DORA

IKT-Richtlinien als steuerbares Instrument der Governance.

Eine strukturierte Richtlinien-Workbench hilft, IKT-Sicherheitsrichtlinien und DORA-nahe Richtlinien konsistent zu steuern, zu reviewen und nachzuweisen.

Management Summary

IKT-Richtlinien durchlaufen einen standardisierten Dokumentenlenkungsprozess von Erstellung über Freigabe bis zur Archivierung.
Wesentliche Richtlinien werden durch das Leitungsorgan freigegeben.
Review-Trigger stellen die regelmässige und anlassbezogene Überprüfung aller Richtlinien sicher.
Jede Richtlinie enthält eine Kontroll- und Nachweislogik, die die Einhaltung belegbar macht.

Richtlinienlandschaft

IKT-Sicherheitsrichtlinie (ISMS-Rahmen)
IKT-Risikomanagement-Richtlinie
Richtlinie zum IKT-Drittparteienrisiko
Richtlinie zum IKT-Vorfallmanagement
Richtlinie zu Resilienztests
BCM-Richtlinie (Business Continuity Management)
Richtlinie Informationsregister
Richtlinie zur IKT-Vertragssteuerung

Dokumentenlenkung

Phasen: Entwurf, Abstimmung, Freigabe, Veröffentlichung, Review, Archivierung.
Rollen: Autor, Prüfer, Freigeber, Archivverantwortlicher.
Jede Richtlinie hat eindeutige Version, Änderungshistorie und Gültigkeitsdauer.
Abgelöste Richtlinien werden archiviert und sind revisionssicher nachweisbar.

Review-Trigger

Mindestens jährlich
Nach wesentlichen IKT-Vorfällen
Nach Resilienztests
Nach Audits (intern oder extern)
Nach behördlichen Hinweisen oder Prüfungsfeststellungen
Bei wesentlichen Änderungen an Aktivitäten, Prozessen, Bedrohungslage oder rechtlichen Anforderungen

Massnahmen: IKT-Richtlinien

DORA-POL-001 reviewed initial

Richtlinieninventar für IKT-Sicherheits- und DORA-Richtlinien aufbauen

Das Institut verfügt über ein vollständiges und aktuelles Inventar aller IKT-Sicherheitsrichtlinien und DORA-relevanten Richtlinien.

Themenbereich: IKT-Richtlinien
Sollzustand: Ein zentrales Richtlinieninventar erfasst alle IKT-Richtlinien mit Zweck, Geltungsbereich, Version, Freigabedatum, verantwortlicher Rolle, Review-Zyklus und Verknüpfung zu DORA-, MaRisk- und ISO-Anforderungen.
DORA / MaRisk: DORA Art. 6 Abs. 4 (Dokumentation), Art. 8 (Schutzmassnahmen) | MaRisk AT 4.4.2 (Dokumentation)

Umsetzungsschritte

Richtlinienkategorien (Sicherheit, IKT-Risiko, BCM, Auslagerungen etc.) definieren.
Bestehende Richtlinien inventarisieren und kategorisieren.
Richtlinienlücken gegen DORA- und MaRisk-Anforderungen identifizieren.
Inventar regelmässig aktualisieren und mit Richtlinien-Review synchronisieren.

Beispielnachweise

Richtlinieninventar (vollständig, aktuell)
Lückenanalyse Richtlinien vs. DORA/MaRisk
Kategorisierungsmatrix
Aktualisierungsprotokoll

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.33 A.5.36

DORA-POL-002 reviewed initial

Dokumentenlenkung für IKT-Richtlinien etablieren

IKT-Richtlinien durchlaufen einen standardisierten Dokumentenlenkungsprozess von Erstellung über Freigabe bis zur Archivierung.

Themenbereich: IKT-Richtlinien
Sollzustand: Ein dokumentierter Dokumentenlenkungsprozess definiert Phasen (Entwurf, Abstimmung, Freigabe, Veröffentlichung, Review, Archivierung), Rollen (Autor, Prüfer, Freigeber) und Fristen. Jede Richtlinie hat eine eindeutige Version, Änderungshistorie und Gültigkeitsdauer.
DORA / MaRisk: DORA Art. 6 Abs. 4 (Dokumentation) | MaRisk AT 4.4.2

Umsetzungsschritte

Dokumentenlenkungsprozess mit Phasen und Rollen definieren.
Richtlinienvorlage mit Pflichtfeldern entwickeln.
Versionierung und Änderungshistorie sicherstellen.
Archivierungsregeln für abgelöste Richtlinien festlegen.

Beispielnachweise

Dokumentenlenkungsprozess (Dokument)
Richtlinienvorlage mit Metadaten
Änderungshistorie je Richtlinie
Archivierungsnachweis

ISO/IEC 27001 Anker

A.5.1 A.5.33 A.5.34 A.5.36

DORA-POL-003 reviewed initial

Leitungsorganfreigabe für IKT-Richtlinien sicherstellen

Wesentliche IKT-Richtlinien werden durch das Leitungsorgan oder die dafür bestimmte Management-Ebene freigegeben.

Themenbereich: IKT-Richtlinien
Sollzustand: Eine Freigabematrix definiert, welche Richtlinien durch das Leitungsorgan, welche durch die Geschäftsleitung und welche durch Fachbereichsleitungen freigegeben werden. Der Freigabeprozess ist dokumentiert und nachvollziehbar.
DORA / MaRisk: DORA Art. 5 Abs. 1 (Leitungsorgan) | MaRisk AT 4.3.1 (Gesamtverantwortung)

Umsetzungsschritte

Freigabematrix für IKT-Richtlinien definieren.
Freigabeprozess mit Vorlagen und Fristen standardisieren.
Freigaben dokumentieren und in der Richtlinie vermerken.
Freigabe bei Richtlinienänderungen erneut einholen.

Beispielnachweise

Freigabematrix IKT-Richtlinien
Freigabevermerk in jeder Richtlinie
Sitzungsprotokolle bei Leitungsorgan-Freigabe
Änderungsdokumentation mit erneuter Freigabe

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.3 A.5.36

DORA-POL-004 reviewed initial

Review-Trigger für IKT-Richtlinien definieren

IKT-Richtlinien werden anlassbezogen und mindestens jährlich auf Aktualität und Angemessenheit überprüft.

Themenbereich: IKT-Richtlinien
Sollzustand: Ein dokumentierter Review-Prozess definiert verbindliche Trigger für die Überprüfung von IKT-Richtlinien: mindestens jährlich, nach wesentlichen IKT-Vorfällen, nach Resilienztests, nach Audits, nach behördlichen Hinweisen und bei wesentlichen Änderungen der Geschäftstätigkeit, Bedrohungslage oder rechtlichen Anforderungen.
DORA / MaRisk: DORA Art. 6 Abs. 5 (Review), Art. 12 (Tests) | MaRisk AT 4.4.2 (Review)

Umsetzungsschritte

Review-Trigger-Katalog für IKT-Richtlinien definieren.
Jährlichen Review-Plan für alle Richtlinien erstellen.
Anlassbezogene Reviews bei Trigger-Ereignissen auslösen.
Review-Ergebnisse dokumentieren und bei Bedarf Richtlinien anpassen.

Beispielnachweise

Review-Trigger-Katalog
Jährlicher Review-Plan
Durchgeführte Reviews mit Ergebnissen
Richtlinienänderungen aus Reviews

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.9.1 A.10.1

DORA-POL-005 reviewed initial

Kontroll- und Nachweislogik in IKT-Richtlinien integrieren

IKT-Richtlinien enthalten eine dokumentierte Kontroll- und Nachweislogik, die die Einhaltung der Richtlinienanforderungen belegbar macht.

Themenbereich: IKT-Richtlinien
Sollzustand: Jede IKT-Richtlinie enthält einen Abschnitt zur Kontroll- und Nachweislogik, der die zugehörigen Kontrollen, Nachweise, Verantwortlichkeiten und Prüffrequenzen beschreibt. Die Kontroll- und Nachweislogik ist mit dem IKT-Kontrollsystem der Plattform abgestimmt.
DORA / MaRisk: DORA Art. 8 (Schutzmassnahmen), Art. 10 (Wirksamkeit) | MaRisk AT 4.4.2 (Kontrollsystem)

Umsetzungsschritte

Kontroll- und Nachweisanforderungen je Richtlinie definieren.
Nachweisartefakte und Aufbewahrungsfristen festlegen.
Verknüpfung mit dem plattformweiten Evidenzmodell herstellen.
Kontroll- und Nachweislogik regelmässig auf Vollständigkeit prüfen.

Beispielnachweise

Kontroll- und Nachweislogik je Richtlinie
Verknüpfungstabelle Richtlinien–Kontrollen–Nachweise
Prüfprotokoll der Kontroll- und Nachweislogik
Abweichungsbericht

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.8.8 A.9.1

Hinweis

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

EUR-Lex: DORA (EU) 2022/2554 Stand: Abruf 2026-05-07
BaFin: DORA Informationen Stand: Abruf 2026-05-11
ISO/IEC 27001:2022 Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.