Resilienz als neue Führungsaufgabe: Com­p­li­ance und Vor­stand in der Nach­weispf­licht

Die Anforderungen an Unternehmen und ihre Compliance-Organisation haben sich erneut verschärft. Von den Aufsichtsbehörden werden nicht nur funktionierende Prozesse, sondern nachweisbare Resilienz über das gesamte Unternehmen hinweg erwartet. Prüfungsdruck, Dokumentationstiefe und Evidenzanforderungen steigen – ebenso die haftungs- und versicherungsrechtlichen Implikationen für Vorstände und Unternehmen.

Jüngst hat sich der Rechtsrahmen auch durch den Übergang von der nationalen Regelung zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) zum Digital Operational Resilience Act (DORA) weiter verdichtet. DORA verleiht der lange bekannten Prüfmechanik einen EU-einheitlichen, deutlich schärferen Rechtscharakter.

Von VAIT zu DORA – ein Paradigmenwechsel

Die BaFin hat die VAIT kurz vor der Einführung von DORA aufgehoben, um eine Doppelregulierung zu vermeiden. Die bekannten Schwerpunkte IT-Governance, Schwachstellenmanagement, Notfallmanagement sowie die VAIT-typische Prüfungstiefe bleiben unter DORA im Prinzip identisch. Das ist der Brückenschlag: Die Prüflogik bleibt, aber der Rechtsrahmen wird EU-weit schärfer und breiter.

Die Aufsicht fordert tiefere Einblicke in Governance, Prozesse und belastbare Nachweise. Vorstände müssen ihr Risikomanagement aktiv steuern und dokumentieren, während das Meldewesen durch einheitliche Klassifikations- und Reportingvorgaben strenger wird und praktische Meldefähigkeit belegbar sein muss.

Gleichzeitig rückt ein erweitertes Resilienztestprogramm in den Fokus. Neben jährlichen Sicherheitstests ist für bedeutende Institute das Threat‑Led Penetration Testing (TLPT) alle drei Jahre verpflichtend. Es simuliert realitätsnahe Angriffsszenarien nach festen Vorgaben und erfordert eine sorgfältige Vorbereitung, Dokumentation und Nachverfolgung.

Besonders verschärft hat sich die Prüfung von Drittparteirisiken. Das "Register of Information" muss alle IT‑Dienstleistungsverhältnisse einschließlich Subunternehmern vollständig abbilden. Die Aufsicht nutzt es zur Identifikation von Abhängigkeiten und systemischen Risiken und kontrolliert Konsistenz und Aktualität streng.

Resilienz wird zur Kettendisziplin

Erkennbar ist die Verschiebung der Prüfungsperspektive. Nicht nur das Unternehmen selbst, sondern auch dessen gesamte Liefer- oder Wertschöpfungskette steht unter Beobachtung. Für die Praxis heißt das, dass Compliance-Funktionen deutlich mehr Aufwand in die Dokumentation, Abstimmung und Governance der Drittparteienbeziehungen der Unternehmen investieren müssen – samt klar definierten Zuständigkeiten, transparenten Datenflüssen und prüfbaren Verträgen.

Unternehmen müssen in allen genannten Bereichen auf konkrete Nachfragen und Nachweise vorbereitet sein. Es geht nicht nur um "Paper-Compliance", also Prozesse auf Papier, sondern um belastbare Evidenzen, die zeigen, dass die Prozesse tatsächlich funktionieren. Die Prüfungstiefe für Unternehmen ist deutlich intensiver als vor DORA, und der Wunsch nach datenbasierten Nachweisen spiegelt sich bereits jetzt in der Erwartung der europäischen und nationalen Aufsichtsbehörden wider.

DORA als Treiber neuer Haftungs- und Deckungsrisiken

DORA entfaltet in der Versicherungswirtschaft auch unmittelbare versicherungsvertragliche und Underwriting-bezogene Konsequenzen. Besonders sichtbar wird dies in der D&O-Versicherung, bei der die Risikoprüfung zunehmend auf Governance- und ESG-Aspekte ausgerichtet ist – ein Trend, der sich durch DORA deutlich verstärkt. Bereits vor DORA wurde die Integration von IT- und ESG-Risiken als wesentlicher Bestandteil des Underwritings beschrieben; Underwriter verlangen Einsicht in interne Strukturen, Prozesse und Verantwortlichkeiten, wozu ausdrücklich auch Compliance- und IT-Risk-Management-Funktionen zählen. DORA intensiviert die  Prüfungstiefe weiter, da Vorstände für die Wirksamkeit des IT-Risikomanagements einzustehen haben und Verstöße potenziell als Organpflichtverletzung gewertet werden können.

Auch in der Schadenbearbeitung kann sich DORA auswirken. Der Versicherungsvertrag vom Antrag bis zur Auszahlung eines Schadens lebt von der Überlassung vollständiger und korrekter Informationen. Fehlerhafte Angaben, insbesondere bei vorvertraglichen Anzeigepflichten können zu erheblichen Deckungsrisiken führen. Da DORA neue Pflichten für Unternehmen bedeutet, müssen nun häufiger als zuvor IT-Dienstleister, Subunternehmerketten oder Incident-Prozesse gegenüber dem Versicherer dargestellt oder ihre Reife korrekt eingeschätzt werden. Passiert hier ein Fehler, kann dies als Verletzung von Risikoobliegenheiten bewertet werden – mit potenziellen Folgen bis hin zur Leistungsfreiheit.

Praxisrelevante Governance- und Nachweisbausteine 2026

Vorstände und Geschäftsleiter müssen sicherstellen, dass ihre Unternehmen der neuen Nachweispflicht gewachsen sind. Wirksame Compliance setzt klar geregelte Verantwortlichkeiten voraus. Zuständigkeiten müssen eindeutig definiert und tatsächlich wahrgenommen werden und dürfen nicht nur in Organigrammen existieren. Aufsichtsbehörden und Wirtschaftsprüfer fragen nach der Dokumentation von Entscheidungen, aus der dann funktionierende Entscheidungs- und Eskalationswege, die im Unternehmensalltag angewendet werden, ersichtlich sein müssen.

Zentral bleibt zudem ein strukturiertes Drittparteienmanagement. Unternehmen müssen nachvollziehbar zeigen, wie sie Dienstleister auswählen und wie sie deren Risiken für ihr Geschäft identifizieren und steuern. Dies ist ein Bereich, in dem häufig sowohl klare Verantwortlichkeiten als auch systematische Dokumentation fehlen.

Gleiches gilt für das Incident-Handling. Keine Behörde glaubt heute mehr, dass es keine Vorfälle im Bereich der Datennutzung gibt. Alle Vorfälle müssen erkannt und sauber dokumentiert werden und lückenlos nachverfolgbar sein. In der Praxis bestehen hier jedoch oft Defizite in der Nachweislogik.

Typische Prüflücken zeigen sich oft insbesondere dort, wo Ressourcen knapp sind. Prozesse sind zwar definiert, aber nicht konsistent umgesetzt. Kontrollen finden unregelmäßig statt und Nachweise sind unvollständig. Das Ergebnis ist ein Compliance-System, das formal existiert, aber im operativen Alltag zu wenig trägt.

Die neue Realität der Aufsicht

Resilienz ist ein Kernthema der Aufsicht in 2026, nicht nur DORA oder IT-Resilienz. Alle Marktteilnehmer erkennen, dass es ohne funktionierende IT-Systeme nicht geht, und daher spielt DORA für die Compliance von Unternehmen im Jahr 2026 eine zentrale Rolle.

DORA ist geltendes Aufsichtsrecht für die Geschäftsführung, das die "Black Box" der Risiken ausgelagerter IT final öffnet. Wer Register, Verträge und Testprogramme nicht prüfungsfest macht, läuft Gefahr, dass die Aufsicht beim ersten Deep-Dive nicht nur technische Schwächen, sondern Governance-Defizite feststellt. Board-Ownership, saubere Evidenzketten und ein belastbares Drittparteien-Management sind die neuen Muss-Faktoren für sichere Compliance.

 

Rechtsanwalt Udo Pickartz ist Counsel und spezialisiert auf Versicherungs- und Compliance-Fragen bei der Kanzlei Simmons & Simmons am Standort Düsseldorf. 

Er vertritt nationale und internationale Unternehmen, insbesondere aus dem Finanzdienstleistungssektor.