Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

Wissen

Glossar und Fachbegriffe.

Die wichtigsten Begriffe aus DORA, MaRisk, ISO 27001 und der regulatorischen Praxis — kurz, praxisnah und umsetzungsorientiert.

Hinweis: Diese Definitionen sind eigenstaendig formulierte Umsetzungshilfen. Sie ersetzen keine verbindliche regulatorische Auslegung. Fuer verbindliche Definitionen konsultieren Sie die jeweiligen Originalquellen (DORA-Verordnung, MaRisk, ISO 27001).

Management-Zusammenfassung

  • DORA, MaRisk und ISO 27001 verwenden zahlreiche spezifische Fachbegriffe und Abkuerzungen.
  • Dieses Glossar erklaert Begriffe kurz, praxisnah und umsetzungsorientiert — keine Normwiedergabe.
  • Jeder Begriff enthaelt einen Querverweis zu relevanten Plattform-Seiten fuer vertiefende Informationen.
  • Das Glossar wird fortlaufend um neue Begriffe aus der regulatorischen Praxis ergaenzt.

DORA Kernbegriffe

DORA

Digital Operational Resilience Act (Verordnung (EU) 2022/2554). EU-weite Verordnung zur digitalen operationalen Resilienz im Finanzsektor. Regelt IKT-Risikomanagement, Vorfälle, Tests, Drittparteien und Informationsregister.

DORA Uebersicht →

kwF

kritisch oder wichtige Funktion. Geschaeftsfunktionen, deren Unterbrechung oder Ausfall erhebliche negative Auswirkungen auf das Finanzunternehmen, die Kunden oder die Finanzstabilitaet haette. Kernbegriff fuer Testpflichten und Register.

kwF Methode →

IKT-Drittdienstleister

Dienstleister, die IKT-Dienstleistungen (Hard-, Software, Cloud, Netzwerk, Beratung) fuer ein Finanzunternehmen erbringen. Unterliegt strengen Vertrags-, Due-Diligence- und Registerpflichten nach DORA Art. 28.

Drittparteienrisiko →

Informationsregister

Jaehrliche Meldung aller IKT-Drittparteienbeziehungen an die Aufsicht (DORA Art. 28). Enthaelt Vertragsinformationen, Schutzbedarfsklassifizierungen und Unterauftragnehmer. Erste Einreichung 2025, wiederkehrend jedes Jahr im Maerz.

Informationsregister →

CTPP

Critical ICT Third-Party Provider. Kritischer IKT-Drittdienstleister, der von den ESAs (EBA, EIOPA, ESMA) designiert wird. Unterliegt Oversight durch Joint Examination Teams (JET). Unternehmen muessen CTPP-Beziehungen im Register gesondert kennzeichnen.

Kritische Dienstleister →

IKT-Vorfall

Jeder Vorfall, der die Verfuegbarkeit, Authentizitaet, Integritaet oder Vertraulichkeit von Netzwerken und Informationssystemen beeintraechtigt. Meldepflichten nach Schweregrad (Major, Significant, etc.) und Fristen.

Vorfallmanagement →

Testing & Resilienz

TLPT

Threat-Led Penetration Testing. Bedrohungsgeleiteter Penetrationstest fuer bedeutende Institute und CTPPs nach DORA Art. 26. Simuliert APTs ueber Wochen/Monate mit Threat Intelligence. Erste Frist: 17. Januar 2028.

TLPT Methodik →

Resilienztests

Systematische Pruefung der digitalen operationalen Resilienz nach DORA Kapitel IV. Umfasst 12 Testarten (Vulnerability Scanning, Penetrationstests, Red Team, etc.) mit schutzbedarfsabhaengigen Frequenzen.

Resilienztests → Testprogramm →

3-Jahres-Regel

DORA Art. 24(2): Alle relevanten Testarten muessen innerhalb eines rollierenden 3-Jahres-Zeitraums (36 Monate) mindestens einmal durchgefuehrt worden sein. Keine Ausnahmen moeglich.

Testfrequenz →

kF (Schutzbedarf)

Schutzbedarfsklasse von 1 (Normal) bis 4 (Exkursionsschutz). Bestimmt Testfrequenzen, Intensitaet und Art der Resilienzpruefungen. kF 3-4 = kritischer/wichtiger Funktionen (kwF).

Schutzbedarfsbewertung →

Red Team / Blue Team / Purple Team

Red Team: Simuliert Angreifer. Blue Team: Verteidigung und Detektion. Purple Team: Kombination beider fuer kontinuierliche Verbesserung. Wichtig fuer TLPT und fortschrittliche Resilienztests.

TIBER-EU

Threat Intelligence-Based Ethical Red Teaming. EU-weites Framework der EZB fuer TLPT-Tests. Dient als Methodik-Referenz fuer DORA-konforme Threat-Led Penetration Tests.

MaRisk

MaRisk

Mindestanforderungen an das Risikomanagement. Zentrale aufsichtsrechtliche Grundlage fuer deutsche Finanzinstitute (AT = Allgemeine Anforderungen, BT = Besondere Anforderungen). 9. Novelle in Konsultation (Finalisierung H2 2026).

MaRisk Uebersicht →

WpI MaRisk

MaRisk fuer Wertpapierinstitute. Proportionale Anforderungen fuer kleine und mittlere Wertpapierinstitute mit Erleichterungen bei Dokumentation und Organisation. Konsultation 05/2026 aktiv.

WpI MaRisk →

9. MaRisk-Novelle

Aktuelle Reform der MaRisk mit staerker prinzipienbasiertem Ansatz, reduzierter Komplexitaet und klarer DORA-Demarkation. AT 7.2 (IKT) wird weitgehend gestrichen — IKT-Risiken primaer durch DORA geregelt.

AT / BT

AT = Allgemeine Anforderungen (Rahmenwerk, Governance, IKT-Risiken, Auslagerungen). BT = Besondere Anforderungen (Geschaeftsorganisation, Risikotragfaehigkeit, Compliance, Vorfallmanagement).

ISO 27001

ISMS

Information Security Management System. Managementsystem fuer Informationssicherheit nach ISO/IEC 27001:2022. Kern fuer systematische Risikosteuerung, Kontrollen, Nachweise und kontinuierliche Verbesserung.

ISO 27001 →

Annex A Controls

93 Kontrollen in 4 Kategorien (Organisatorisch, Personell, Physikalisch, Technologisch) als Referenzrahmen. Werden mit DORA-Artikeln und MaRisk-Vorschriften gemappt fuer integrierte Nachweise.

kontinuierliche Verbesserung

PDCA-Zyklus (Plan-Do-Check-Act) als Grundprinzip des ISMS. Management-Reviews, interne Audits und Korrekturmassnahmen fuehren zu staendiger Anpassung und Optimierung der Informationssicherheit.

Regulatorik & Aufsicht

BaFin

Bundesanstalt fuer Finanzdienstleistungsaufsicht. Deutsche Finanzaufsicht, zustaendig fuer DORA-Umsetzung, Informationsregister-Annahme und IKT-Vorfall-Meldehub.

EBA

European Banking Authority. Entwickelt technische Regulierungsstandards (RTS) und Leitlinien fuer DORA, insbesondere zu Tests, IKT-Risikomanagement und CTPP-Oversight.

ESAs

European Supervisory Authorities (EBA, EIOPA, ESMA). Gemeinsam zustaendig fuer CTPP-Designation, Oversight und Leitlinien unter DORA. ESAs Joint Committee koordiniert die Umsetzung.

JET

Joint Examination Team. Gemeinsames Prufteam der ESAs fuer die Oversight kritischer IKT-Drittdienstleister (CTPPs). Ein JET wird fuer jeden designierten CTPP eingerichtet.

NIS2

Netzwerk- und Informationssicherheitsrichtlinie 2. EU-weite Richtlinie fuer Cybersicherheit. Ueberschneidungen mit DORA bei IKT-Sicherheit und Meldepflichten. Finanzinstitute fallen unter DORA, nicht NIS2.

NIS2 Uebersicht →

CRA

Cyber Resilience Act. EU-Verordnung fuer Cybersicherheit von Produkten mit digitalen Elementen. Betrifft Software-Hersteller und Lieferketten. Relevant fuer IKT-Drittparteien von Finanzunternehmen.

CRA Uebersicht →

Technische Begriffe

SAST / DAST / IAST

Static/Dynamic/Interactive Application Security Testing. Verschiedene Ansaetze zur Sicherheitspruefung von Anwendungen: SAST analysiert Quellcode, DAST testet laufende Anwendungen, IAST kombiniert beides.

CVE

Common Vulnerabilities and Exposures. Oeffentlich zugaengliche Datenbank bekannter Sicherheitsluecken. Basis fuer Schwachstellen-Scanning und Patch-Management.

RoE

Rules of Engagement. Regeln fuer Penetrationstests und Red-Team-Uebungen. Definieren Scope, Ziele, Grenzen, Eskalationswege und Verhaltensregeln fuer Tester.

APTT / APT

Advanced Persistent Threat. Fortgeschrittener, persistenter Bedrohungsakteur (typischerweise staatlich unterstuetzt). TLPT simuliert APT-Taktiken, um Detektion und Reaktion zu testen.

Hinweis zur Verwendung

  • Dieses Glossar ist eine Arbeitshilfe — keine verbindliche Auslegung.
  • Fuer regulatorisch bindende Definitionen konsultieren Sie DORA, MaRisk, EBA-Leitlinien und BaFin-Veroeffentlichungen.
  • Aenderungen in der regulatorischen Landschaft (z. B. 9. MaRisk-Novelle) koennen Begriffe und Anforderungen anpassen.
  • Vorschlaege fuer neue Begriffe gerne an das Plattform-Team.