Wann macht ein Interim Manager für DORA Sinn?

Wenn DORA-Projekte nicht im Plan sind, interne Kapazitäten fehlen, Prüfungen anstehen oder die Umsetzung organisatorisch nicht greift. Ein Interim Manager bringt regulatorische Erfahrung, Umsetzungs-Tempo und externe Autorität — und arbeitet von Tag 1 auf eine prüfungsfeste Übergabe hin.

§ Themen — Regulatorik

DORA-Compliance.

Umsetzung der Digital Operational Resilience Act-Anforderungen für Finanzunternehmen — pragmatisch, prüfungsfest, mit Augenmaß für Proportionalität. Aus laufenden Mandaten heraus.

Warum DORA jetzt kritisch ist

Seit dem 17. Januar 2025 ist DORA in der gesamten EU verbindlich. Aufsichtsbehörden — in Deutschland die BaFin, in der Sparkassen-Welt zusätzlich die Verbandsprüfung — haben die Übergangsphase beendet und prüfen aktiv. Viele Häuser haben die formalen Anforderungen umgesetzt, kämpfen aber mit der operativen Wirksamkeit:

Drittparteien-Register vorhanden, aber Kritikalitätsbewertung uneinheitlich.
Vorfallsmanagement-Prozess dokumentiert, aber im Ernstfall unklare Meldewege.
Resilienz-Tests durchgeführt, aber ohne strukturierte Lessons-Learned.
Outsourcing-Verträge angepasst, aber Steuerungsroutinen nicht etabliert.
Reporting an Geschäftsführung und Aufsichtsorgan nicht prüfungsfest.

Genau hier setzt ein erfahrener Interim Manager an — mit Umsetzungs-Tempo, regulatorischer Erfahrung und der nötigen Autorität, um durch interne Bereichsgrenzen zu führen.

Die fünf Säulen in der Umsetzung

I. ICT-Risikomanagement

Aufbau und Verankerung eines durchgängigen ICT-Risiko-Frameworks: Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung. Verzahnung mit bestehenden Risikomanagement- und ISMS-Strukturen. Klare Rollen, Reporting-Linien und KPIs.

II. ICT-Vorfallsmanagement

Klassifizierung, Dokumentation und Meldung schwerwiegender ICT-bezogener Vorfälle. Etablierung von Meldewegen, Eskalationsroutinen und Schnittstellen zur Aufsichtsbehörde. Tests der Meldewege.

III. Tests der digitalen Resilienz

Risikobasierte Testprogramme: Schwachstellen-Scans, Penetrationstests, Threat-Led Penetration Testing (TLPT) für die größten Häuser. Strukturierte Lessons-Learned, Maßnahmenverfolgung, Wirksamkeitsnachweis.

IV. ICT-Drittparteienrisiken

Aufbau eines vollständigen Informationsregisters, Kritikalitätsbewertung der Dienstleister, Vertragsanpassung gem. Art. 30 DORA, Steuerungsroutinen, Exit-Strategien. Besonderer Fokus: Steuerung kritischer Provider wie Finanz Informatik in der Sparkassen-Welt.

V. Informationsaustausch

Strukturierte Teilnahme am Informationsaustausch zu Cyberbedrohungen und -vorfällen — innerhalb von Verbünden, mit ISACs, mit Aufsicht.

Was ich als Interim für DORA liefere

DORA-Reifegradanalyse

Strukturierte Bestandsaufnahme entlang der fünf Säulen — Stärken, Lücken, Quick Wins. Ergebnis: priorisierte Roadmap mit klaren Verantwortlichkeiten und Meilensteinen.

Umsetzung in der Linie

Ich übernehme nicht nur Beratung, sondern operative Verantwortung — als Interim IT-Leitung, COO oder DORA-Programmverantwortlicher. Steuerung der Fachbereiche, Budgetverantwortung, Personalführung.

Steuerung von Outsourcing-Partnern

Aus laufenden Mandaten kenne ich die operative Steuerung von kritischen Dienstleistern wie Finanz Informatik, externen Hostern und IT-Servicepartnern — inklusive Vertragsmanagement, SLA-Steuerung, Audit-Begleitung.

Audit- und Prüfungsbegleitung

Vorbereitung und Begleitung von IT-Sicherheitsaudits, BaFin-Prüfungen, Verbandsprüfungen. Erstellung prüfungsfester Dokumentation, Nachweisführung, Maßnahmenverfolgung.

Übergabe an die Linie

Ziel ist immer eine intakte, eigenständige permanente Verantwortung — Recruiting/Coaching der Nachfolge, dokumentierte Prozesse, lauffähige Steuerungsroutinen.

Häufige Fragen

Was ist DORA?

DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist eine EU-Verordnung, die seit 17. Januar 2025 für Finanzunternehmen verbindlich gilt. Sie schafft einen einheitlichen Rahmen für digitale operationale Resilienz und umfasst fünf Säulen.

Wer ist betroffen?

Rund 22 Kategorien von Finanzunternehmen — Banken, Sparkassen, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister sowie kritische ICT-Drittdienstleister. Die Anforderungen werden risiko- und proportionalitätsbasiert angewendet.

Wie schnell kann ein Mandat starten?

In der Regel innerhalb von zwei bis vier Wochen — abhängig vom aktuellen Auslastungsstatus und der Komplexität des Onboardings.

Welche Branchenerfahrung bringen Sie mit?

Über 15 Jahre Financial Services — Banking (Barclays), Datenbroker (CRIF Bürgel) und aktuell Interim IT-Leitung in einer Sparkasse mit DORA-Schwerpunkt und FI-Outsourcing-Steuerung.

DORA-Reifegrad in 30 Minuten besprechen

Kostenfreies Erstgespräch, vertraulich. Im Call klären wir Ausgangslage, Prüfungs-Roadmap und ob ein Interim-Mandat der richtige Hebel ist.

Termin vereinbaren →

E-Mail: ov@olivervossinterim.de · Telefon: +49 173 286 27 38

← Zurück zur Startseite