Der IKT-Risikomanagementrahmen von DORA umfasst die Anforderungen aus Kapitel II, Artikel 5 bis 15 DORA, aber auch die Artikel 24 bis 27 (Testen der digitalen operationalen Resilienz) sowie Artikel 28 bis 30 (Management des IKT-Drittparteienrisikos) DORA.

In DORA (Art. 5 - 6 u. Art. 2 RTS), ergibt sich eine Abweichung zu den xAIT, da die IT-Strategie nicht mehr den Dreh- und Angelpunkt für die IT-Organisation darstellt. Stattdessen wird eine Strategie für die digitale operationale Resilienz (Art. 6 Abs. 8 DORA), die DOR-Strategie gefordert.
Eine der Herausforderungen besteht darin, die DOR-Strategie mit der bereits bestehenden IT-Strategie in Einklang zu bringen. Dies erfordert eine sorgfältige Analyse und Anpassung der bestehenden Governance- und Strategieprozesse, damit die Mindestinhalte der DOR-Strategie abgebildet werden.

DORA konzentriert sich auf die Governance des IKT-Risikomangementrahmens, die xAIT auf die Informationssicherheit und damit verbundenen Anforderungen. Diese Akzentverschiebung von der reinen Informationssicherheit hin zum IKT-Risikomanagement stellt eine bedeutende Entwicklung dar, die sowohl Herausforderungen als auch Erleichterungen mit sich bringen können. DORA enthält spezifische Anforderungen an eine Richtlinie zur IKT-Sicherheit, die in den xAIT nicht direkt vorhanden sind. Es gibt zwar inhaltliche und kontextbezogene Schnittmengen, Anpassungen werden aber unumgänglich sein.

DORA bringt eine bedeutende Ausweitung der Aufgaben des Leitungsorgans mit sich und weist dem Leitungsorgan detaillierte Aufgaben (Art. 5 Abs. 2 DORA) zu. Damit einher geht eine erhöhte Komplexität bei der Erfüllung der Verantwortlichkeiten. Die Notwendigkeit, verschiedene Aspekte des IKT-Risikomanagements zu definieren, zu genehmigen, zu überwachen und zu überprüfen, erfordert künftig ein tiefes Verständnis der Risiken sowie entsprechende Ressourcen und Fachkenntnisse.

Die Kontrollfunktion ist zuständig für das Management und die Überwachung der IKT-Risiken (Art. 6(4) DORA). Vergleicht man die Kontrollfunktion mit dem Informationssicherheitsbeauftragten (ISB) nach xAIT so zeigt sich, dass die neue Funktion das gesamte Risikomanagement fokussiert, während der ISB auf die Informationssicherheit ausgerichtet ist. Überschneidungen in ihren Verantwortlichkeiten sind vorhanden und Synergien können daher genutzt werden. Zudem sieht DORA keine explizite Verbotsregelung für die Auslagerung der Funktion vor (Art. 6 Abs. 10 DORA).

Hier sind, soweit relevant, sektorale Anforderungen für "Funktionen" zu beachten. DORA trifft hierzu keine Aussage, so dass die allgemeinen sektoralen Governance-Anforderungen Anwendung finden.

Finanzunternehmen, die Art. 16 DORA anwenden, brauchen eine derartige Funktion nicht einzurichten.

Kleinstunternehmen brauchen diese Funktion ebenfalls nicht zu etablieren.

Der ISB in den VAIT hat die Verantwortung für die „Wahrnehmung aller Belange der Informationssicherheit“ inne während die IKT-Risikokontrollfunktion in DORA die „Zuständigkeit für das Management und die Überwachung des IKT-Risikos“ übernehmen soll. Die in den VAIT beschriebene Rolle des ISB wird daher mit Anwendung des Digital Operational Resilience Act (DORA) ab dem 17. Januar 2025 in dieser Form nicht mehr Gegenstand der geltenden Regulatorik sein.
Falls eine Übernahme der Aufgaben der einzurichtenden IKT-Risikokontrollfunktion durch den ISB angestrebt wird, sollte sichergestellt sein, dass dieser auch die Aufgaben des IKT-Risikomanagements wahrnimmt. Zu beachten wäre dabei, dass Kontrollfunktionen von den IKT-Risikomanagementfunktionen sowie den internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle angemessen zu trennen sind. Durch diese Trennung, wird ein angemessenes Maß an Unabhängigkeit sichergestellt und Interessenkonflikte vermieden.
Die weniger detaillierte Ausführung der konkreten Aufgaben der IKT-Risikokontrollfunktion von DORA eröffnet auch Handlungsspielräume für einen veränderten Aufgabenzuschnitt. Eine detaillierte Rollenbeschreibung der IKT-Risikokontrollfunktion wird demzufolge in der DORA nicht aufgeführt.

Der vereinfachte IKT-Risikomanagmentrahmen (Art. 16 DORA) sieht keine IKT-Risikokontrollfunktion vor. Auch den ISB wird es hier nicht mehr geben.

Kleinstunternehmen brauchen diese Funktion ebenfalls nicht zu etablieren.

Unternehmen müssen sicherstellen, dass alle Änderungen an IKT-Systemen kontrolliert erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden (Art. 9 Abs. 4 lit. e, f DORA i.V.m. Art. 17 RTS). Dies erfordert eine erweiterte Überwachung und Bewertung von Änderungen. Die bisherige Wesentlichkeitsgrenze entfällt. Eine umfassende Überprüfung und Dokumentation aller Änderungen an den IKT-Systemen ist daher erforderlich. Dies kann zusätzliche administrative Aufgaben und Überwachungspflichten mit sich bringen.