Die DORA-Verordnung (EU 2022/2554) verpflichtet Finanzunternehmen zur regelmäßigen Schulung aller Mitarbeitenden und der Geschäftsleitung in ICT-Sicherheit. Maßgeblich sind vor allem Art. 13 Abs. 6 zur Sensibilisierung und Art. 5 Abs. 4 zur Verantwortung des Leitungsorgans. Wenn Sie die Grundlagen der Verordnung zuerst einordnen möchten, lesen Sie ergänzend unseren Beitrag zur DORA-Verordnung, die Übersicht zu DORA-Anforderungen und unseren Leitfaden zur KI-Schulungspflicht nach Artikel 4.
Die kurze Antwort lautet: DORA verlangt keine isolierte Einmal-Schulung, sondern ein dauerhaftes Schulungs- und Awareness-System für den Finanzsektor. Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister, KVGs und andere erfasste Institute müssen nachweisen können, dass Beschäftigte und Leitungsebene IKT-Risiken verstehen, Vorfälle erkennen, Meldewege kennen und ihre jeweilige Rolle im Resilienzrahmen wahrnehmen. Genau an dieser Stelle wird aus einer juristischen Norm eine operative Governance-Aufgabe.
Schulungspflicht nach DORA Art. 13 Abs. 6
Art. 13 Abs. 6 DORA verpflichtet Finanzunternehmen, Programme zur Sensibilisierung für digitale operationelle Resilienz einzurichten und aufrechtzuerhalten. Die Kernaussage ist nicht nur "Schulung anbieten", sondern "Sicherheitsbewusstsein systematisch steuern". Das betrifft den alltäglichen Umgang mit Zugangsdaten, Phishing, Vorfallsmeldung, Remote-Arbeit, mobilen Endgeräten, Berechtigungen und dem sicheren Einsatz ausgelagerter IKT-Dienste.
Für die Praxis bedeutet das: Ein Institut muss ein wiederkehrendes Schulungskonzept haben, das zur eigenen Risikolage passt. Ein kleines Wertpapierinstitut wird andere Schwerpunkte setzen als ein Versicherer mit zahlreichen Drittanbindungen oder eine Bank mit komplexen Kernbankensystemen. DORA verlangt aber in allen Fällen, dass das Programm aktuell, dokumentiert und auf die tatsächlichen Funktionen der Mitarbeitenden abgestimmt ist.
Die Pflicht ist eng mit dem gesamten IKT-Risikomanagement verbunden. Wer Schulungen nur als HR-Maßnahme behandelt, verfehlt den Regelungszweck. Schulung unter DORA ist Teil der operativen Resilienz, also derselben Governance-Logik, die auch Risikoidentifikation, Schutzmaßnahmen, Erkennung, Reaktion und Wiederherstellung umfasst. Deshalb sollten Compliance, Informationssicherheit, HR und Fachbereiche das Programm gemeinsam steuern.
Wichtig ist außerdem die Abgrenzung zu NIS2. Die Research-Datei zeigt klar: NIS2 ist im Personalbereich häufig breiter, DORA dafür sektorspezifischer und tiefer in der IKT-Governance. Für Finanzunternehmen ist DORA im Bereich digitale operationelle Resilienz der maßgebliche Spezialrahmen. Wer beide Regime betrifft, sollte Schulungen daher in einer gemeinsamen Matrix planen, aber DORA als Fachstandard für den Finanzsektor verwenden.
Wer muss geschult werden — Vom Vorstand bis zum Mitarbeiter
DORA erfasst nicht nur das Security-Team, sondern alle Personen, die mit IKT-gestützten Prozessen arbeiten oder deren Verhalten die Resilienz des Instituts beeinflusst. Dazu gehören klassische Mitarbeitende in Markt, Marktfolge, Operations, Compliance, Risikomanagement, HR, Einkauf und Kundenservice ebenso wie Administratoren, Entwickler, Incident-Manager und Auslagerungsmanager.
Die Zielgruppen lassen sich in der Praxis in drei Ebenen gliedern. Erstens benötigen alle Beschäftigten eine Basisschulung zu Cyberhygiene, sicheren Arbeitsweisen, Meldewegen und typischen Angriffsmustern. Zweitens brauchen Rollen mit erhöhtem IKT-Bezug vertiefte Inhalte, etwa zu Zugriffsrechten, Lieferantenrisiken, sicheren Konfigurationen oder Incident Response. Drittens braucht das Leitungsorgan eine eigene Governance-Schulung, weil Art. 5 Abs. 4 DORA gerade dort persönliche Verantwortung für die Steuerung des IKT-Risikorahmens verankert.
Externe Personen dürfen Sie nicht ausblenden. Wenn Dienstleister, Zeitarbeitskräfte oder ausgelagerte Funktionen im Namen des Instituts mit sensiblen Systemen arbeiten, sollten Vertrags- und Onboarding-Prozesse ebenfalls Schulungs- oder Nachweispflichten enthalten. DORA spricht zwar auf Unternehmensebene, aber operative Resilienz scheitert in der Praxis häufig an Schnittstellen zu Dritten.
Die folgende Rollenmatrix ist für den Rollout besonders hilfreich:
| Rolle | Typischer Schulungsfokus | Intervall | Nachweis |
|---|---|---|---|
| Geschäftsleitung / Vorstand | Governance, Art. 5 Abs. 4, Risikoappetit, Auslagerungen, Vorfallsteuerung | Mindestens jährlich plus bei wesentlichen Änderungen | Teilnahme, Agenda, Beschluss- oder Protokollbezug |
| IT / Informationssicherheit | Technische Kontrollen, Incident Response, Recovery, Drittparteirisiken | Mindestens jährlich plus anlassbezogen | Teilnahme, Test, Übungsnachweis |
| Fachbereiche / Mitarbeitende | Awareness, Phishing, Meldewege, sichere Nutzung von Systemen | Mindestens jährlich plus Onboarding | Teilnahme, Lernkontrolle, Schulungsnachweis |
Gerade für den Vorstand gilt: Delegation ersetzt keine Verantwortung. Die Leitung kann Inhalte vorbereiten lassen, aber sie darf die Pflicht zur Beaufsichtigung des IKT-Rahmens nicht an IT oder Compliance "wegorganisieren". Deshalb sollte jede DORA-Schulung mit einer sauberen Rollenlogik beginnen und nicht mit einem Einheits-Webinar für alle.
Schulungsinhalte — Was DORA konkret fordert
DORA verlangt keine starre Folienliste, sondern angemessene Inhalte entlang der digitalen operationellen Resilienz. Ein belastbares Curriculum deckt deshalb mindestens fünf Themenblöcke ab: Bedrohungsbild, sichere Arbeitsweisen, Incident- und Meldeprozesse, Rollenverantwortung sowie den Umgang mit ausgelagerten IKT-Dienstleistungen.
Erstens müssen Mitarbeitende typische IKT-Risiken erkennen können. Dazu zählen Phishing, Social Engineering, Konto- oder Credential-Übernahmen, Fehlkonfigurationen, Schatten-IT, unsichere Datenweitergabe, mangelhafte Passwortpraxis und unsichere Nutzung mobiler Geräte. In Finanzunternehmen ist dieser Block besonders wichtig, weil viele Angriffe nicht an der Firewall scheitern, sondern an menschlichen Fehlentscheidungen in hoch regulierten Prozessen.
Zweitens müssen Schulungen die internen Meldewege erklären. Beschäftigte müssen wissen, wann ein Vorfall, ein Verdacht oder eine Anomalie eskaliert werden muss, an wen gemeldet wird und welche Erstmaßnahmen zulässig sind. DORA zielt auf schnelle Reaktion und Wiederherstellung. Ohne klare Meldewege bleibt Awareness wirkungslos.
Drittens müssen Inhalte rollenbezogen vertieft werden. Einkauf und Auslagerungsmanagement brauchen andere Schwerpunkte als Zahlungsverkehr oder Personalabteilung. Teams mit Zugriff auf kritische Anwendungen sollten mehr zu Berechtigungen, Logging, Change-Prozessen und Drittparteirisiken lernen. Kundennahe Teams sollten zusätzlich auf Social-Engineering-Muster, Identitätsprüfung und sichere Kommunikationskanäle trainiert werden.
Viertens sollten Sie Recovery- und Business-Continuity-Aspekte einbeziehen. DORA will nicht nur Prävention, sondern Resilienz. Mitarbeitende müssen daher verstehen, wie im Störfall weitergearbeitet wird, welche Ersatzprozesse gelten und welche Informationen an Kunden, Partner oder Aufsicht gelangen dürfen. Gerade diese Brücke zwischen Sicherheit und Betrieb fehlt in vielen Standard-Schulungen.
Fünftens sollte der Schulungsplan den Einsatz von KI ausdrücklich adressieren, wenn im Institut bereits Copilots, Analysemodelle oder andere KI-Systeme genutzt werden. DORA fordert sichere digitale Prozesse; der AI Act Art. 4 verlangt seit dem 2. Februar 2025 zusätzlich ausreichende KI-Kompetenz. Für Finanzunternehmen ist es deshalb effizient, IKT-Awareness und KI-Kompetenz miteinander zu verzahnen, statt zwei getrennte Pflichtwelten aufzubauen.
Leitungsebene — Besondere Verantwortung nach Art. 5 Abs. 4
Art. 5 Abs. 4 DORA verpflichtet das Leitungsorgan, sich aktiv mit Risiken der IKT und digitalen operationellen Resilienz auseinanderzusetzen. Die Geschäftsleitung ist damit nicht nur Empfängerin von Berichten, sondern Trägerin eigener Kontroll- und Steuerungspflichten. Eine DORA-Schulung für die Leitungsebene ist daher keine Höflichkeitsmaßnahme, sondern Bestandteil der Legal- und Governance-Architektur.
Inhaltlich braucht die Leitungsebene einen anderen Fokus als operative Teams. Vorstand und Geschäftsführung müssen verstehen, wie der IKT-Risikomanagementrahmen aufgebaut ist, welche kritischen oder wichtigen Funktionen von IKT abhängen, wie Drittparteirisiken gesteuert werden, wie Vorfälle eskalieren und welche Managemententscheidungen im Krisenfall notwendig sind. Dazu gehören auch Fragen der Ressourcenzuteilung, Priorisierung von Maßnahmen und Kontrolle über ausgelagerte Services.
Praktisch sollten Leitungsorgane mindestens vier Fragen sicher beantworten können. Welche wesentlichen IKT-Risiken bedrohen das Institut aktuell? Welche Kontrollen und Notfallmechanismen existieren? Wo bestehen kritische Abhängigkeiten von Drittparteien? Und wie wird sichergestellt, dass Mitarbeitende und Führungskräfte auf dem erforderlichen Kenntnisstand bleiben? Wenn diese Fragen im Vorstand nicht belastbar beantwortet werden können, ist die Schulungslücke zugleich eine Governance-Lücke.
Für Aufsichtsgespräche und interne Audits ist entscheidend, dass die Leitungsschulung dokumentiert wird. Empfehlenswert sind Sitzungsbezüge, Agenda, Teilnehmerkreis, Lernziele und gegebenenfalls Beschlüsse oder Folgemaßnahmen. So lässt sich zeigen, dass Art. 5 Abs. 4 nicht nur formal erwähnt, sondern tatsächlich in die Leitungspraxis übersetzt wurde.
IKT-Sicherheitsbewusstsein — Awareness-Programme
DORA verlangt mehr als einmalige Wissensvermittlung. Art. 13 Abs. 6 zielt auf ein fortlaufendes Awareness-Programm, das Verhalten verändert und Sicherheitskultur stärkt. Finanzunternehmen sollten deshalb ein mehrstufiges Modell nutzen: Onboarding, jährliche Pflichtschulung, kurze Erinnerungsformate im Jahresverlauf und anlassbezogene Updates bei neuen Bedrohungen oder Systemänderungen.
Ein wirksames Awareness-Programm arbeitet mit realistischen Fallmustern. Phishing-Simulationen, kurze Fallbeispiele aus dem Zahlungsverkehr, Hinweise auf gefälschte Freigabeanfragen, sichere Nutzung mobiler Geräte oder Übungen zur Vorfallmeldung sind meist wirksamer als abstrakte Grundlagenfolien. Das Ziel lautet nicht, juristische Begriffe auswendig zu lernen, sondern unter Zeitdruck richtig zu handeln.
Awareness braucht außerdem Zielgruppenschärfe. Mitarbeitende im Kundenkontakt benötigen andere Beispiele als Entwickler oder das Auslagerungsmanagement. Wer Zahlungsaufträge prüft, muss Warnsignale für Manipulation und Identitätsmissbrauch kennen. Wer Dienstleister steuert, muss Unsicherheiten bei Zugriffsrechten, Subunternehmern oder vertraglichen Meldeketten erkennen. Einheitliche Kernbotschaften sind sinnvoll, aber der Transfer in den jeweiligen Geschäftsprozess entscheidet über die Wirksamkeit.
Sinnvoll ist auch die Kopplung an Kennzahlen. Institute sollten nicht nur erfassen, wer teilgenommen hat, sondern auch, ob Tests bestanden wurden, welche Phishing-Quoten auftreten, wo Meldewege unklar sind und welche Teams bei Wiederholungstrainings auffällig werden. So wird aus Awareness ein steuerbarer Bestandteil des Kontrollsystems.
Schulungsnachweis und Dokumentation
Eine DORA-Schulung ist nur dann revisionsfest, wenn Sie Teilnahme, Inhalte und Aktualisierung belastbar dokumentieren. Der Schulungsnachweis sollte deshalb nicht aus einer bloßen Einladungs-E-Mail bestehen, sondern mindestens Zielgruppe, Datum, Dauer, Inhalte, Version, Trainer oder Anbieter, Lernkontrolle und Abschlussstatus enthalten. Für leitende Organe kommen Protokoll- oder Gremienbezüge hinzu.
Die Nachweislogik sollte pro Rolle unterschiedlich tief sein. Bei allgemeinen Awareness-Trainings reichen oft LMS-Export, Teilnehmerliste und kurzer Wissenstest. Für Spezialrollen oder Leitungsorgane empfiehlt sich eine ausführlichere Dokumentation mit Agenda, Unterlagen, Lernzielen und gegebenenfalls Übungs- oder Fallbezug. Entscheidend ist, dass Sie im Prüfungsfall nicht nur "wir haben geschult" sagen, sondern zeigen können, wen Sie warum mit welchen Inhalten geschult haben.
Für die praktische Dokumentation hilft eine feste Ablagestruktur:
| Nachweispunkt | Was dokumentiert werden sollte | Typische Form |
|---|---|---|
| Teilnahme | Name, Rolle, Datum, Dauer, Status | LMS-Report, Teilnehmerliste |
| Inhalt | Agenda, Modulbeschreibung, Version, Lernziele | PDF, Kursbeschreibung |
| Lernkontrolle | Test, Quiz, Simulation oder Bestätigung | Testbericht, Score, Abschluss |
| Aktualisierung | Wiederholung, Anlass, neue Version | Revisionsprotokoll, Schulungsplan |
Ein Online-Format ist grundsätzlich ausreichend, wenn es inhaltlich passt und der Nachweis sauber geführt wird. DORA verlangt keine Präsenzpflicht. Entscheidend ist die Wirksamkeit: Rollenbezug, Aktualität, Wiederholungslogik und Nachweisfähigkeit. Gerade für verteilte Teams im Finanzsektor ist E-Learning oft sogar die pragmatischste Basis, solange kritische Funktionen bei Bedarf mit Live-Übungen oder Workshops ergänzt werden.
DORA-Schulung kombiniert mit AI Act Art. 4
Finanzunternehmen sollten DORA und AI Act nicht getrennt denken, wenn Mitarbeitende bereits KI-gestützte Systeme nutzen. DORA verlangt IKT-Sicherheitsbewusstsein und resiliente digitale Prozesse; Art. 4 des AI Acts verlangt seit dem 2. Februar 2025 ausreichende KI-Kompetenz für Personen, die im Namen des Unternehmens mit KI-Systemen arbeiten. Sobald Institute Chatbots, Copilots, Dokumentenanalysen, Betrugserkennung oder interne Assistenzsysteme einsetzen, treffen beide Logiken oft dieselben Teams.
Die Kombination ist besonders effizient, weil sich mehrere Lernziele überschneiden. Mitarbeitende müssen verstehen, welche Daten in Systeme eingegeben werden dürfen, wie Ergebnisse kontrolliert werden, wann menschliche Freigaben erforderlich sind, welche Risiken aus Fehlklassifikationen oder Halluzinationen entstehen und welche Eskalationswege gelten. DORA bringt die Resilienz- und Sicherheitsbrille ein, der AI Act die Kompetenz- und Governance-Brille für KI-Anwendungen.
Für die Umsetzung empfiehlt sich ein Modellschema mit gemeinsamer Basis und Rollenvertiefung. Die gemeinsame Basis behandelt Cyberhygiene, Vorfallsmeldung, sichere Datennutzung und Grundregeln für KI-Einsatz. Vertiefungen adressieren danach spezifische Rollen, etwa Compliance, Risikomanagement, Kundenservice, HR oder IT. So vermeiden Sie doppelte Trainings und schließen zugleich die Lücke zwischen klassischer IKT-Sicherheit und KI-Governance.
Wenn Sie diesen kombinierten Ansatz konkret aufbauen möchten, lesen Sie ergänzend unseren Beitrag zu DORA-Anforderungen, die Einordnung zur DORA-Verordnung und den Praxisleitfaden zur KI-Schulungspflicht nach Artikel 4. Für die Dokumentation einzelner Maßnahmen hilft außerdem unser Glossarbeitrag zum Schulungsnachweis.
Häufig gestellte Fragen (FAQ)
Wie oft muss geschult werden?
DORA nennt kein fixes Jahresintervall, verlangt aber regelmäßige und aktualisierte Sensibilisierung. In der Praxis sollten Finanzunternehmen mindestens jährlich schulen sowie zusätzlich bei Onboarding, Rollenwechseln, wesentlichen Systemänderungen, neuen Bedrohungen oder relevanten Vorfällen. Je kritischer die Funktion, desto enger sollte das Intervall sein.
Muss der Vorstand persönlich teilnehmen?
Ja, die Leitungsebene braucht eine eigene, tatsächliche Schulung. Art. 5 Abs. 4 DORA verankert die Verantwortung des Leitungsorgans für das IKT-Risikomanagement ausdrücklich. Ein reiner Bericht aus der IT reicht dafür nicht aus. Die Schulung kann intern oder extern erfolgen, muss aber inhaltlich auf Governance, Aufsicht und Entscheidungsverantwortung zugeschnitten sein.
Reicht eine Online-Schulung aus?
Ja, wenn das Format zur Zielgruppe passt und Inhalte, Teilnahme sowie Aktualisierung dokumentiert werden. Für allgemeine Awareness und Basisschulung ist E-Learning meist ausreichend. Für kritische Rollen oder Krisenübungen kann ein ergänzender Workshop sinnvoll sein. Maßgeblich ist nicht die Form, sondern der belastbare Nachweis der Wirksamkeit.
Kann eine Schulung DORA und AI Act abdecken?
Ja, das ist häufig sogar der sinnvollste Ansatz. DORA deckt IKT-Sicherheit, Resilienz und Awareness ab. Der AI Act ergänzt seit dem 2. Februar 2025 die Pflicht zur KI-Kompetenz. Ein kombiniertes Format mit gemeinsamer Basis und rollenspezifischen Modulen reduziert Doppelaufwand und schafft eine konsistente Governance-Linie.
Der nächste sinnvolle Schritt
Für Finanzunternehmen ist jetzt nicht die Frage, ob geschult werden muss, sondern wie die Schulung nachweisbar und rollenbasiert organisiert wird. Wenn Sie DORA-Awareness mit KI-Kompetenz kombinieren möchten, ist unser EU AI Act Kurs der pragmatische Einstieg: 90 Minuten, Abschlusstest und Zertifikat als strukturierter Nachweis für Ihr Team. So bauen Sie eine dokumentierbare Mindestlinie auf, die Art. 4 des AI Acts abdeckt und sich sauber in Ihr DORA-Schulungskonzept integrieren lässt.