DORA IKT-Kontrollfunktion als Managed Service: So sichern Banken und Versicherungen ihre IKT-Governance

Lagern Sie Ihre IKT-Kontrollfunktion rechtssicher aus. Bexta übernimmt die unabhängige Überwachung und Wirksamkeitsprüfung Ihrer IKT-Risiken – revisionssicher, fachlich unabhängig und vollumfänglich DORA-konform.

DORA rückt die IKT-Kontrollfunktion ins Zentrum

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) verbindlich umgesetzt. Damit ist die Forderung nach einer eigenständigen und unabhängigen IKT-Kontrollfunktion für Finanzunternehmen unumgänglich geworden.

IKT-Risiken sind kein reines IT-Thema mehr, sondern eine zentrale Governance-Aufgabe für Vorstand, CIO und CISO. Die regulatorische Herausforderung: Betrieb und Kontrolle müssen strikt getrennt sein, um Interessenkonflikte zu vermeiden.

Was DORA bei der IKT-Kontrollfunktion konkret verlangt

DORA verankert die Kontrollfunktion explizit im Risikomanagementrahmen.

Strikte Unabhängigkeit

Die Zuständigkeit für die Überwachung des IKT-Risikos muss an eine kontrollweise Funktion übertragen werden, die fachlich und hierarchisch von den operativen IT-Einheiten getrennt ist.

Permanente Überwachung

Die Funktion muss die IKT-Risikomanagementprozesse regelmäßig überprüfen und die Wirksamkeit von Kontrollen (z. B. Change- und Patch-Management) kontinuierlich bewerten.

Revisionssichere Dokumentation

Sämtliche Wirksamkeitsprüfungen müssen für Aufsichtsbehörden wie die BaFin oder EZB lückenlos dokumentiert sein.

Three-Lines-of-Defence

DORA fordert eine klare Abgrenzung zwischen Betrieb, Risiko- & Compliance-Funktionen und der unabhängigen IKT-Kontrollfunktion bzw. Audit .

Die Realität: Fachkräftemangel und fehlende Trennung

In der Praxis stehen viele Institute vor großen Hürden. Studien zeigen, dass bei über 40 % der untersuchten Institute die Unabhängigkeit der Kontrollfunktion oder die Abgrenzung zum operativen IT-Betrieb als kritischer Mangel angezeigt wird.

Interessenkonflikte

Häufig sind IT-Security-Verantwortliche gleichzeitig für die Einrichtung und die Prüfung von Controls zuständig.

Personalmangel

Knapp 60 % der Banken und Versicherungen haben Schwierigkeiten, qualifiziertes Personal für IKT-Risiko- und Compliance-Funktionen zu finden.

Haftungsrisiken

Eine schwache Kontrollfunktion erhöht das persönliche Haftungsrisiko der Geschäftsleitung im Falle von Aufsichtsverfahren.

Sichern Sie die IKT-Kontrollfunktion als Managed Service.

Dora

Outsourcing als strategische Lösung

DORA erlaubt explizit die Auslagerung der IKT-Kontrollfunktion (Art. 28–30), sofern die Letztverantwortung beim Unternehmen verbleibt. Ein Managed Service bietet hier entscheidende Vorteile:

Garantierte Unabhängigkeit

Als externer Partner steht Bexta organisch außerhalb Ihrer IT-Strukturen und bietet einen objektiven Kontrollspiegel.

Sofortige Fachexpertise

Sie erhalten Zugriff auf spezialisiertes Wissen zu den Artikeln 5, 6, 15 und 28–30 DORA, ohne eigene Stellen mühsam besetzen zu müssen.

Skalierbarkeit

Die Kontrollkapazitäten lassen sich flexibel an die Komplexität Ihrer IKT-Landschaft anpassen

Warum Bexta?

Bexta GmbH – Ihr operativer Partner für IKT-Governance

Wir sind keine Theorie-Berater. Bexta agiert als Ihr operativer Umsetzungspartner, der die IKT-Kontrollfunktion als unabhängigen, revisionssicheren Managed Service betreibt.