DORA Zuverlässigkeitsprüfung 2026: Geschäftsleiter und ICT-Risk-Officer in Banken auditierbar prüfen
Antwort vorab: Seit 17. Januar 2025 verlangt DORA (Digital Operational Resilience Act, Verordnung EU 2022/2554) von Geschäftsleitern und ICT-Risk-Officern in Finanzinstituten nachweisbare ICT-Risk-Kompetenz. Art. 5 Abs. 2 ist die Anker-Norm. BaFin prüft das in MaRisk-Audits inzwischen routinemäßig. Wer DORA-Personen-Compliance nur auf Subkontraktoren (Art. 28) reduziert, übersieht die Geschäftsleitungs-Ebene — und genau dort sammeln Aufsichts-Findings.
Situation: DORA ist seit Januar 2025 in voller Geltung für Banken, Versicherungen, Vermögensverwalter, ZAG-Institute und CRR-Wertpapierfirmen. Complication: Die meisten Compliance-Teams haben Art. 28 (Drittanbieter-Risiko) priorisiert — Art. 5–6 (Governance-Anforderungen an die Geschäftsleitung selbst) bleibt unterbelichtet. Resolution: Dieser Artikel zeigt, was DORA von der Geschäftsleitung verlangt, wie die Aufsicht das prüft und welche fünf Personen-Prüfungen auditierbar dokumentiert sein müssen.
Art. 5 Abs. 2 DORA: Geschäftsleitung muss ICT-Risk verstehen — nicht delegieren
Der zentrale Wortlaut: Die Geschäftsleitung trägt die „ultimative Verantwortung" für das ICT-Risk-Management-Framework und muss über ausreichende Kenntnisse und Fähigkeiten verfügen, um Informations- und Kommunikationstechnologie-Risiken vollständig zu verstehen, zu bewerten und zu managen (EUR-Lex DORA Volltext, Art. 5 Abs. 2).
Das ist eine Personen-Anforderung, kein Prozess. Die Aufsicht prüft konkret:
Lebenslauf-Verifikation: Hat der Geschäftsleiter die behauptete ICT-/Cybersecurity-Erfahrung tatsächlich? Echte Stationen, echte Verantwortung — keine Selbsteinschätzung.
Weiterbildungsnachweis: Hat er sich nach Aufnahme der Funktion fortgebildet? Welche Zertifikate (CISA, CISM, ISO 27001 Lead Auditor) liegen vor?
Independenz von ICT-Risk-Officer-Funktion: Ist die ICT-Risk-Funktion organisatorisch unabhängig (Art. 6 Abs. 4)? Wer ist sie persönlich?
PEP- und Sanktions-Status: Standard-Prüfung mit Bezug zur Geldwäsche-Compliance, aber zusätzlich relevant für DORA-Reporting-Pflichten an die EBA.
Adverse Media: Auffälligkeiten in der Berichterstattung der letzten 36 Monate, insbesondere im Cybersecurity- oder Compliance-Kontext.
Was die Aufsicht in MaRisk-Audits 2026 konkret abfragt
Aus drei dokumentierten BaFin-Sonderprüfungen in Q1 2026 ergeben sich wiederkehrende Fragen:
Frage 1: „Bitte legen Sie für die letzten 24 Monate die Schulungsnachweise der Geschäftsleitung im Bereich ICT-Risk vor." — typischer Stolperstein: keine systematische Dokumentation der Weiterbildung.
Frage 2: „Wie haben Sie bei Bestellung des aktuellen Geschäftsleiters die ICT-Risk-Kompetenz nach Art. 5 Abs. 2 DORA verifiziert?" — typischer Stolperstein: nur Eigenangaben des Kandidaten, keine externe Verifikation.
Frage 3: „Wer ist der ICT-Risk-Officer nach Art. 6 Abs. 4 DORA? Bitte legen Sie Bestellungsurkunde, Kompetenzprofil und Independenz-Nachweis vor." — typischer Stolperstein: Funktion ist in HR-Stellenbeschreibung definiert, aber nicht formell durch Geschäftsleitung bestellt.
Die fünf Personen-Prüfungen, die DORA-konform dokumentiert sein müssen
1. ICT-Kompetenz-Verifikation bei Bestellung. Externe Validierung der behaupteten Lebenslauf-Stationen, Zertifikate und Verantwortungs-Tiefe. Eigenangaben sind nicht ausreichend.
2. Identitätsverifikation und Strafregister-Abgleich. Pflicht bei jedem Geschäftsleiter, in Verbindung mit § 25c KWG bzw. § 24 KWG-Bestellungsanzeige.
3. Sanktions- und PEP-Screening. EU-Konsolidierungsliste, UN-Sanktionsliste, OFAC. Bei DACH-Banken zusätzlich SECO. Wiederholt mindestens alle 24 Monate.
4. Adverse Media Screening in 5+ Sprachen für die letzten 36 Monate, mit Fokus auf Cybersecurity-Vorfälle, Compliance-Ermittlungen und Reputations-Auffälligkeiten.
5. Ongoing-Monitoring der Schulungs- und Weiterbildungsnachweise. Empfohlen: jährliches Re-Assessment, dokumentiert nach Klausel 9.2 ISO 27001.
Schnittstelle zu MaRisk und § 25c KWG
DORA überlagert die existierenden BaFin-Anforderungen, ersetzt sie nicht. § 25c KWG (Geschäftsleiter müssen „zuverlässig" und „fachlich geeignet" sein) und MaRisk AT 5 (Geschäftsleitungs-Verantwortung) bleiben gültig — aber DORA Art. 5 Abs. 2 verschärft die ICT-Spezifika.
Praktische Konsequenz: Eine Fit-and-Proper-Prüfung nach § 25c KWG ohne explizite ICT-Risk-Komponente erfüllt seit Januar 2025 nicht mehr die Anforderungen. Wer das verkennt, sammelt in der nächsten BaFin-Sonderprüfung Findings. Fit-and-Proper-Praxis erweitert sich.
Verwandte Artikel
Nabil El Berr
Diesen Artikel gelesen? Sprich 30 Min mit unserem Head of Sales.
Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Drei Insight-Essential-Reports kannst Du ohne Kreditkarte testen.
Mabon Hein, Head of Sales · 30 Min · Keine Sales-Pitch
