top of page

Ihr Scope ist technisch - Ihr Risiko nicht

  • vor 2 Tagen
  • 2 Min. Lesezeit

DORA-Projekte: Warum reines IT-Denken zu kurz greift – und wie Sie regulatorisch und risikoorientiert steuern


2025 und die Jahresabschlussprüfung haben vielen Finanzinstituten gezeigt, wo bei DORA noch nachgeschärft werden muss.


Ja: Präventives Risikomanagement lässt sich unter DORA praktisch nur mit geeigneten IT-Tools umsetzen – Asset Management, Schwachstellenscans, SIEM, Monitoring. Ohne diese Instrumente bleibt Risikosteuerung Theorie.


Entscheidend: DORA endet nicht bei der IT. DORA zieht sich durch die gesamte Wertschöpfungskette – von der Idee bis in den Betrieb. Und genau deshalb reicht es nicht, sich erst beim Go-Live um Risiken und regulatorische Anforderungen zu kümmern.


Das fängt vor dem Tool-Kauf an: Sobald ein Vorhaben (direkt oder indirekt) kritische oder wichtige Funktionen berührt, gehört Third-Party Risk Management an den Tisch. Provider-Risiko, Konzentration, Exit-Fähigkeit, Nachweisführung – das sind keine „später“-Themen. Und: Je nach Relevanz ist eine frühzeitige Einbindung/Meldung Richtung Aufsicht erforderlich – nicht erst, wenn die Umsetzung schon läuft.


Der Punkt, der am häufigsten übersehen wird: Security Trigger sind nicht „einmalig“ beim Kick-off zu prüfen. Sie ändern sich im Projekt. Neue Schnittstellen, geänderte Datenflüsse, zusätzliche Cloud-Komponenten, neuer Dienstleister – und schon ist das Risikoprofil ein anderes. Dann braucht es Neubewertung, zusätzliche Controls/Tests und ggf. neue Freigaben.


DORA bricht Silo-Denken auf – und zwar gewollt. Compliance, insbesondere die IKT-Risikokontrollfunktion, ist nicht Endabnahme, sondern Startblock. Wer Kontrollfunktionen nur als Haken am Schluss behandelt, produziert Nacharbeit – und am Ende Feststellungen.


Was in „rein technischen“ DORA-Vorhaben typischerweise fehlt, ist kein weiteres Feature im Backlog – sondern der zweite Teil des Auftrags: Steuerung und Nachweisfähigkeit als Risikoprojekt. Konkret heißt das meistens:


  • ein eigener Strang für Governance und Compliance (nicht nur ein Review-Termin kurz vor Go-Live)

  • eine Risikoklassifizierung, die wirklich steuert (Projektklasse/CIF, Intensität der Kontrollen, Reporting)

  • Quality Gates, die Entscheidungen auslösen dürfen (inkl. konsequentem Stop/Reset, wenn Voraussetzungen nicht erfüllt sind)

  • ein Management-Blick auf IKT-Risiken, Abhängigkeiten und CIF-Auswirkungen (statt „läuft in der IT schon“)


Ergebnis: Ohne diesen Governance-Shift bleibt das Vorhaben technisch erfolgreich – aber regulatorisch und risikoseitig fragil.


Praxis-Checkliste: DORA-gerechtes Projektscoping von Anfang bis Ende


Vor Projektstart

  • DORA-Relevanz geklärt: Betrifft das Vorhaben kritische/wichtige Funktionen oder sensible Daten?

  • Projektklasse & Risikomatrix erstellt: Saubere Einstufung als Steuerungsinstrument – nicht als Formalie.

  • CIF-Check: CIF betroffen? Dann strengere Governance, Reporting, Controls.

  • Kontrollfunktionen von Beginn an dabei: IKT-Risikokontrollfunktion/Compliance, ISB, DSB.

  • Third-Party Risk frühzeitig eingebunden: Tool/Provider/Cloud → Risiken, Konzentration, Exit, Nachweise.

  • Melde-/Anzeige-Pflichten geprüft: rechtzeitig klären, nicht im Nachgang.

  • Quality Gates + Entscheidungslogik festgelegt: Wer hat Go/No-Go? Wann Stop/Reset?


Während des Projekts

  • Security Trigger laufend prüfen: Jede wesentliche Änderung kann die Einstufung kippen.

  • Event-Driven Neubewertung: Scope-/Provider-/Datenfluss-/Security-Änderung → sofortiger Review.

  • Quality Gates durchziehen: Architektur, Tests, Security, Go-Live-Freigabe – nicht „best effort“.

  • Kontrollfunktionen bleiben im Loop: nicht nur „Bitte freigeben“ am Ende.

  • Dokumentation & Nachweise im System of Record: Entscheidungen, Freigaben, Tests revisionssicher.

  • Reporting läuft: Status + Risiken + CIF-Sicht ans Portfolio/Management.


Projektabschluss und Nachlauf

  • Lessons Learned dokumentiert: nicht optional.

  • Ziel-/Nutzenprüfung: regulatorisch + wirtschaftlich.

  • Abschluss-Report + Nachweisführung: sauber archiviert.

  • Nachlauf / Benefit Review: gerade bei CIF/High Risk.


DORA ist der Regulatorik-Hebel gegen Silo-Denken. Wer Compliance, IKT-Risikokontrolle, Security, Datenschutz und Third-Party-Risk erst am Ende dazuholt, spielt DORA rückwärts.


Richtig herum heißt: gemeinsam starten, gemeinsam steuern, gemeinsam nachweisen.




 
 
 

Kommentare

bottom of page