← All insights
Thought Leadership · Blog

DORA und Governance-Strategien für Cyber-Resilienz 2025

Governance in the Age of DORA & Cyber Resilience Mandates

Sechs Monate nach Inkrafttreten des Digital Operational Resilience Act (DORA) stellten Finanzinstitute fest, dass der Aufbau von Resilienz nicht nur darum geht, regulatorische Kästchen abzuhaken – es geht darum, organisatorische Transformation voranzutreiben. Die Verordnung gestaltet neu, wie Firmen IKT-Risiken managen, das operative Risikomanagement stärken, auf Vorfälle reagieren und Drittanbieter beaufsichtigen, und macht Resilienz zu einer strategischen Priorität statt zu einer Compliance-Übung.

Für CISOs, Risikoverantwortliche und Governance-Fachleute markiert dieser Moment einen Wendepunkt. Governance ist keine Hintergrundfunktion mehr – sie ist das Rückgrat der digitalen Resilienz. Für viele hängt die Erfüllung der regulatorischen Compliance im Bankwesen nun davon ab, wie sich Governance-Strukturen anpassen. Dieser Blog beleuchtet, warum Governance unter DORA in den Mittelpunkt gerückt ist und wie Institute ihre Strategien anpassen können, um nicht nur konform zu sein, sondern in der neuen, resilienzgetriebenen Ära zu florieren.

Warum Governance in den Mittelpunkt gerückt ist

Governance ist unter DORA rasch zum Eckpfeiler der digitalen Resilienz geworden. Die Verordnung verlangt von Finanzinstituten, eine robuste Aufsicht über fünf zentrale Säulen zu etablieren – IKT-Risikomanagement, Anforderungen an die Meldung von Vorfällen, Frameworks für Resilienztests wie das bedrohungsgeleitete Penetrationstesting (TLPT), Drittparteienrisiko und den Austausch von Threat Intelligence – und rückt damit Governance ins Zentrum von Compliance und operativer Resilienz (EIOPA).

Zugleich ist die Last der Umsetzung erheblich: Studien zeigen, dass fast die Hälfte der Finanzinstitute über 1 Mio. € in Compliance-Bemühungen investiert, während 79 % der Mitarbeitenden ein höheres Stressniveau im Zusammenhang mit diesen Cyber-Resilienz-Vorgaben berichten (TechRadar). Zusammen unterstreichen diese Belastungen, warum sich Governance-Strukturen weiterentwickeln müssen – nicht nur, um regulatorische Fristen einzuhalten, sondern um Effizienz, Moral und langfristige Resilienz aufrechtzuerhalten.

Wie sich DORA-Governance in Finanzinstituten umsetzen lässt

DORA positioniert Governance als das Rückgrat der digitalen Resilienz und verlangt von Instituten, die Aufsicht über diese fünf Bereiche zu stärken:

Aufsicht über IKT-Risiken

Governance stellt sicher, dass IKT-Risiko-Frameworks vom Vorstand genehmigt, regelmäßig aktualisiert und kontinuierlich überwacht werden (digital-operational-resilience-act.com, ESMA).

Verantwortlichkeit für die Meldung von Vorfällen

Klare Protokolle, Rollen und Klassifizierungsstrukturen sind unerlässlich, um die strengen Anforderungen von DORA an die Meldung von Vorfällen zu erfüllen (EIOPA).

Tests der operativen Resilienz (TLPT)

Governance garantiert, dass Testsimulationen durchgeführt, dokumentiert, überprüft und von Korrekturmaßnahmen begleitet werden (EIOPA).

Aufsicht über Drittanbieter für die DORA-Compliance

Die Aufsicht umfasst Due Diligence der Anbieter, vertragliche Schutzmaßnahmen und laufende Überwachung, um die Exposition durch externe Anbieter zu verringern (Skadden).

Informationsaustausch und regulatorische Koordination

Governance ermöglicht einen strukturierten Austausch von Cyber-Threat-Intelligence mit Regulierungsbehörden und Branchenkollegen und stärkt so die kollektive Verteidigung (EIOPA).

Erste Lehren – sechs Monate nach DORA

Sechs Monate nach Beginn der Durchsetzung sind Finanzinstitute von der Vorbereitung zur täglichen Umsetzung der DORA-Anforderungen übergegangen. Organisationen bewerten IKT-Risiko-Frameworks neu, justieren Protokolle zur Meldung von Vorfällen und führen TLPT-Übungen durch, um die Resilienz unter realen Bedingungen zu validieren. Was einst ein Compliance-Projekt war, ist nun zu einer operativen Routine geworden und verankert Cyber-Resilienz im Finanzsektor im Gefüge der Dienstleistungen.

Der Weg bringt jedoch erhebliche Herausforderungen mit sich. Compliance hat sich als kostspielig erwiesen, da Firmen Millionen in Governance, Technologie und Schulungen investieren. Zugleich hat das gestiegene Tempo von Meldung und Aufsicht die Mitarbeitenden unter Druck gesetzt, und viele berichten von erhöhtem Stress. Diese Realitäten unterstreichen die Bedeutung einer durchdachten Governance – nicht nur, um europäische Cybersicherheitsvorgaben zu erfüllen, sondern auch, um sicherzustellen, dass Resilienzstrategien sowohl für Organisationen als auch für ihre Menschen nachhaltig bleiben.

Wichtige Governance-Best-Practices in der neuen Ära

Resilienz in Governance-Strukturen verankern

Weisen Sie auf Vorstands- und Führungsebene Verantwortlichkeit für Resilienzkennzahlen, Risiko-Dashboards und Test-Roadmaps zu.

Meldeprozesse dokumentieren und automatisieren

Nutzen Sie automatisierte Workflows und Dashboards, um sicherzustellen, dass die Meldung von Vorfällen genau, konsistent und mit den DORA-Fristen abgestimmt ist.

TLPT-Governance formalisieren

Verfolgen Sie Testdurchführung, Befunde, Behebungsschritte und Überprüfungen auf Vorstandsebene, um TLPT in einen strukturierten Governance-Prozess zu verwandeln.

Governance der Drittanbieter-Aufsicht stärken

Etablieren Sie eine formelle Governance des Anbieterrisikos durch regelmäßige Bewertungen, Vertragsklauseln und laufende Überwachungs-Dashboards.

Den Austausch von Threat Intelligence erleichtern

Implementieren Sie eine strukturierte Governance für den Austausch von Cyber-Intelligence mit Regulierungsbehörden und Branchenkollegen und schaffen Sie so Bereitschaft für erweiterte Vorgaben wie die NIS2-Compliance und den Cyber Resilience Act (CRA).

Zu erwägende Governance-Modelle

Resilienz-Governance-Komitee

  • Setzt sich aus Stakeholdern aus Risiko, IT, Compliance und Recht zusammen.
  • Zentralisiert die Entscheidungsfindung und sorgt für eine konsistente Operationalisierung der DORA-Vorgaben.
  • Bietet ein Forum für funktionsübergreifende Verantwortlichkeit und Abstimmung.

Cyber-Resilienz-Dashboard

  • Verfolgt zentrale Kennzahlen wie TLPT-Bereitschaft, Verfügbarkeit der Vorfallmeldung, Risikobewertungen von Drittanbietern und Ergebnisse von Stresstests.
  • Bietet Vorständen und Führungskräften Echtzeit-Sichtbarkeit, um datengestützte Governance-Entscheidungen zu treffen.
  • Erhöht die Transparenz und die Genauigkeit der regulatorischen Berichterstattung.

Governance-gesteuerte Schulung und Kultur

  • Richtet Richtlinien, Sensibilisierungsprogramme und rollenbasierte Schulungen an den Resilienzzielen aus.
  • Stärkt eine resilienzorientierte Kultur und stellt sicher, dass die Beschäftigten ihre Verantwortlichkeiten verstehen.
  • Baut organisatorische Bereitschaft auf, um sich an sich entwickelnde Vorgaben wie NIS2 und CRA anzupassen.

Ausblick: Governance trifft auf eine Multi-Mandats-Realität

Regulatorische Konvergenz

DORA ist nur ein Teil des größeren Bildes. Organisationen müssen sich auf einander überlappende Vorgaben wie die NIS2-Compliance, den Cyber Resilience Act (CRA) und weitere EU-Finanzvorschriften vorbereiten. Dies erfordert Governance-Modelle, die skalierbar, anpassungsfähig und über mehrere europäische Cybersicherheitsvorgaben hinweg harmonisiert sind.

KI und Automatisierung verstärken die Governance

Zukunftssichere Governance stützt sich auf Automatisierung und KI-gestützte Werkzeuge, die kontinuierliche Überwachung, automatisierte Alarm-Orchestrierung und proaktive Richtliniendurchsetzung ermöglichen. Diese Innovationen helfen Instituten, von reaktiver Compliance zu proaktiver Resilienz überzugehen und sowohl operative Risiken als auch Compliance-Kosten zu senken.

Fazit

DORA hat Governance von einer unterstützenden Funktion zum strategischen Rückgrat der digitalen Resilienz neu definiert. Institute, die Resilienz proaktiv in ihre Governance-Strukturen einbetten – durch Verantwortlichkeit, Automatisierung, Drittanbieter-Aufsicht und Informationsaustausch –, erreichen nicht nur Compliance, sondern stärken auch Vertrauen, Agilität und langfristige Wettbewerbsfähigkeit. Die eigentliche Chance liegt darin, über einen Ansatz des bloßen Kästchen-Abhakens hinauszugehen und Governance als Treiber von Resilienz, Innovation und Wachstum zu begreifen.

Wie passen Sie Ihre Governance-Praktiken an, um DORA oder ähnliche Vorgaben zu erfüllen? Könnte eine Bewertung der Governance-Bereitschaft Ihren Weg zu stärkerer Resilienz anstoßen?