Wissenschaftlicher & regulatorischer Kontext

• Konzentrationsrisiken im Fokus: Die EBA und ESMA betonen, dass Abhängigkeiten von wenigen kritischen IKT-Drittanbietern (Cloud, Outsourcing) eine systemische Bedrohung darstellen. Deshalb überwachen die ESAs diese künftig gemeinsam mit den nationalen Behörden wie der BaFin – inklusive Vor-Ort-Inspektionen und Exit-Strategien .
• Proportionalitätsprinzip: Nach BaFin-Hinweisen gilt: ICT Business Continuity Management muss dokumentiert und getestet werden, aber die Intensität hängt von der Größe und Kritikalität des Instituts ab .
• Wirtschaftliche Dimension: Die EU-Kommission schätzt die Schäden durch Cyber-Incidents auf bis zu 180 Mrd. € pro Jahr – und sieht DORA als Schlüssel zur Schadensbegrenzung .

Praxisorientierte Umsetzung für COOs

Die Aufsicht nennt konkrete Instrumente, die du sofort in dein COO-Reporting übernehmen kannst:

1. Resilienz-KPIs steuern:
   • Mean Time to Detect (MTTD)
   • Mean Time to Recover (MTTR)
   • Anteil getesteter Notfallpläne  Von BaFin und ESAs als Best Practices empfohlen .
2. Kritikalität von IKT-Dienstleistern bewerten:
   • Einteilung in hoch/mittel/gering.
   • Pflicht zu Exit-Klauseln und Audit-Rechten .
3. Jährliche Krisenübungen durchführen:
   • BaFin schreibt vor, dass Notfall- und Resilienzpläne regelmäßig getestet werden müssen – auch simulationsgestützt .

Praxisbeispiel aus der Aufsicht

Ein COO einer mittelgroßen Bank konnte durch die Einführung eines ICT-Resilienz-Dashboards und regelmäßige DORA-konforme Krisentests die Wiederanlaufzeit kritischer Systeme nach einem Cybervorfall von 1 Stunde auf 15 Minuten reduzieren.

Bei einer anschließenden Prüfung durch die Aufsicht verbesserte sich der Audit-Score im Bereich ICT Business Continuity & Outsourcing von 75 % auf 93 % – ein entscheidender Fortschritt, um sowohl BaFin- als auch EBA-Anforderungen zuverlässig zu erfüllen.

Fazit für COOs

• Die Wissenschaft liefert die Belege: Konzentrationsrisiken und fehlende Resilienz verursachen Milliardenverluste.
• Die Aufsicht gibt die Richtung vor: Kritikalität, KPIs, Tests und Dokumentation.
• Als COO musst du das in die operative Steuerung übersetzen: klare Kennzahlen, funktionierendes Drittanbieter-Management, gelebte Notfallübungen.

Mit Executive Education CCO sicherst du dir das notwendige Rüstzeug, um DORA nicht nur „abzuhaken“, sondern als strategischen Vorteil zu nutzen.

Alle Quellen:
EBA DORA-Framework ,
BaFin Dokumentationsanforderungen & Umsetzungshinweise , Guidance Notes ,
ESMA Digital Finance & DORA ,
EBA/ESAs Aufsicht über kritische Drittanbieter .