Der ISB in den VAIT hat die Verantwortung für die „Wahrnehmung aller Belange der Informationssicherheit“ inne während die IKT-Risikokontrollfunktion in DORA die „Zuständigkeit für das Management und die Überwachung des IKT-Risikos“ übernehmen soll. Die in den VAIT beschriebene Rolle des ISB wird daher mit Anwendung des Digital Operational Resilience Act (DORA) ab dem 17. Januar 2025 in dieser Form nicht mehr Gegenstand der geltenden Regulatorik sein.
Falls eine Übernahme der Aufgaben der einzurichtenden IKT-Risikokontrollfunktion durch den ISB angestrebt wird, sollte sichergestellt sein, dass dieser auch die Aufgaben des IKT-Risikomanagements wahrnimmt. Zu beachten wäre dabei, dass Kontrollfunktionen von den IKT-Risikomanagementfunktionen sowie den internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle angemessen zu trennen sind. Durch diese Trennung, wird ein angemessenes Maß an Unabhängigkeit sichergestellt und Interessenkonflikte vermieden.
Die weniger detaillierte Ausführung der konkreten Aufgaben der IKT-Risikokontrollfunktion von DORA eröffnet auch Handlungsspielräume für einen veränderten Aufgabenzuschnitt. Eine detaillierte Rollenbeschreibung der IKT-Risikokontrollfunktion wird demzufolge in der DORA nicht aufgeführt.

Der vereinfachte IKT-Risikomanagmentrahmen (Art. 16 DORA) sieht keine IKT-Risikokontrollfunktion vor. Auch den ISB wird es hier nicht mehr geben.

Kleinstunternehmen brauchen diese Funktion ebenfalls nicht zu etablieren.