(openPR) IT-Aufsicht unter DORA – warum viele Banken die regulatorische Realität immer noch unterschätzen?
Die Digitalisierung der Finanzwelt hat eine zweite, weniger sichtbare Seite: den stetig steigenden Druck der Aufsicht auf IT- und IKT-Strukturen. Prüfungen decken immer wieder Sicherheitslücken, fehlende Notfallabstimmungen und mangelhafte Steuerung von Eigenentwicklungen auf.
Spätestens seit der Umsetzung der europäischen DORA-Verordnung steigt das Risiko, dass unzureichende Prozesse, veraltete Strukturen oder schlecht dokumentierte Verfahren nicht nur zu Beanstandungen, sondern zu ernsten betrieblichen Konsequenzen führen. Besonders kritisch sind die Bereiche IKT-Geschäftsfortführungsmanagement, IT-Infrastruktur und operative Abläufe sowie der Umgang mit Eigenentwicklungen (IDV) in den Fachbereichen. Wer hier nicht auf dem neuesten Stand ist, läuft Gefahr, regulatorisch ins Hintertreffen zu geraten – und im Ernstfall handlungsunfähig zu sein.
Der Fachtag IT-Aufsicht am 10. November 2025 bietet einen kompakten und praxisnahen Überblick über die aktuellen Anforderungen der Aufsicht – von MaRisk über EBA-Leitlinien bis hin zu den DORA-Vorgaben – und zeigt vor allem auf, wie Institute diese Themen umsetzen können, ohne in lähmende Bürokratie zu verfallen.
Den Auftakt macht Dirk Mühlhausen von der Deutschen Bundesbank mit einem tiefen Einblick in die Prüfungspraxis: Er beleuchtet, wie Business Impact Analysen, Notfall- und Wiederherstellungspläne sowie Tests tatsächlich aussehen müssen, um der Aufsicht standzuhalten, und welche Schwachstellen in Banken besonders häufig auftreten. Der Fokus liegt nicht nur auf der Theorie, sondern auf handfesten Beispielen aus der Prüfungspraxis – inklusive der besonderen Risiken bei Cloud-Service-Providern.
Anschließend bringt Pasquale Totaro von der DekaBank die Perspektive der Internen Revision ein. Er zeigt, wie sich IT-Infrastrukturen und operativer Betrieb unter DORA bewerten lassen, welche Stolpersteine bei Auslagerungen, Konfigurationsdatenbanken oder Cloud-Integrationen lauern und wie Privileged Access Management (PAM) sowie Schwachstellenmanagement so aufgesetzt werden, dass sie regulatorischen Prüfungen standhalten. Die Teilnehmer erhalten hier wertvolle Prüfungsansätze und konkrete Tipps, wie sich bestehende Prozesse gezielt verbessern lassen.
Zum Abschluss beleuchtet Manfred Stäbler von der LBBW ein oft unterschätztes Risiko: Eigenentwicklungen und Individualsoftware in den Fachbereichen. Er macht deutlich, wie wichtig zentrale IDV-Register, konsequente Schutzbedarfsfeststellungen und eine lückenlose Überwachung des gesamten Entwicklungszyklus sind – und zeigt, wie die DORA-Vorgaben hier konkret wirken. Praxisberichte aus Projekten und Prüfungen verdeutlichen, welche Mängel immer wieder auftreten und wie sie sich vermeiden lassen.
Das Besondere am Fachtag: Die Teilnehmenden erhalten nicht nur einen Überblick über die regulatorische Lage, sondern auch sofort anwendbare Lösungen – von der Verbesserung der IT-Governance über die Härtung kritischer Prozesse bis hin zur sicheren Einbindung externer Dienstleister. Durch den Austausch mit Aufsichtsvertretern und erfahrenen Praktikern können offene Fragen geklärt und individuelle Herausforderungen direkt diskutiert werden.
In einer Zeit, in der IT-Prüfungen immer tiefgehender und die regulatorischen Anforderungen stetig komplexer werden, ist der Fachtag IT-Aufsicht ein strategisches Pflichtprogramm für alle, die Verantwortung in IT, Informationssicherheit, BCM, Revision oder Auslagerungsmanagement tragen. Wer heute investiert, schützt nicht nur die Compliance, sondern die Handlungsfähigkeit des gesamten Instituts – im Regelbetrieb ebenso wie in der Krise.
Weitere Informationen und Anmeldung unter: https://www.akademie-heidelberg.de/termin/fachtag-it-aufsicht
