DORA Training Rules for Financial Teams

Das Wichtigste

  • DORA macht Resilienztraining zu einer verpflichtenden Kontrollmaßnahme.
  • Wie tief ein Training geht, sollte zur echten Risikoexposition einer Rolle und zu ihren Entscheidungsrechten passen.
  • Die Geschäftsleitung ist ausdrücklich einbezogen.
  • Schwache Nachweise können zum Aufsichtsproblem werden.

Cyber-Training gehört jetzt in den Kontrollrahmen

Seit DORA am 17. Januar 2025 gilt, gehören Cyber-Trainings für betroffene Finanzunternehmen nicht mehr neben, sondern in das Regime für operationale Resilienz. Das ist auf Führungsebene relevant, weil die Verordnung (EU) 2022/2554 das Leitungsorgan dafür verantwortlich macht, den IKT-Risikomanagementrahmen festzulegen, zu genehmigen, zu überwachen und umzusetzen.

Viele Finanz-Scaleups bleiben noch bei einem jährlichen Awareness-Modul plus Phishing-Übung und haken das Thema damit ab. Unter DORA ist dieses Modell zu schwach. Es geht nicht mehr darum, ob Training stattfindet, sondern ob es rollenbasiert, verpflichtend, dokumentiert und im Prüfungsfall belastbar ist. Genau diese Verschiebung steht auch hinter Warum Lernen zur strategischen Infrastruktur wird.

Artikel 13 Absatz 6 macht Sensibilisierung zur verpflichtenden Kontrollmaßnahme

Rechtlich entscheidend ist Artikel 13 Absatz 6 der DORA. Er verpflichtet Finanzunternehmen, Programme zur Sensibilisierung für IKT-Sicherheit und Trainings zur digitalen operationalen Resilienz als Pflichtmodule in die Schulungsprogramme für Mitarbeitende aufzunehmen. Mitarbeitende und Leitungsorgan werden dabei ausdrücklich einbezogen.

Damit verschiebt sich die Ausgangslage. Training ist keine freiwillige Awareness-Kampagne mehr, die allein bei HR oder Security liegt. Es wird Teil des kontrollierten Betriebsmodells. Führungsteams brauchen deshalb Sicht auf Abdeckung, Wiederholung, Ausnahmen und Nachsteuerung.

Rollenbasierte DORA-Trainingsmatrix mit Audit-Trail und Verantwortung im Leitungsorgan.
DORA macht Resilienztraining rollenbasiert, belegbar und auf Managementebene verantwortet.

Die eigentliche Zielgruppe reicht von Mitarbeitenden bis zum Leitungsorgan

DORA beschränkt diese Pflicht nicht auf Security-Spezialisten. Sie betrifft die Menschen, die Outsourcing freigeben, Incidents abzeichnen, Change-Entscheidungen treffen und kundenrelevante Prozesse verantworten. Gleichzeitig sorgen die Governance-Pflichten des Leitungsorgans unter DORA dafür, dass sich die Geschäftsleitung nicht aus dem Trainingsplan ausklammern lässt.

Deshalb zählt die Komplexität der Rolle mehr als die Anzahl der Kurse. Leitungsorgane brauchen Training auf Entscheidungsebene zu Verantwortlichkeit, Kriseneskalation, Konzentrationsrisiken bei Drittanbietern und Abwägungen in der Resilienz. Engineering-Teams brauchen Inhalte zu Secure Design, Changes und Abhängigkeitsrisiken. Operations-, Finance- und Customer-Teams brauchen klare Routinen für Eskalation, Kontinuität und Incident Response. Es ist dieselbe strukturelle Verschiebung, die in Warum Kompetenzpolitik zur Wirtschaftspolitik wird: Fähigkeiten werden zunehmend als Teil der Resilienzfähigkeit verstanden, nicht als weiches Begleitthema.

Good to know

Muss auch die Geschäftsleitung nach DORA trainiert werden?

Ja. Artikel 13 Absatz 6 bezieht das Leitungsorgan in die Trainingspflicht ein, und die Governance-Vorgaben von DORA machen dieses Organ für den IKT-Risikomanagementrahmen verantwortlich.

Reicht ein generisches jährliches Cyber-Awareness-Modul?

Meistens nicht. DORA zielt auf verpflichtendes Training, das zu tatsächlichen Rollen, Risikoexposition und Governance-Verantwortung passt – nicht auf ein Einheitsmodul für alle Mitarbeitenden.

Was macht Training unter DORA auditierbar?

Ein belastbares Programm zeigt Rollenmapping, verpflichtende Zuweisung, versionierte Inhalte, Abschluss-, Assessment- und Ausnahmennachweise sowie einen Auffrischungsrhythmus, der an Rollen- oder Risikoveränderungen gekoppelt ist.

Können Unternehmen sanktioniert werden, wenn sie das falsch aufsetzen?

Ja. Das Durchsetzungskapitel von DORA verpflichtet die Mitgliedstaaten, bei Verstößen über die zuständigen Behörden verwaltungsrechtliche Sanktionen oder Abhilfemaßnahmen vorzusehen.

Nachweise machen Awareness zu einem belastbaren System

Auditierbares Training bemisst sich nicht daran, wie viele Module in einem LMS liegen. Entscheidend ist, ob ein Unternehmen belegen kann, dass die richtigen Menschen das passende Training in der richtigen Tiefe und im richtigen Rhythmus bekommen haben. In einem DORA-Kontext gehören zu einem belastbaren Setup meist:

  • Eine Rollenzuordnung, die Jobfamilien und Senioritätslevel mit konkreten IKT- und Resilienzrisiken verbindet
  • Verpflichtende Zuweisungsregeln, inklusive eigener Pfade für das Leitungsorgan
  • Versionierte Inhalte, die Richtlinien-, Kontroll- oder Szenarioänderungen zugeordnet sind
  • Protokolle zu Abschlüssen, Assessments und Ausnahmen, die Audit-Stichproben standhalten
  • Ein Auffrischungszyklus, der durch Rollenwechsel, Kontrolländerungen oder Erkenntnisse aus Incidents ausgelöst wird

Genau hier scheitern viele Unternehmen. Sie können Inhalte zeigen, aber nicht die Logik der Verpflichtung. Sie können Abschlüsse zeigen, aber nicht erklären, warum eine Rolle ein tieferes Modul bekommen hat als eine andere. Sie können jährliche Trainings zeigen, aber nicht, wie Lücken eskaliert wurden. Das ist relevant, weil DORA die Mitgliedstaaten verpflichtet, zuständige Behörden mit verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen bei Verstößen auszustatten und bestimmte Sanktionsentscheidungen zu veröffentlichen.

Sieh dir an, wie strukturierte Trainings eure DORA-Vorbereitung unterstützen können.

Entdecken

Die Umsetzung startet mit Governance, nicht mit Content-Einkauf

Für Führungsteams beginnt es mit Governance-Design. Legt fest, wer die Trainingskontrolle end to end verantwortet, wie die Rollentaxonomie gepflegt wird, welche Nachweise ihr aufbewahrt und welches Dashboard Board oder Executive Committee sehen. Die EBA beschreibt DORA als harmonisierten IKT-Risikomanagementrahmen, der ab dem 17. Januar 2025 gilt, deshalb lässt sich zersplitterte Verantwortung schwerer verteidigen.

  1. Ordnet jede kritische Rolle den Entscheidungen und IKT-Risiken zu, die sie wirklich trägt
  2. Trennt Training für Führungsteams von Awareness für alle Mitarbeitenden, statt ein generisches Modul wiederzuverwenden
  3. Definiert die Nachweiskette, bevor ihr Inhalte ausrollt
  4. Legt Auffrischungs- und Korrekturregeln für verpasste Trainings, Rollenwechsel und Updates nach Incidents fest

Wenn ihr Awareness-Content noch als isoliertes Jahrespaket einkauft, löst ihr das falsche Problem. Was ihr braucht, ist eine wiederholbare Kontrollmaßnahme rund um Training: mit Zuweisungslogik, Governance und Nachweis. Genau dort kann App-Learning helfen: mit rollenbasierten Lernpfaden und der Nachweiskette, die ihr für die DORA-Vorbereitung braucht.

DORA verlangt von Finanzunternehmen nicht einfach mehr Awareness im Abstrakten. Sie müssen zeigen, dass Resilienzfähigkeit aufgebaut, zugewiesen, aufgefrischt und überwacht wird. Teams, die Training als auditierbaren Teil der operationalen Resilienz behandeln, können ihre Position verteidigen. Teams, die es als Nebenaufgabe laufen lassen, bekommen Probleme, wenn die Aufsicht Nachweise sehen will.

Wissen soll Wirkung haben.

Machen wir daraus ein Lernprodukt mit Reichweite.

Demo buchen
Weltweit von 250K+ Lernenden genutzt