und Ausfall‑Prozesse).[3][8] 
  • Dokumentation der Wirksamkeitsprüfungen für Aufsicht und Prüfer (BaFin, EZB, Wirtschaftsprüfer).[9][10] 
  1. Governance‑Strukturen nach DORA (Art. 5–6, 15)

DORA erweitert den bestehenden Ansatz von Three‑Lines‑of‑Defence‑Modellen auf den IKT‑Bereich:[1][2] 

  • 1. Linie: Betrieb (IT, Infrastruktur, Cloud, Business‑Applikationen). 
  • 2. Linie: IKT‑Risiko‑ und Compliance‑Funktionen (inkl. DORA‑Governance). 
  • 3. Linie: Audit bzw. IKT‑Kontrollfunktion (Art. 15, 6 Abs. 4).[3][2] 

Dabei verlangt DORA, dass die IKT‑Kontrollfunktion über klare Ziele, Leistungsindikatoren und Risikokennzahlen verfügt, die regelmässig an das Management berichtet werden.[5][2] 

 

Die Realität in Finanzinstituten: Trennung von IT und Kontrolle bleibt schwach 

Studien und Aufsichtsmitteilungen zeigen ein klares Muster: 

  • BaFin‑Aufsichtsmitteilungen zur DORA‑Umsetzung im IKT‑Risikomanagement betonen, dass die Trennung zwischen Betrieb und Kontrolle in vielen Instituten noch unklar ist.[11][9] 
  • Beratungsstudien (z.B. KPMG, PwC) führen aus, dass gerade bei kleineren Instituten häufig ein und dieselbe Abteilung für IT‑Betrieb, Informationssicherheit und IKT‑Risiko‑Kontrolle zuständig ist – was DORA‑Konformität gefährdet.[12][5] 

Typische Probleme 

  • Fehlende formale Trennung: 
    IT‑Security‑Verantwortliche sind gleichzeitig für die Einrichtung von Controls und deren Prüfung, was die Unabhängigkeit der IKT‑Kontrollfunktion untergräbt.[11][6] 
  • Personalmangel im IT‑Risk‑ & Compliance‑Bereich: 
    Branchenanalysen zeigen, dass das Angebot an spezialisiertem IKT‑Risk‑ und Compliance‑Personal in Deutschland und der EU deutlich unter der Nachfrage liegt. Insbesondere im Bereich DORA‑Governance und Drittparteienrisikomanagement fehlen oft qualifizierte, langfristig verfügbare Kräfte.[13][12] 
  • Überlastete Compliance‑Abteilungen: 
    Bestehende Compliance‑Abteilungen werden zusätzlich mit DORA‑, MiFID‑II‑, ESG‑ und anderen Themen konfrontiert. Die IKT‑Kontrollfunktion degeneriert häufig zu einer „Zusatzfunktion“, nicht zu einer klar definierbaren, operativen Stelle.[12][5] 

Das Ergebnis: Viele Institute erfüllen die DORA‑Vorgaben in der Theorie, haben aber keine nachweisbare, unabhängige IKT‑Kontrollfunktion installiert – und damit ein klares Audit‑ und Aufsichtsrisiko. 

 

Daten & Studien: Fachkräftemangel, Audit‑Findings und Kosten 

Um die Dringlichkeit zu verstehen, helfen konkrete Kennzahlen und Benchmarks: 

  • Fachkräftemangel im IT‑Risk‑ & Compliance‑Bereich: 
    Eine Studie der Wirtschaftsprüfungsgesellschaften 2025 kommt zu dem Ergebnis, dass knapp 60% der Banken und Versicherungen Schwierigkeiten haben, qualifizierte Mitarbeitende für IKT‑Risiko‑ und Compliance‑Funktionen zu rekrutieren.[13][12] 
  • Audit‑Findings zu DORA‑Governance: 
    Prüfungen und Aufsichtsbesuche zeigen, dass bei über 40% der untersuchten Institute die Unabhängigkeit der IKT‑Kontrollfunktion, die Dokumentation der Wirksamkeitsprüfungen oder die Abgrenzung zu operativen IT‑Bereichen als kritische Mängel angezeigt werden.[5][12] 
  • Kosten durch Nicht‑Compliance und Nacharbeit: 
    Modellrechnungen schätzen, dass die Behebung von Governance‑Mängeln nach einem Audit (z.B. DORA‑Fehler, fehlende Wirksamkeitsnachweise) durchschnittlich 20–30% höhere personelle und Projekt‑Kosten verursacht als eine vorausschauende, strukturierte Einrichtung der IKT‑Kontrollfunktion.[14][12] 

Dazu kommen regulatorische und reputationsbezogene Risiken (Sanktionen, Aufsichtsauflagen, Vertrauensverlust), die sich schwer in Geld bemessen, aber für Banken und Versicherungen existenzrelevant sein können.[15][4] 

 

Warum die IKT‑Kontrollfunktion so kritisch ist 

Die IKT‑Kontrollfunktion nach DORA ist nicht nur ein technisches, sondern ein verantwortungspolitisches und haftungsrelevantes Element der Governance‑Architektur. 

  1. Verantwortung gegenüber BaFin, EZB und Prüfern
  • Die BaFin verlangt in ihrer Aufsichtsmitteilung zur Umsetzung von DORA klare Rollenverteilungen zwischen IT‑Betrieb, IKT‑Risikomanagement und IKT‑Kontrollfunktion.[9][11] 
  • EZB‑ und nationalen Aufsichtsbehörden können im Rahmen von DORA Inspektionen, Befragungen und Dokumentationsanforderungen stellen; fehlende oder inkonsistente Nachweise zur IKT‑Kontrollfunktion sind direkte Ansatzpunkte für Kritik und Maßnahmen.[4][15] 
  1. Haftungsrisiken für Management und Verwaltung
  • DORA verankert eine klare Verantwortung der Unternehmensleitung für die Einrichtung eines wirksamen IKT‑Risikomanagementrahmens.[2][7] 
  • Wenn die IKT‑Kontrollfunktion in der Praxis schwach oder nicht unabhängig ist, erhöht sich das Risiko, dass Vorstände und Geschäftsführer im Rahmen von Aufsichts‑ oder Haftungsverfahren als Verantwortungsträger in der Haftung stehen.[15][1] 
  1. Reputationsrisiken und Marktvertrauen
  • Öffentliche Aufsichtsmaßnahmen, Geldstrafen oder wiederholte Audit‑Mängel zu DORA‑Governance wirken sich direkt auf die Kredit‑ und Prämienkonditionen, Rating und Investorenvertrauen aus.[4][1] 
  • Die Rolle der IKT‑Kontrollfunktion als „Fels in der Brandung“ der digitalen Resilienz ist damit ein zentraler Bestandteil der Vertrauensarchitektur eines Instituts. 

 

Outsourcing als strategische Lösung: IKT‑Kontrollfunktion auslagern 

DORA regelt die Auslagerung von IKT‑Funktionen explizit in Artikel 28–30 und macht klar: Finanzunternehmen dürfen die IKT‑Kontrollfunktion auslagern, solange die Verantwortung beim Unternehmen selbst bleibt.[16][3] 

  1. Auslagerung ist erlaubt – und sinnvoll

DORA bestimmt, dass: 

  • Verträge mit IKT‑Dienstleistern klar rechtliche Rechte und Pflichten dokumentieren müssen.[17][15] 
  • Das Unternehmen uneingeschränkt für die Erfüllung der DORA‑Pflichten verantwortlich bleibt, auch wenn Teile der IKT‑Risiko‑Kontrolle an einen Drittanbieter ausgelagert sind.[16][3] 

Aus Sicht der Aufsicht wirkt die Auslagerung jedoch nicht als Verschleierung, wenn: 

  • der Service‑Provider unabhängig von operativen IT‑Lieferanten ist, 
  • die Verträge die DORA‑Mindestanforderungen abbilden, und 
  • die Wirksamkeit der Kontrollen regelmäßig geprüft und dokumentiert wird.[16][13] 
  1. Vorteileeines outsourced DORA‑Managed Service 

Ein DORA‑konformer Managed Service für die IKT‑Kontrollfunktion bietet: 

  • Unabhängigkeit: 
    Der Partner steht fachlich und organisch außerhalb der eigenen IT‑Betriebsstrukturen und kann damit einen objektiven, kontrollgerechten Spiegel bieten.[6][3] 
  • Skalierbarkeit: 
    Die angebotene Kapazität lässt sich an die Größe des Instituts und die Komplexität der IKT‑Landschaft anpassen – ohne permanente Neueinstellungen im eigenen Haus.[14][5] 
  • Fachexpertise: 
    Spezialisierte DORA‑Anbieter bringen tiefes Wissen zu Artikel 5–6, 15 und 28–30 sowie Erfahrung aus Aufsichts‑ und Prüfungssituationen mit.[3][2] 

 

Bexta GmbH als DORA‑konforme IKT‑Kontrollfunktion (Managed Service) 

Bexta GmbH positioniert sich nicht als klassische Beratung, sondern als operativer Partner, der die IKT‑Kontrollfunktion nach DORA als unabhängigen, revisionssicheren Managed Service betreibt.[3] 

IKT‑Kontrollfunktion als DORA‑konformer Managed Service 

DORA erlaubt, die IKT‑Kontrollfunktion im Rahmen der Verordnung auszulagern, solange das Finanzunternehmen die Verantwortung behält. Bexta versteht dieses Modell als logische Konsequenz aus:[6][3] 

  • steigender regulatorischer Komplexität, 
  • Engpässen im IKT‑Risk‑ und Compliance‑Personal, 
  • und der Notwendigkeit, eine klare Trennung zwischen Betrieb und Kontrolle herzustellen.[11][12] 

Die IKT‑Kontrollfunktion bei Bexta ist: 

  • Unabhängig: organisatorisch und fachlich getrennt von Ihren IT‑Betriebs‑ und Security‑Teams. 
  • Revisionssicher: Prozesse und Nachweise sind auf BaFin‑ und EZB‑Aufsichtsstandards ausgelegt. 
  • Auf Augenhöhe mit Aufsicht und Prüfern: Bexta arbeitet mit denselben regulatorischen Rahmenwerken wie BaFin, EBA und nationale Prüfer.[9][3] 

Leistungen im Überblick 

Als DORA‑konforme IKT‑Kontrollfunktion im Rahmen eines Managed Services übernimmt Bexta u. a.: 

  • Überwachung der DORA‑IKT‑Governance 
  • Regelmäßige Überprüfung, ob Ihre IKT‑Risikomanagementprozesse die DORA‑Anforderungen (Art. 5–6, 15) erfüllen.[2][3] 
  • Identifikation von Lücken in Politiken, Prozessen und Rollen. 
  • Kontrolle von Richtlinien und Prozessen 
  • Prüfung der Umsetzung von IKT‑Richtlinien (z.B. Change‑Management, Patch‑Management, Access‑Control, Backup‑Prozesse). 
  • Abgleich der Prozessdokumentation mit dem operativen IT‑Tagesgeschäft. 
  • Wirksamkeitsprüfungen der IKT‑Kontrollen 
  • Regelmäßige Stichprobenprüfungen (Testing) der Kontrollen. 
  • Quantifizierung von Risiko‑KPIs und Performance‑Indikatoren für das IKT‑Risikomanagement.[8][3] 
  • Unabhängige Risiko‑ & Incidentbewertung 
  • Begleitung und Bewertung von IKT‑Vorfällen im Rahmen der DORA‑Melderegeln.[18][4] 
  • Prüfung der Umsetzung von Maßnahmen nach Vorfallanalysen. 
  • Prüfungsbegleitung (BaFin, EZB, Wirtschaftsprüfer) 
  • Vorbereitung und Aufbereitung von Nachweisen, Prüfungsunterlagen und Reporting‑Dokumentation.[11][9] 
  • Direkte Mitwirkung bei Audits und Aufs 
     

 

 

  1. https://www.gleisslutz.com/de/know-how/dora-umfangreiche-compliance-pflichten-fuer-unternehmen-aus-dem-finanzsektor-beim-umgang-mit-ikt-risiken     
  1. https://nis2-umsetzung.com/dora-vo/artikel-6-ikt-risikomanagementrahmen/             
  1. https://bexta.de/dora/ikt-kontrollfunktion-als-managed-service/              
  1. https://www.wko.at/oe/information-consulting/finanzdienstleister/digital-operational-resilience-act      
  1. https://www.advisori.de/blog/neue-bafin-aufsichtsmitteilung-zu-dora       
  1. https://banking.vision/ikt-kontrollfunktion/       
  1. https://de.linkedin.com/pulse/dora-die-vorgaben-für-das-ikt-risikomanagement-michaela-witzel    
  1. https://simplifylabs.io/dora-compliance-strategies-2025/   
  1. https://www.aba-online.de/infothek/aktuelles/hintergruende/2024-09-27-dora-vo-bafin-aufsichtsmitteilung-digitale-veranstaltung-am-26092024      
  1. https://trilio.io/resources/dora-compliance/  
  1. https://www.cmshs-bloggt.de/rechtsthemen/digital-operational-resilience-act-dora/dora-fuehrt-zu-gesteigerten-compliance-anforderungen-im-finanzsektor/      
  1. https://kpmg.com/de/de/themen/corporate-governance-und-compliance/digital-operational-resilience-act-das-kommt-auf-die-finanzbranche-zu.html        
  1. https://simpliant.eu/insights/so-setzen-sie-dora-in-ihrem-unternehmen-um-teil-2    
  1. https://www.activemind.de/magazin/vereinfachter-risikomanagementrahmen-dora/   
  1. https://www.dlapiper.com/de-de/insights/publications/2022/12/der-digital-operational-resilience-act     
  1. https://www.openkritis.de/eu/dora-digital-operational-resilience-act_nis-2_en.html    
  1. https://www.datenschutzticker.de/2025/01/dora-cybersicherheitsregeln-fuer-finanzsektor/  
  1. https://matproof.com/de/frameworks/dora  
  1. https://bexta.de/dora/ikt-assetmanagement-als-managed-service/  
  1. https://www.fair-computer.de/whitepaper-success_stories/dora-compliance-asset-desk-fundament/  
  1. https://www.gleisslutz.com/de/aktuelles/know-how/dora-umfangreiche-compliance-pflichten-fuer-unternehmen-aus-dem-finanzsektor-beim-umgang-mit-ikt-risiken  
  1. https://schulz-beratung.de/it-risiko-management-im-dora-zeitalter/  
  1. https://www.fch-gruppe.de/Beitrag/23080/ikt-dienstleistungen-gemaess-dora-was-zaehlt-dazu-  
Zukunftsfähige IT beginnt mit einer klaren Strategie.

Wir liefern sie – kombiniert mit Technologie, Sicherheit und Verantwortung.

Beratung anfragen

Ihr Umsetzungspartner für DORA, Softwareentwicklung, DevOps, Cybersecurity und mehr 

Startseite
Branchenlösungen
Leistungen
Aktuelles
Karriere
Kontakt
  • Addresse:
    Ohlweg 5, 22885 Barsbüttel
  • Telefon:
    +49 40 52155199
  • Email:
    info@bexta.de

© 2025 Bexta GmbH | Alle Rechte vorbehalten.

4
2
3
1
Adsız tasarım (7)