DORA Compliance Officer und ICT-Risikomanager

Im Finanzsektor gibt es diesen Beruf längst: den DORA Compliance Officer, oft auch ICT-Risikomanager genannt. Er sorgt dafür, dass Banken, Versicherungen und Zahlungsdienstleister auch bei IT-Störungen und Cyberangriffen handlungsfähig bleiben, so wie es die EU verlangt.

Was macht ein DORA Compliance Officer?

Er sorgt dafür, dass ein Finanzunternehmen digital widerstandsfähig ist. Fällt die IT aus oder gibt es einen Cyberangriff, muss der Betrieb weiterlaufen oder sich schnell erholen. Der DORA Compliance Officer baut dafür die Regeln und Prozesse auf, überwacht die IT-Risiken, steuert die Abhängigkeit von externen Dienstleistern und weist gegenüber der Aufsicht nach, dass alles funktioniert. Die Rolle verbindet Regelwerk mit praktischem Risikomanagement.

Warum ist diese Rolle so gefragt?

Grund ist DORA, der Digital Operational Resilience Act (Verordnung (EU) 2022/2554). Er gilt seit dem 17. Januar 2025 voll und verbindlich für fast den gesamten Finanzsektor. 2026 herrscht hoher Nachweisdruck: Die Aufsicht, in Deutschland die BaFin und die EZB, prüft inzwischen genau, ob die Anforderungen wirklich umgesetzt sind. Das treibt die Nachfrage stark.

Die fünf Säulen von DORA

DORA ruht auf fünf Bereichen, und genau die bilden die Aufgaben ab:

Was man dafür können muss

Gefragt ist die Mischung aus Regelwerk und Technik. Dazu gehören ein tiefes Verständnis von DORA und seinen technischen Standards, Erfahrung im IT- und Cyber-Risikomanagement, Wissen über Cloud und Auslagerung sowie Kenntnis von Rahmenwerken wie ISO/IEC 27001 oder dem NIST-Modell. Wichtig ist auch die Kenntnis der deutschen Aufsichtspraxis, etwa der Übergang von den früheren Vorgaben BAIT, VAIT und KAIT zu DORA. Dazu kommen Projektstärke und gute Kommunikation bis auf Vorstandsebene.

Wie wird man das?

Der Weg führt fast immer über den Finanzsektor. Typisch sind fünf bis zehn Jahre Erfahrung im IT-Risikomanagement, im operationellen Risiko, in der Cybersicherheit oder in der Compliance einer Bank oder Versicherung. Hilfreich ist praktische Erfahrung mit Risiko-Rahmenwerken, mit der Reaktion auf Vorfälle oder mit dem Auslagerungsmanagement. Viele kommen aus IT-Risk- oder Compliance-Abteilungen und spezialisieren sich auf DORA.

Gehalt

Die folgenden Spannen sind grobe Marktorientierung. Der Finanzsektor zahlt für spezialisierte Regulierungs- und Risikorollen einen klaren Aufschlag, in Frankfurt und München sowie in großen Instituten eher am oberen Rand.

Typische Arbeitgeber

Vor allem Banken aller Art, Versicherungen und Rückversicherer, Investmentgesellschaften und Fondsanbieter sowie Zahlungs- und E-Geld-Institute. Große Häuser haben eigene Teams für digitale Resilienz, kleinere bündeln die Rolle mit der bestehenden Compliance. Dazu kommen Beratungs- und Prüfungsgesellschaften und kritische IT-Dienstleister wie Cloud-Anbieter, die selbst unter die Aufsicht fallen. Besonders gefragt ist die Rolle in Frankfurt und München.

Aussichten

Sehr gut. Seit DORA seit 2025 verbindlich gilt und die Aufsicht 2026 genauer prüft, ist der Bedarf an erfahrenen Fachleuten hoch. Erst dominierte der Aufbau, jetzt geht es um den Nachweis und den laufenden Betrieb: Tests, Meldungen, Drittanbieter-Überwachung. Wer Risikomanagement im Finanzsektor beherrscht und sich schnell in DORA einarbeitet, hat ausgezeichnete Perspektiven.

Wie ordnet KIPODE das ein?

DORA zeigt dasselbe Muster wie bei der KI: Aus einer EU-Verordnung wird ein gefragter, gut bezahlter Beruf. Anders als der KI-Compliance-Beauftragte oder der CRA-Spezialist ist er klar auf den Finanzsektor zugeschnitten. Für Fachleute aus IT-Risiko und Compliance in Banken und Versicherungen ist er der naheliegende nächste Schritt.