IKT-Risikomanagement

Governance

Rahmenwerk, Rollen, Strategie und Risikoappetit für IKT-Risikosteuerung.

Management-Zusammenfassung

DORA Art. 6 verpflichtet das Leitungsorgan zur Gesamtverantwortung für IKT-Risikomanagement und genehmigter IKT-Risikostrategie.
Ein Three-Lines-Modell etabliert klare Verantwortlichkeiten zwischen Fachbereichen, Risikocontrolling und Revision.
Der Risikoappetit muss quantitativ und qualitativ definiert und jährlich überprüft werden.
Eskalationsmechanismen und Schwellenwerte sind dokumentiert und getestet.

Leitungsorgan-Verantwortung (Art. 6 DORA)

DORA Art. 6 legt die Pflichten des Leitungsorgans fest: Genehmigung der IKT-Risikostrategie, Festlegung des Risikoappetits, Sicherstellung angemessener Ressourcen und regelmässige Überprüfung der Risikolage. Das Leitungsorgan muss zudem eine angemessene IKT-Governance-Kultur fördern.

IKT-Risikostrategie

Jährliche Strategie mit Zielen, Schwellen, Budget und Ressourcen, abgestimmt mit der Geschäftsstrategie.

Risikoappetit

Quantitative und qualitative Schwellen für IKT-Risiken, dokumentiert und kommuniziert.

Ressourcen

Angemessene Budgets, Personal und Werkzeuge für IKT-Risikomanagement und -Sicherheit.

Überprüfung

Mindestens jährliche Review der Risikolage, Strategie und Effektivität der Governance.

Rollenmodell — Three Lines of Defence

DORA Art. 6 und MaRisk AT 4.3.1 fordern ein klares Rollenmodell. Das Three-Lines-Modell ist etablierter Standard in Finanzinstituten.

1. Linie

Fachbereiche und IT

Operative Umsetzung des IKT-Risikomanagements: Identifikation, Bewertung, Massnahmen, Monitoring im Tagesgeschäft.

2. Linie

Risikocontrolling und Informationssicherheit

Überwachung, Methodik, Standards, Wirksamkeitsprüfung. Unabhängige Steuerungsfunktion für IKT-Risiken.

3. Linie

Interne Revision

Unabhängige Prüfung der Wirksamkeit und Angemessenheit des Gesamtsystems. Prüfplan mindestens jährlich.

Umsetzungsschritte Governance

IKT-Risikostrategie entwerfen und vom Leitungsorgan genehmigen lassen (Art. 6 Abs. 1 DORA).
Risikoappetit quantitativ und qualitativ definieren und kommunizieren.
Three-Lines-Modell mit RACI-Matrix dokumentieren und Rollenbeschreibungen aktualisieren.
Eskalationsmatrix mit Schwellen, Auslösern und Empfängern festlegen.
Jährliche Governance-Review etablieren und Sitzungsprotokolle archivieren.
Schulungskonzept für das Leitungsorgan und Führungskräfte umsetzen.

Nachweise Governance

EVD-IRM-001 IKT-Risikostrategie (freigegeben) Leitungsorgan · Jährlich

EVD-IRM-002 Rollen- und Verantwortungsmatrix (RACI) Organisation · Jährlich

EVD-IRM-011 Leitungsorganbericht IKT-Risiken Risikocontrolling · Jährlich

EVD-IRM-015 Schulungsnachweise Leitungsorgan Personalentwicklung · Jährlich

Hinweis

Diese Inhalte sind eigenständig formulierte Umsetzungshilfen und ersetzen keine Rechtsberatung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

DORA Art. 6 — Governance (EU) 2022/2554 Stand: 2022-12-14
BaFin: MaRisk AT 4.3.1 IT-Risiken Stand: Abruf 2026-05-13

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.