Alles Legal #102: Digitale Resilienz ist Chefsache – Was DORA beim Risikomanagement verlangt
Shownotes
In Folge 3 unserer DORA-Podcastreihe „Alles Legal – Fintech-Recht kompakt“ erklärt Josefine Spengler von Annerton, was der Digital Operational Resilience Act (DORA) in Sachen IKT-Risikomanagement verlangt. Es geht um mehr als Firewalls und Backups: Die Geschäftsleitung trägt künftig die Verantwortung für eine umfassende Resilienzstrategie – mit klaren Prozessen, Zuständigkeiten und Dokumentationen.
DORA verändert den Blick auf Risiken Viele Finanzunternehmen haben bereits etablierte Risikomanagement-Systeme – doch DORA geht einen Schritt weiter. Die Verordnung setzt nicht länger auf reine Vermeidung von IT-Störungen, sondern auf aktives Management: Risiken sollen frühzeitig erkannt, bewertet, strukturiert gesteuert und dokumentiert werden. Dabei geht es auch um die Fähigkeit, im Krisenfall handlungsfähig zu bleiben – ein klarer Paradigmenwechsel in Richtung Resilienz.
Verantwortung liegt beim Management Eine der wichtigsten Aussagen in DORA: Die Geschäftsleitung wird zur zentralen Instanz für das IKT-Risikomanagement. Sie muss nicht nur die sogenannte „Digital Operational Resilience Strategy“ (DOR-Strategie) freigeben, sondern auch deren Umsetzung aktiv begleiten – von der Ressourcenzuteilung über die IT-Notfallplanung bis zur internen Kommunikation. Auch regelmäßige Weiterbildungen im Bereich IT-Risiken sind Pflicht. Kurz gesagt: Digitale Resilienz wird zur Führungsaufgabe.
Struktur, Dokumentation – und pragmatische Lösungen Josefine Spengler erläutert im Podcast, wie Unternehmen den neuen Anforderungen strukturiert begegnen können – etwa durch einheitliche Templates, klare Prozesse und Verantwortlichkeiten. Sie betont: Gerade kleinere Institute können DORA pragmatisch umsetzen, etwa durch vereinfachte Rahmenwerke oder gezieltes Outsourcing. Wichtig ist ein konsistenter Überblick und ein lebendiger Umgang mit Risiken – statt reinem Compliance-Tick-the-box.
🎧 Jetzt in Folge 3 reinhören – und erfahren, wie DORA das Risikomanagement neu definiert.