Digitale Resilienz braucht Kompetenz – DORA wird zur Chefsache

News

Bildquelle: Jamrooferpix (Adobe Stock)

25/09/2025 | Cyberresilienz | IT und Cybersicherheit

Strukturierter Kompetenzaufbau von Führungskräften und strategische Governance in der digitalen Transformation

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen, ihre Leitungsorgane gezielt für den Umgang mit Risiken aus Informations- und Kommunikationstechnologien zu qualifizieren. Prof. Dr. Andreas Igl erklärt in der WPg, welche Fortbildungsstruktur sich bewährt hat und wie Kompetenzaufbau zum strategischen Instrument wird.

Mit der Umsetzung der DORA-Schulungspflichten wird die Qualifizierung des Leitungsorgans zum strategischen Governance-Werkzeug: strukturiert, praxisnah und zukunftsorientiert. Statt Pflichtübung jetzt gezielter Kompetenzaufbau für die digitale Transformation.

Dieser Blogbeitrag wird in Kooperation mit der Fachzeitschrift „Die Wirtschaftsprüfung“ zur Verfügung gestellt. Es handelt sich um eine redaktionell stark gekürzte Fassung. Den vollständigen Artikel lesen Sie in der WPg 13/2025, S. 728. Mehr von Prof. Dr. Igl zum Thema DORA lesen Sie in der WPg: Regulatorischer Paradigmenwechsel: vom Auslagerungs- zum umfassenden Drittparteien(-risiko-)Management – MaRisk AT 9 im Wandel durch DORA und die EBA-Konsultation zum Third-Party Risk Management; WPg 19/2025, S. 1076.

Die Plattform SOLON X unterstützt die Wirtschaftsprüfungsbranche bei der digitalen Transformation mit maßgeschneiderten Tools und Services.

Vom Wissen zum Können

Der Verordnungstext verpflichtet zwar alle betroffenen Institute zu regelmäßigen Schulungen für Vorstands- und Aufsichtsratsmitglieder (Art. 5 Abs. 4 DORA mit Verweis auf Art. 4 Abs. 1 Nr. 36 der Richtlinie 2014/65/EU (Finanzmarktrichtlinie)). Aber er lässt den Instituten großen Spielraum. In der Praxis reicht daher das Spektrum von zweistündigen Web-Trainings bis zu mehrtägigen Präsenzseminaren. Aber welches Maß an Fortbildung ist angemessen, wirkungsvoll und gleichzeitig im Alltag des Bankbetriebs praktisch umsetzbar?

Wenn Knowledge Training (Wissen über Begriffe, Prozesse, regulatorische Grundlagen) mit Experience-Based Training (Fallstudien, Planspiele, Workshops) kombiniert wird, entstehen nicht nur theoretische Kenntnisse, sondern auch die Fähigkeit, Risiken strategisch zu bewerten und zu steuern.

Zweischichtige Struktur für alle Rollen

Ein bewährtes Konzept ist die Gliederung in einen allgemeinen und einen besonderen Teil:

Allgemeiner Teil: vermittelt allen Mitgliedern des Leitungsorgans eine gemeinsame Basis zu Governance, Steuerung externer IT-Dienstleister, Notfallmanagement, Meldewesen, Kompetenzaufbau in der Belegschaft sowie Chancen und Risiken neuer Technologien wie generative KI-Werkzeuge.
Besonderer Teil: liefert funktionsspezifische Vertiefung in zielgruppengerechten Modulen, z. B. für IT-Verantwortliche, Mitglieder von Risiko- oder Prüfungsausschüssen oder Institute mit selbstbetriebener Hard- und Software-Infrastruktur.

Resilienz braucht Weitblick

Digitale Resilienz betrifft aber nicht nur die Leitungsebene, sondern alle drei Verteidigungslinien: vom Vertrieb über das Risikocontrolling bis zur Internen Revision. Angesichts von Fachkräftemangel und technologischer Transformation ist der Kompetenzaufbau nicht nur regulatorische Pflicht, sondern strategischen Notwendigkeit: Schulungen sollten den Zusammenhang zwischen Resilienz, Effizienz und Innovationsfähigkeit betonen und auf die digitale Weiterentwicklung der Organisation ausgerichtet sein.

Fazit: Strukturierter Kompetenzaufbau statt Pflichtübung

Um digitale Resilienz nach DORA sicherzustellen, müssen Wirtschaftsprüferinnen und Wirtschaftsprüfer sorgfältig prüfen, ob die Mitglieder des Leitungsorgans die notwendigen Kompetenzen erworben haben und ob die Schulungen wirksam sind.

Ein dreijähriger Kompetenzplan mit rund zwölf Stunden Schulung pro Jahr, ergänzt durch Zertifizierung, dokumentiert den Kompetenzerwerb und etabliert Weiterbildung als festen Bestandteil guter Governance.

Lesen Sie mehr zum Thema Governance und digitale Resilienz: