DORA: Warum „business as usual“ 2026 gefährlich wird

Abnicken war gestern: DORA zwingt Vorstände in die Haftung

In der Ära von MaRisk und BAIT wurde IT-Sicherheit oft als „technische Aufgabe“ tief in der Organisation delegiert. Der Vorstand ließ sich einmal im Jahr den IT-Sicherheitsbericht vorlegen, nickte die Restrisiken ab und das Thema galt als erledigt. Mit dem Digital Operational Resilience Act (DORA) endet diese Ära der bequemen Delegation. 

Im Jahr 2026 ist die Zeit der Schonfrist vorbei. DORA transformiert die abstrakte IT-Sicherheit in eine harte, persönliche Verantwortlichkeit des Leitungsorgans. 

Von der „Best Effort“-Compliance zur harten IKT-Governance 

Während die MaRisk und die BAIT eher qualitative Rahmenbedingungen vorgaben, ist DORA hochgradig präskriptiv. Die begleitenden Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) lassen keinen Spielraum für Interpretationen. 

Der entscheidende Unterschied: DORA verlangt nicht nur, dass Systeme funktionieren, sondern dass die Widerstandsfähigkeit (Resilience) gegen extreme Szenarien proaktiv nachgewiesen wird. Dies umfasst: 

  • Lückenlose IKT-Risikomanagement-Frameworks: Eine Verzahnung von Identifikation, Schutz, Erkennung und Reaktion, die über die bloße ISO 27001 hinausgeht. 
  • Jährliche Prüfpflicht: Während man sich früher auf turnusmäßige interne Revisionen verlassen konnte, schreibt DORA nun vor, dass alle kritischen Systeme mindestens einmal jährlich einer angemessenen Prüfung (z. B. Schwachstellenanalysen, netzwerkbasierte Assessments oder Szenario-basierte Tests) unterzogen werden müssen. 
  • Management von IKT-Drittparteienrisiken: Die Geschäftsleitung steht in der Pflicht, für sämtliche IKT-Dienstleister (insbesondere jene, die als kritisch oder wichtig eingestuft wurden) ein lückenloses Monitoring zu etablieren. Es geht hierbei nicht mehr nur um abstrakte Strategien, sondern um die konkrete Nachweispflicht: Von der präzisen Klassifizierung der Dienstleister bis hin zum Beleg der operativen Überwachung muss jeder Schritt für die Aufsicht revisionssicher dokumentiert sein. Wer hier keine konsistente Datenlage vorweisen kann, riskiert, dass die gesamte Governance als unzureichend eingestuft wird. 

Der „Haftungs-Hammer“: Artikel 5 der DORA 

Dies ist der Punkt, an dem die fachliche Tiefe zur strategischen Notwendigkeit für jeden Entscheider wird. Gemäß DORA-Artikel 5 trägt das Leitungsorgan die „abschließende Verantwortung“ für das IKT-Risikomanagement. 

Die Verantwortung kann nicht an externe Dienstleister oder interne IT-Leiter delegiert werden. Das Management muss die IKT-Strategie nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen und über angemessene Kenntnisse verfügen, um IKT-Risiken bewerten zu können.

Was bedeutet das konkret für Sie als Leitungsorgan?

  1. Persönliche Rechenschaftspflicht: Bei Versäumnissen drohen dem Unternehmen nicht nur empfindliche Bußgelder, die signifikante Beträge erreichen können. Viel entscheidender für Sie: Die Aufsicht kann direkte regulatorische Maßnahmen gegen die handelnden Personen ergreifen. Dies umfasst öffentliche Bekanntmachungen („Naming and Shaming“, Art. 54 DORA), das Verbot der Ausübung von Leitungsfunktionen oder die Feststellung der mangelnden fachlichen Eignung (Fit & Proper Test, §54c KWG). 
  2. Kenntnisprüfung: Die Aufsicht (BaFin/EZB) prüft zunehmend, ob das Management die IKT-Risiken tatsächlich versteht. „Cyber-Unwissenheit“ ist im Jahr 2026 ein Compliance-Verstoß. 
  3. Ressourcen- und Organisationshaftung: Die Geschäftsleitung ist verpflichtet, die IKT-Strategie mit angemessenem Budget und Personal auszustatten. Ein „Sparkurs“ bei der Resilienz wird 2026 zum direkten Haftungsfall: Können Sie im Schadensfall keine ausreichende Ressourcen-Priorisierung nachweisen, haften Sie persönlich für das daraus resultierende Organisationsverschulden. 

Unser Ansatz: Schutz für das Unternehmen und für Sie

Als spezialisiertes Beratungshaus verstehen wir die regulatorischen Hebel nicht als bloße Checkliste, sondern als Werkzeug für Ihre strategische Steuerung. Wir helfen Ihnen, die Brücke zwischen operativen IKT-Risiken und der Vorstandsetage zu schlagen. Wir übersetzen komplexe technische Sachverhalte in entscheidungsrelevante Risikokennzahlen, damit Sie als Leitungsorgan Ihre Kontroll- und Ressourcenpflichten fundiert und rechtssicher erfüllen können. 

Wir sorgen dafür, dass Ihre Compliance kein „Papiertiger“ bleibt, sondern als wirksamer Schutzschild für Ihre persönliche Haftung fungiert. 

Kurz-Check: Ist Ihre IKT-Governance bereit für 2026?

Prüfen Sie anhand dieser Fragen, ob Sie die Mindestanforderungen an die Geschäftsleitung bereits erfüllen: 

  1. Berichterstattung: Erhalten Sie mindestens vierteljährlich einen Bericht über die IKT-Risikolage, der über reine Status-Updates hinausgeht und klare Handlungsempfehlungen enthält? 
  2. Ressourcen-Allokation: Können Sie im Falle einer Prüfung nachweisen, dass IT-Sicherheitsbudgets auf Basis einer Risikoanalyse und nicht nach „Kassenlage“ vergeben wurden? 
  3. Drittparteien Fokus: Liegt Ihnen ein Register für alle kritischen IKT-Dienstleister vor, inklusive klar definierter Verantwortlichkeiten und Exit-Szenarien? 
  4. Testprogramm: Wurden alle für den Geschäftsbetrieb kritischen Systeme im letzten Jahr nachweislich und risikobasiert auf ihre Belastbarkeit getestet? 
  5. Persönliches Risiko: Ist in Ihrer Organisation klar geregelt, wer im Falle einer 24-Stunden-Meldepflicht die finale Entscheidung über die Meldung an die Aufsicht trifft? 

Im nächsten Teil der fünfteiligen Serie:

Die Theorie steht – doch wie sieht die Umsetzung in der Praxis aus, wenn die vorhandene Infrastruktur an ihre Grenzen stößt? Erfahren Sie im nächsten Artikel, warum gewachsene IT-Strukturen oft zur Compliance-Falle werden: „Legacy-Systeme vs. Moderne Resilienz: Ein Generationen-Update“.

Ancarix Consulting
Responsible by Design

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

zu weiteren Blogbeiträgen
zu unseren Projektreferenzen
ancarix ancarix