(openPR) Neuer IKT-Risikorahmen zwingt Banken zum Umdenken bei der IKT-Risikosteuerung
Viele Institute gehen davon aus, dass ihre bestehenden IT-Governance- und Risikomanagementstrukturen bereits weitgehend den neuen regulatorischen DORA-Erwartungen entsprechen. Doch genau diese Annahme entwickelt sich aktuell zum größten Risiko. Mit dem neuen IKT-Risikomanagementrahmen verändern sich nicht nur Dokumentationspflichten, sondern Verantwortlichkeiten, Kontrollmechanismen und die Rolle des Leitungsorgans selbst. Was bislang als Erweiterung bestehender BAIT- oder MaRisk-Strukturen betrachtet wurde, entpuppt sich zunehmend als grundlegender Umbau der Governance.
In der Praxis zeigen sich bereits typische Schwachstellen. Anforderungen aus unterschiedlichen regulatorischen Ebenen werden isoliert interpretiert, Umsetzungshinweise nicht sauber priorisiert und bestehende Dokumentationen lediglich ergänzt statt strukturell überarbeitet. Dadurch entstehen Parallelwelten aus Richtlinien, Risikoanalysen und Kontrollen, die zwar umfangreich wirken, aber keine konsistente Steuerungslogik mehr erkennen lassen. Gerade bei Prüfungen fällt auf, dass Verantwortlichkeiten zwischen IT, Risikokontrollfunktion, Informationssicherheit und Revision nicht klar abgegrenzt sind.
Besonders anspruchsvoll ist die Kombination neuer Dokumentationsanforderungen mit bestehenden Standards. Viele Häuser verfügen über ISO-27001- oder IT-Grundschutz-Strukturen, nutzen diese jedoch nicht systematisch zur regulatorischen Umsetzung. Ohne klare Ableitung entstehen unnötige Doppelarbeiten oder gefährliche Lücken. Gleichzeitig verlangt die Aufsicht eine stärkere Einbindung des Leitungsorgans sowie eine nachvollziehbare Verzahnung der drei Verteidigungslinien. Wer Governance weiterhin als IT-Detailthema behandelt, riskiert Kontrolldefizite auf Managementebene.
Auch das Zusammenspiel mit Auslagerungssteuerung, IKT-Dienstleisterüberwachung und Gesamtbanksteuerung gewinnt an Bedeutung. IKT-Risiken wirken unmittelbar auf Geschäftsmodelle, operationelle Risiken und Resilienzfähigkeit. Ohne einheitlichen Rahmen verlieren Institute schnell den Überblick darüber, welche Risiken tatsächlich wesentlich sind und wie sie überwacht werden müssen.
Das Online-Seminar „Neuer IKT-Risikomanagement-Rahmen nach DORA“ am 21. April 2026 setzt genau an diesen Herausforderungen an.
Florian Kertscher, Senior Expert IT-Compliance bei FinPlanet, verbindet langjährige Erfahrung als Informationssicherheitsbeauftragter, IT-Audit-Manager und interner Revisor mit umfassender Umsetzungspraxis regulatorischer Anforderungen. Er zeigt, wie sich die Vorgaben aus Kapitel II des neuen Rahmens systematisch einordnen, priorisieren und mit bestehenden Governance-Strukturen verzahnen lassen.
Im Mittelpunkt stehen die strukturierte Einordnung regulatorischer Ebenen, der Vergleich mit bestehenden BAIT- und MaRisk-Vorgaben sowie die Nutzung etablierter Standards wie ISO 27002 oder IT-Grundschutz zur prüfungssicheren Umsetzung. Teilnehmende erhalten konkrete Ansätze zur Integration von Leitungsorgan, Risikokontrollfunktion und Revision in ein konsistentes Kontrollsystem – ohne zusätzliche Bürokratie aufzubauen.
Die zentrale Erkenntnis: IKT-Risikomanagement entscheidet künftig über Steuerungsfähigkeit und Prüfungsfeststellungen zugleich. Institute, die ihre Governance nur nachjustieren statt neu strukturieren, laufen Gefahr, regulatorische Anforderungen zu unterschätzen. Dieses Seminar zeigt, wie aus fragmentierten Einzelmaßnahmen ein belastbarer, aufsichtsrobuster Rahmen entsteht.
Weitere Informationen und Anmeldung unter:
https://www.akademie-heidelberg.de/seminar/neuer-ikt-risikomanagement-rahmen-nach-dora
