top of page

Der Faktor "Mensch" in der Aufsicht

  • 18. Mai 2025
  • 3 Min. Lesezeit

Aktualisiert: 15. Juni 2025

In der vielbeachteten Jahrespressekonferenz der BaFin am 7. Mai 2025

stehen einige Aussagen des BaFin Präsidenten in bemerkenswerter Übereinstimmung mit den DORA Governance Anforderungen. Ich analysiere die wichtigsten Bezugspunkte:

1. Governance und Führungskompetenz

"Gerade im aktuellen wechselhaften Umfeld müssen die Unternehmen des Finanzsektors kompetent geführt werden."

Die kompetente Führung von Finanzunternehmen stellt eine zentrale Säule der DORA-Regulierung dar. Artikel 5 Abs. 4 DORA verpflichtet Mitglieder des Leitungsorgans, "ausreichende Kenntnisse und Fähigkeiten" zu besitzen, um IKT-Risiken und deren Geschäftsauswirkungen umfassend zu verstehen. Diese Anforderung spiegelt die Beobachtung des BaFin-Präsidenten wider, dass kompetente Führung entscheidend für die Stabilität der Finanzinstitute ist.

2. Risikoverständnis und -management

"Diese Unternehmen haben Geschäfte gemacht, deren Risiken sie nicht verstanden. Sie haben sich bisweilen verzettelt oder bewegten sich weit weg von ihrem Kerngeschäft."

DORA etabliert ein umfassendes Rahmenwerk für das Management digitaler Risiken. Das Leitungsorgan trägt gemäß Art. 5 Abs. 2(a) die direkte Verantwortung "für das Management der IKT-Risiken sowie für die Festlegung der Toleranzschwelle für das IKT-Risiko". Dieser Ansatz adressiert präzise das vom BaFin-Präsidenten identifizierte Problem: fehlende Kompetenz im Risikoverständnis führt zu Geschäftsentscheidungen, deren Folgen nicht ausreichend bewertet werden können.

3. Besondere Herausforderungen für kleinere Institute

"Gerade bei kleineren Unternehmen ist die Gefahr groß, dass einzelne Führungspersonen eine dominante Rolle einnehmen. Von der Qualifikation dieser Personen hängt dann oft ab, ob ein Unternehmen stabil bleibt oder saniert werden muss."

DORA berücksichtigt diese Problematik durch spezifische Governance-Vorgaben, die auch bei kleineren Instituten greifen. Obwohl das Verhältnismäßigkeitsprinzip Erleichterungen vorsieht, fordert Art. 6 Abs. 4 DORA eine angemessene Trennung und Unabhängigkeit der IKT-Risikokontrollfunktion – besonders wichtig bei Unternehmen mit dominanten Einzelpersonen in der Führung. Damit adressiert DORA die vom BaFin-Präsidenten beschriebene Abhängigkeit von einzelnen Führungspersonen.

4. Der "Faktor Mensch" in der Aufsicht

"Unsere Aufsicht darf daher nicht nur quantitative Bilanz- und Risikoanalysen umfassen. Wir müssen uns auch in unserer laufenden Aufsichtstätigkeit mit dem Faktor Mensch auseinandersetzen."

DORA implementiert diese Erkenntnis durch konkrete Verpflichtungen zur personellen Entwicklung. Das Leitungsorgan muss gemäß Art. 5 Abs. 2(g) DORA Budgets "für Schulungsmaßnahmen zur Sicherstellung angemessener IKT-Kompetenzen" bereitstellen und regelmäßig überprüfen. Die Verordnung verlangt zudem Programme zur Sensibilisierung für IKT-Sicherheit (Art. 13 Abs. 6). Damit liefert DORA das regulatorische Instrumentarium, um den vom BaFin-Präsidenten betonten "Faktor Mensch" systematisch in den Aufsichtsprozess zu integrieren.

Mit Inkrafttreten von DORA erhalten Aufsichtsbehörden wirksame Hebel, um die vom BaFin-Präsidenten kritisierten Governance-Defizite zu adressieren. Die Verordnung etabliert einen konsistenten Rahmen, der Führungskompetenz, Risikoverständnis und den "Faktor Mensch" in den Mittelpunkt der digitalen operationalen Resilienz stellt.

Fazit: Fehlende DORA-Schulungsmaßnahmen für Vorstände

Kritische Compliance-Lücke

Die Abwesenheit umfassender DORA-Schulungen für Vorstände stellt eine erhebliche Compliance-Lücke dar. Art. 5 Abs. 4 DORA fordert unmissverständlich "ausreichende Kenntnisse und Fähigkeiten" der Leitungsorgane zum Verständnis von IKT-Risiken. Ohne entsprechende Schulungsmaßnahmen ist diese [MUSS]-Anforderung nicht erfüllbar.

Governance-Versagen im Kontext der BaFin-Kritik

Die Warnung des BaFin-Präsidenten, dass Unternehmen in Schieflage geraten, weil "ihre Führung und ihre Aufsichtsorgane ihren Anforderungen nicht gewachsen waren", erhält im Kontext fehlender DORA-Schulungen besondere Brisanz. Eine mangelnde Vorbereitung der Leitungsorgane auf die digitalen Resilienzanforderungen manifestiert genau jenes Governance-Defizit, das der BaFin-Präsident kritisiert.

Dringende Handlungsempfehlungen

  1. Sofortige Bedarfsanalyse: Identifikation der spezifischen DORA-Kompetenzlücken auf Vorstandsebene durch strukturierte Gap-Analyse.

  2. Priorisierte Schulungsplanung: Entwicklung eines gestaffelten Schulungsplans mit Fokus auf die kritischen DORA-Anforderungen für Leitungsorgane.

  3. Dokumentation der Maßnahmenplanung: Nachweis der Compliance-Bemühungen durch dokumentierte Schulungsplanung als Übergangslösung.

  4. Budget- und Ressourcenallokation: Gemäß Art. 5 Abs. 2(g) DORA muss das Leitungsorgan umgehend Budgets für Schulungsmaßnahmen zuweisen und überprüfen.

  5. Externe Expertise: Bei Ressourcenengpässen sollte kurzfristig externe Unterstützung für die Schulungskonzeption und -durchführung eingebunden werden.

Entdecken Sie die DORA-Kompetenz-Essentials für Vorstände!

Wie umfangreich müssen die DORA-Qualifikationen Ihres Leitungsorgans wirklich sein? In meinem nächsten Blogbeitrag enthülle ich das unverzichtbare Minimum und die individuellen Erfolgsfaktoren für Ihre Compliance-Strategie. Sichern Sie sich exklusives Insiderwissen zur aufsichtskonformen Kompetenzentwicklung – bevor die BaFin bei Ihnen anklopft!


Link zur Jahrespressekonferenz



 
 
 

Kommentare

bottom of page