Der Digital Operational Resilience Act (DORA) ist mehr als ein Regulierungspapier – er ist ein Praxisrahmen für COOs, um Cyber-Resilienz, ICT-Risikomanagement und Outsourcing-Strategien im Unternehmen zukunftssicher aufzustellen.
Während Studien und Aufsichtsbehörden die Risiken klar benennen, liegt die Umsetzung in deiner Verantwortung als COO.
Wissenschaftlicher & regulatorischer Kontext
Die Aufsicht nennt konkrete Instrumente, die du sofort in dein COO-Reporting übernehmen kannst:
Ein COO einer mittelgroßen Bank konnte durch die Einführung eines ICT-Resilienz-Dashboards und regelmäßige DORA-konforme Krisentests die Wiederanlaufzeit kritischer Systeme nach einem Cybervorfall von 1 Stunde auf 15 Minuten reduzieren.
Bei einer anschließenden Prüfung durch die Aufsicht verbesserte sich der Audit-Score im Bereich ICT Business Continuity & Outsourcing von 75 % auf 93 % – ein entscheidender Fortschritt, um sowohl BaFin- als auch EBA-Anforderungen zuverlässig zu erfüllen.
Fazit für COOs
Alle Quellen:
EBA DORA-Framework ,
BaFin Dokumentationsanforderungen & Umsetzungshinweise , Guidance Notes ,
ESMA Digital Finance & DORA ,
EBA/ESAs Aufsicht über kritische Drittanbieter .
Während Studien und Aufsichtsbehörden die Risiken klar benennen, liegt die Umsetzung in deiner Verantwortung als COO.
Wissenschaftlicher & regulatorischer Kontext
- Konzentrationsrisiken im Fokus: Die EBA und ESMA betonen, dass Abhängigkeiten von wenigen kritischen IKT-Drittanbietern (Cloud, Outsourcing) eine systemische Bedrohung darstellen. Deshalb überwachen die ESAs diese künftig gemeinsam mit den nationalen Behörden wie der BaFin – inklusive Vor-Ort-Inspektionen und Exit-Strategien .
- Proportionalitätsprinzip: Nach BaFin-Hinweisen gilt: ICT Business Continuity Management muss dokumentiert und getestet werden, aber die Intensität hängt von der Größe und Kritikalität des Instituts ab .
- Wirtschaftliche Dimension: Die EU-Kommission schätzt die Schäden durch Cyber-Incidents auf bis zu 180 Mrd. € pro Jahr – und sieht DORA als Schlüssel zur Schadensbegrenzung .
Die Aufsicht nennt konkrete Instrumente, die du sofort in dein COO-Reporting übernehmen kannst:
- Resilienz-KPIs steuern:
- Mean Time to Detect (MTTD)
- Mean Time to Recover (MTTR)
- Anteil getesteter Notfallpläne Von BaFin und ESAs als Best Practices empfohlen .
- Kritikalität von IKT-Dienstleistern bewerten:
- Einteilung in hoch/mittel/gering.
- Pflicht zu Exit-Klauseln und Audit-Rechten .
- Jährliche Krisenübungen durchführen:
- BaFin schreibt vor, dass Notfall- und Resilienzpläne regelmäßig getestet werden müssen – auch simulationsgestützt .
Ein COO einer mittelgroßen Bank konnte durch die Einführung eines ICT-Resilienz-Dashboards und regelmäßige DORA-konforme Krisentests die Wiederanlaufzeit kritischer Systeme nach einem Cybervorfall von 1 Stunde auf 15 Minuten reduzieren.
Bei einer anschließenden Prüfung durch die Aufsicht verbesserte sich der Audit-Score im Bereich ICT Business Continuity & Outsourcing von 75 % auf 93 % – ein entscheidender Fortschritt, um sowohl BaFin- als auch EBA-Anforderungen zuverlässig zu erfüllen.
Fazit für COOs
- Die Wissenschaft liefert die Belege: Konzentrationsrisiken und fehlende Resilienz verursachen Milliardenverluste.
- Die Aufsicht gibt die Richtung vor: Kritikalität, KPIs, Tests und Dokumentation.
- Als COO musst du das in die operative Steuerung übersetzen: klare Kennzahlen, funktionierendes Drittanbieter-Management, gelebte Notfallübungen.
Alle Quellen:
EBA DORA-Framework ,
BaFin Dokumentationsanforderungen & Umsetzungshinweise , Guidance Notes ,
ESMA Digital Finance & DORA ,
EBA/ESAs Aufsicht über kritische Drittanbieter .
