DORA-konformer Umgang mit Eigen-Anwendungen & IDV am 02.03.2026

• Konkrete Erwartungen an die Nutzung von Eigen-Anwendungen & IDV
• Anforderungen an das IDV-Register und Umsetzung von IDV-Richtlinien in Arbeitsanweisungen, Risikoanalysen und Schutzbedarfseinstufungen
• 3rd-Line Modell im Kontext von IDV-Anwendungen sowie Rolle der neuen IKT-Kontrollfunktion
• Entwicklung, Testen und Produktivnahme für neue / veränderte IDV
• Prüfung von IDV-Anwendungen – Besonderheiten bei KI-Anwendungen
• Häufige Feststellungen und identifizierte Schwachstellen in der Praxis

Zunehmend wesentliche Feststellungen bei Aufsichts-Prüfungen haben dazu geführt, dass verschärfte Anforderungen an Eigen-Anwendungen und IDV Einzug in die Aufsichts-Praxis erhalten haben. Hinzu kommen weitere Anforderungen durch DORA.

Excel, IDV und »Schatten-IT« sind aber ein fester Bestandteil in nahezu allen Prozessen geworden. Ob selbst programmiert oder extern eingekauft, zunehmend werden IDV-Anwendungen in den Fachabteilungen implementiert und teilweise selbst administriert, deren Nutzung im Laufe der Zeit selbstverständlich und komplexer wird. Dies führt oft zu (operationellen) Risiken, die aber mangels Erfassung nicht im Risikomanagement abgebildet und gesteuert werden können! KI-Anwendungen (z. B. ChatGPT) sind vor dem Hintergrund von IT-Auslagerungen ebenfalls zu beurteilen!

Hier gilt es, aufsichtskonforme IDVRichtlinien zu erstellen und prüfungssicher in den Arbeitsanweisungen zu implementieren. Alle bestehenden und genutzten IDV- und Excel- Anwendungen im Institut müssen identifiziert, getestet und genehmigt werden vor der weiteren Verwendung. Risikoanalyse und Schutzbedarfsklassifizierung sind sauber aufzusetzen und zu dokumentieren.

Die erfahrenen Referenten berichten aus ihrer Aufsichts- und Instituts-Praxis und geben wertvolle Hinweise und Anwendungs-Tipps.