DORA Training Rules for Financial Teams

Das Wichtigste auf einen Blick

  • DORA macht Resilienz-Training zu einer verpflichtenden Kontrolle.
  • Die Tiefe der Schulung sollte zur echten Rollenexponierung und den Entscheidungsrechten passen.
  • Das obere Management ist ausdrücklich mit erfasst.
  • Schwache Nachweise können zum Aufsichtsproblem werden.

Training ist jetzt Teil des Kontrollrahmens

Seit dem Inkrafttreten von DORA am 17. Januar 2025, gehört Cyber-Training für betroffene Finanzunternehmen zum Regime der operativen Resilienz und steht nicht mehr daneben. Das ist gerade auf Führungsebene wichtig, weil die Verordnung (EU) 2022/2554 das Leitungsorgan dafür verantwortlich macht, den IKT-Risikomanagementrahmen zu definieren, zu genehmigen, zu überwachen und umzusetzen.

Viele Finance-Scale-ups fahren immer noch ein jährliches Awareness-Modul plus Phishing-Übung und halten das für ausreichend. Unter DORA ist dieses Modell zu schwach. Es geht nicht mehr darum, ob Training existiert, sondern ob es rollenbasiert, verpflichtend, dokumentiert und unter Prüfung belastbar ist. Genau hinter diesem größeren Wandel steht auch Warum Lernen zu strategischer Infrastruktur wird.

Artikel 13(6) macht Awareness zu einer Pflichtkontrolle

Der rechtliche Kern steht in Artikel 13(6) von DORA. Er verlangt, dass Finanzunternehmen IKT-Sicherheits-Awareness-Programme und Schulungen zur digitalen operativen Resilienz als Pflichtmodule in ihre Mitarbeiterschulungen aufnehmen. Ausdrücklich erfasst sind dabei sowohl Mitarbeitende als auch das Leitungsorgan.

Das verschiebt die Ausgangslage. Training ist keine freiwillige Awareness-Kampagne mehr, die nur HR oder Security gehört. Es wird Teil des kontrollierten Betriebsmodells. Das heißt: Die Führung braucht Transparenz über Abdeckung, Wiederholungen, Ausnahmen und Nachbesserungen.

Rollenbasierte DORA-Trainingsmatrix mit Audit Trail und Verantwortung des Leitungsorgans.
DORA macht Resilienz-Training rollenbasiert, nachweisbar und auf Managementebene verankert.

Die Zielgruppe reicht von Mitarbeitenden bis zum Leitungsorgan

DORA beschränkt diese Pflicht nicht auf Security-Spezialist:innen. Sie gilt auch für Menschen, die Outsourcing freigeben, Incidents abzeichnen, Änderungen entscheiden und kundenrelevante Prozesse verantworten, und die Governance-Pflichten des Leitungsorgans unter DORA machen es unmöglich, die Führungsebene aus dem Schulungsplan auszuklammern.

Deshalb zählt Rollenkomplexität mehr als Kursvolumen. Boards brauchen entscheidungsreife Trainings zu Verantwortung, Kriseneskalation, Drittanbieter-Konzentration und Resilienz-Abwägungen. Engineers brauchen Inhalte zu sicherem Design, Changes und Abhängigkeitsrisiken. Teams aus Operations, Finance und Customer brauchen klare Routinen für Eskalation, Kontinuität und Incident Response. Das ist derselbe strukturelle Wandel, der auch in Warum Kompetenzpolitik zur Wirtschaftspolitik wird beschrieben wird: Fähigkeiten gelten zunehmend als Teil der Resilienzkapazität, nicht als weiche Support-Schicht.

Good to know

Erfordert DORA Schulungen für das obere Management?

Ja. Artikel 13(6) bezieht das Leitungsorgan in die Schulungspflicht ein, und DORAs Governance-Vorgaben machen dieses Organ für den IKT-Risikomanagementrahmen verantwortlich.

Reicht ein allgemeines jährliches Cyber-Awareness-Modul aus?

Meistens nicht. DORA zielt auf verpflichtende Schulungen ab, die zu tatsächlicher Rolle, Risikoexponierung und Governance-Verantwortung passen, statt auf ein einheitliches Modul für alle Mitarbeitenden.

Was macht Schulungen unter DORA auditierbar?

Ein belastbares Programm zeigt Rollenlogik, verpflichtende Zuweisung, versionierte Inhalte, Abschluss- und Ausnahmeprotokolle sowie einen Aktualisierungsrhythmus, der an Rollen- oder Risikoänderungen gekoppelt ist.

Können Unternehmen sanktioniert werden, wenn sie das falsch umsetzen?

Ja. DORAs Durchsetzungskapitel verpflichtet die Mitgliedstaaten, bei Verstößen administrative Sanktionen oder Abhilfemaßnahmen durch zuständige Behörden vorzusehen.

Nachweise machen aus Awareness ein belastbares System

Auditierbare Schulungen erkennt man nicht daran, wie viele Module in einem LMS liegen. Entscheidend ist, ob das Unternehmen nachweisen kann, dass die richtigen Personen die richtigen Inhalte in der richtigen Tiefe und im richtigen Rhythmus bekommen haben. Im DORA-Kontext gehört dazu meist:

  • Eine Rollenlandkarte, die Jobfamilien und Seniorität mit konkreten IKT- und Resilienzrisiken verknüpft
  • Verpflichtende Zuweisungsregeln, inklusive separater Pfade für das Leitungsorgan
  • Versionskontrollierte Inhalte, die auf Änderungen bei Richtlinien, Kontrollen oder Szenarien abgebildet sind
  • Abschluss-, Test- und Ausnahmeprotokolle, die einer Audit-Stichprobe standhalten
  • Ein Auffrischungszyklus, der durch Rollenwechsel, Kontrolländerungen oder Learnings aus Incidents ausgelöst wird

Genau daran scheitern viele Unternehmen. Sie können Inhalte zeigen, aber nicht die Logik dahinter, wer was verpflichtend machen muss. Sie können Abschlüsse zeigen, aber nicht, warum eine Rolle ein tieferes Modul bekam als eine andere. Sie können jährliche Schulungen zeigen, aber nicht, wie Lücken eskaliert wurden. Das ist relevant, weil DORA die Mitgliedstaaten verpflichtet, ihre zuständigen Behörden mit administrativen Sanktionen und Abhilfemaßnahmen bei Verstößen auszustatten und bestimmte Sanktionsentscheidungen zu veröffentlichen.

Sieh dir an, wie strukturierte Schulungen die DORA-Readiness unterstützen.

Mehr erfahren

Die Umsetzung beginnt mit Governance, nicht mit Content-Einkauf

Für Führungsteams ist der erste Schritt das Governance-Design. Klärt, wer die Schulungskontrolle End-to-End verantwortet, wie die Rollentaxonomie gepflegt wird, welche Nachweise aufbewahrt werden und welches Dashboard Vorstand oder ExCo sehen. Die EBA beschreibt DORA als den harmonisierten IKT-Risikomanagementrahmen, der seit dem 17. Januar 2025 gilt, deshalb lässt sich fragmentierte Verantwortung schwerer verteidigen.

  1. Ordne jeder kritischen Rolle die Entscheidungen und IKT-Risiken zu, die sie tatsächlich trägt
  2. Trenne Führungskräftetraining von unternehmensweiter Awareness, statt überall dasselbe generische Modul zu nutzen
  3. Lege die Nachweiskette fest, bevor du Content ausrollst
  4. Setze Regeln für Auffrischung und Nachsteuerung bei versäumten Schulungen, Rollenwechseln und durch Incidents ausgelösten Updates

Wenn ihr Awareness-Content immer noch als eigenständiges Jahrespaket einkauft, löst ihr das falsche Problem. Gefragt ist eine wiederholbare Schulungskontrolle mit Zuweisungslogik, Governance und Nachweisen. Genau hier kann App-Learning helfen: mit rollenbasierten Lernpfaden und der Nachweiskette, die für DORA-Readiness nötig ist.

DORA verlangt von Finanzunternehmen nicht einfach nur mehr Awareness. Sie müssen zeigen, dass Resilienzfähigkeit aufgebaut, zugewiesen, aktualisiert und überwacht wird. Teams, die Training als auditierbaren Teil der operativen Resilienz behandeln, können ihre Position besser belegen. Teams, die es als Nebenthema laufen lassen, geraten ins Straucheln, wenn Aufseher Nachweise sehen wollen.

Wissen soll Wirkung haben.

Machen wir daraus ein Lernprodukt mit Reichweite.

Demo buchen