Cybervize - Cybersecurity Beratung

Governance und internes Kontrollsystem jenseits der IKT

MaRiskCISOISMS ManagerGeschäftsleitungLeiter Risikomanagement

Kernaussage

Mit DORA ist die IKT-Resilienz seit dem 17.01.2025 als unmittelbar geltendes EU-Recht geregelt. Viele Institute schließen daraus, dass die aufsichtliche Steuerung von Informationssicherheit nun abschließend in der IKT-Welt liegt. Das ist ein Trugschluss. Die MaRisk, das BaFin-Rundschreiben zur Konkretisierung von Paragraf 25a KWG, bleibt der Rahmen für Gesamt-Risikomanagement, internes Kontrollsystem und Governance jenseits der reinen IKT.

DORA hat die IKT-bezogenen technisch-organisatorischen Teile übernommen; das Gesamt-Risikomanagement, das interne Kontrollsystem und das Auslagerungsmanagement für Nicht-IKT-Dienste bleiben jedoch MaRisk-Terrain. Für den CISO heißt das: Informationssicherheit muss in das MaRisk-Governance-Modell eingehängt sein, sonst entsteht eine Steuerungslücke zwischen technischer Resilienz und unternehmensweitem Risikomanagement.

Problem in der Praxis

Nach dem DORA-Anlaufjahr konzentrieren viele Banken ihre Energie auf IKT-Risikomanagement, Vorfallmeldung, Resilienz-Testing und das Informationsregister der IKT-Drittdienstleister. Die Governance-Anker der MaRisk verlieren dabei an Sichtbarkeit, obwohl sie weiter gelten. Das zeigt sich, wenn die laufende Aufsicht aus BaFin und Bundesbank nach der Gesamtsteuerung fragt: Informationssicherheits-Risiken werden zwar technisch im DORA-Rahmen behandelt, fließen aber nicht sauber in Risikoinventur, Risikotragfähigkeit und Berichterstattung an die Geschäftsleitung ein. Der blinde Fleck liegt dort, wo ein operationelles oder Auslagerungsrisiko aus der IT in das Gesamt-Risikoprofil hineinwirkt.

Ein zweites Muster betrifft die Auslagerung. IKT-Auslagerungen folgen dem DORA-Regime, das übrige Auslagerungsmanagement bleibt MaRisk und Paragraf 25b KWG unterworfen. Wer beides vermischt, riskiert Lücken im Auslagerungsregister, in der Wesentlichkeitsanalyse und in den Exit-Strategien.

CISO-Einordnung

Hilfreich ist die Frage, was DORA nicht regelt. DORA ist lex specialis für IKT-Risikomanagement, IKT-Vorfallmeldung, Resilienz-Testing und IKT-Drittparteienrisiko; MaRisk bleibt zuständig für alles darüber hinaus:

  • die Gesamtverantwortung des Leitungsorgans für eine ordnungsgemäße Geschäftsorganisation,
  • Geschäfts- und Risikostrategie, Risikoinventur über alle wesentlichen Risikoarten und Risikotragfähigkeit,
  • das interne Kontrollsystem mit Funktionstrennung und der Logik der drei Verteidigungslinien,
  • die Kontrollfunktionen Risikocontrolling, Compliance und Interne Revision,
  • das Auslagerungsmanagement für Nicht-IKT-Dienste sowie die Risikokultur als verbindendes Element.

In dieser Governance wird Informationssicherheit zur Managemententscheidung. Ein ISMS, etwa nach ISO/IEC 27001 als Referenzmodell, kann das operative Wie beisteuern, ersetzt aber weder die DORA-Pflichten noch die MaRisk-Governance.

Wichtig ist die Abgrenzung der Zuständigkeiten. Für den Finanzsektor sind BaFin und Bundesbank zuständig, nicht die Bundesnetzagentur und nicht das BSI. Die sektoralen IKT-Rundschreiben wurden zudem abgelöst: KAIT, VAIT und ZAIT zum 16.01.2025; die BAIT entfällt für DORA-pflichtige Institute seit demselben Datum, ihre vollständige Aufhebung ist angekündigt (genaues Datum am Originaltext zu prüfen). MaRisk wird dadurch nicht aufgehoben.

Umsetzungsperspektive

Die geltende Fassung ist das Rundschreiben 06/2024 (BA) vom 29.05.2024, die achte Novelle, modular gegliedert in einen Allgemeinen und einen Besonderen Teil. Eine neunte Novelle steht im Abschluss: Die Konsultation 02/2026 erschien am 01.04.2026, die Stellungnahmefrist endete am 08.05.2026, die finale Fassung wurde für Juni 2026 angekündigt. Finale Nummer und Inkrafttreten sind am Originaltext zu prüfen; die AT- und BT-Ziffern werden mit der Novelle restrukturiert. Sie stärkt laut Konsultationsfassung zudem die Proportionalität mit Erleichterungen für kleine und sehr kleine Institute und schärft die Unabhängigkeit der Kontrollfunktionen.

Aus CISO-Sicht bietet sich ein pragmatischer Anschluss an: Sicherheits- und IKT-Risiken werden im DORA-Rahmen behandelt, ihre wesentlichen Ausprägungen aber in MaRisk-Risikoinventur, operationelle Risiken, Risikotragfähigkeit und Berichterstattung eingespeist, ohne die DORA-Prozesse zu duplizieren. Für die Auslagerung empfiehlt sich eine klare Zuordnung jedes Dienstleisters: IKT-Auslagerung nach DORA Kapitel V oder Nicht-IKT-Auslagerung nach MaRisk und Paragraf 25b KWG, mit Pflege im jeweils richtigen Register.

Typische Fehler

  1. Informationssicherheit wird nur als DORA-Pflicht geführt und nicht in die MaRisk-Governance eingehängt.
  2. IKT- und Nicht-IKT-Auslagerungen werden vermischt, sodass Register, Wesentlichkeitsanalyse und Exit unklar werden.
  3. IKT-Risiken landen nicht in der Risikoinventur und damit nicht in der Risikotragfähigkeit.
  4. Die Verantwortung des Leitungsorgans wird als Formalie behandelt, nicht als reale Steuerungsfunktion.
  5. DORA-Prozesse werden dupliziert, statt Ergebnisse sauber zu verknüpfen.

Risiken und Trade-offs

Eine zu enge DORA-Fokussierung erzeugt technische Resilienz ohne Anbindung an die unternehmensweite Risikosteuerung. Eine zu breite MaRisk-Auslegung, die IKT-Themen erneut detailliert regelt, führt zu Doppelarbeit und Widersprüchen mit dem unmittelbar geltenden EU-Recht. Erforderlich ist eine saubere Schnittstelle.

Ein weiterer Trade-off betrifft die Proportionalität: Kleine Institute können Erleichterungen nutzen, riskieren aber, wesentliche Risiken zu untersteuern, wenn sie diese vorschnell ausschöpfen; große Institute tragen umgekehrt das Risiko, Governance-Prozesse zu überfrachten.

Entscheidungspunkte

  • Wie werden wesentliche IKT-Risiken aus dem DORA-Rahmen in MaRisk-Risikoinventur und Risikotragfähigkeit überführt?
  • Wie wird jeder Dienstleister eindeutig als IKT- oder Nicht-IKT-Auslagerung klassifiziert und registriert?
  • Welche Rolle nimmt der CISO in den drei Verteidigungslinien ein, und wie ist die Unabhängigkeit der Kontrollfunktionen gesichert?
  • Welche Auswirkungen der neunten Novelle sind für das eigene Institut relevant?
  • Wie wird die Gesamtverantwortung des Leitungsorgans operativ wahrgenommen und dokumentiert?

Praktische Empfehlungen

  1. Behandeln Sie DORA und MaRisk als verzahnte, aber nicht deckungsgleiche Rahmen: IKT-Resilienz dort, Gesamt-Governance hier.
  2. Speisen Sie wesentliche IKT- und Sicherheitsrisiken in Risikoinventur, Risikotragfähigkeit und Berichterstattung ein, ohne DORA-Prozesse zu duplizieren.
  3. Trennen Sie IKT- und Nicht-IKT-Auslagerungen sauber und führen Sie jeden Dienstleister im richtigen Register.
  4. Verankern Sie die Rolle des CISO in den drei Verteidigungslinien und klären Sie die Schnittstelle zu Risikocontrolling, Compliance und Interner Revision.
  5. Beobachten Sie die neunte Novelle und prüfen Sie Nummer, Inkrafttreten und Ziffern stets am BaFin-Originaltext.

Relevante Normreferenzen

  • MaRisk, Rundschreiben 06/2024 (BA) vom 29.05.2024 (achte Novelle): Konkretisierung von Paragraf 25a KWG. Frei zugänglich und zitierbar (bafin.de).
  • Paragraf 25a, 25b und 25c KWG: Grundlage für Geschäftsorganisation, Auslagerung und Geschäftsleiterpflichten (gesetze-im-internet.de).
  • DORA, Verordnung (EU) 2022/2554, Geltung seit 17.01.2025: lex specialis für IKT-Risiken, hier nur zur Abgrenzung.
  • EBA-Leitlinien zur internen Governance (EBA/GL/2021/05; Revision als Entwurf EBA/CP/2025/20): zitierbar (eba.europa.eu).
  • ISO/IEC 27001: Referenz für ISMS-Anforderungen, nur als allgemeiner Bezugsrahmen, keine Inhalte reproduziert.

Häufige Fragen

Macht DORA die MaRisk für die IT überflüssig?+

Nein. DORA übernimmt die IKT-Resilienz, aber MaRisk bleibt für Gesamt-Risikomanagement, internes Kontrollsystem und Governance jenseits der reinen IKT maßgeblich und wird nicht aufgehoben.

Welche Auslagerungen fallen weiter unter MaRisk?+

Nicht-IKT-Auslagerungen folgen MaRisk und Paragraf 25b KWG, IKT-Auslagerungen folgen DORA Kapitel V. Die saubere Trennung verhindert Lücken in Register und Wesentlichkeitsanalyse.

Wer ist im Finanzsektor zuständig?+

Die BaFin federführend, in der laufenden Aufsicht gemeinsam mit der Deutschen Bundesbank. Nicht die Bundesnetzagentur und nicht das BSI.

Wie steht es um die neunte MaRisk-Novelle?+

Die Konsultation lief seit dem 01.04.2026, die finale Fassung wurde für Juni 2026 angekündigt; finale Nummer und Inkrafttreten sind am BaFin-Originaltext zu prüfen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen MaRisk prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mar-003.