Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel II

IKT-Risikomanagement als steuerbares Rahmenwerk.

IKT-Risikomanagement sollte als durchgängiges System aus Governance, Risikoanalyse, Schutzmaßnahmen, Ueberwachung, Nachweisen und Management-Reporting umgesetzt werden.

Disclaimer: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA IKT-Risikomanagement dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Operating Model

  • Das Leitungsorgan trägt die Gesamtverantwortung für das IKT-Risikomanagement und verankert Strategie, Risikoappetit und Ressourcenbudget.
  • Ein Three-Lines-Modell trennt operative Umsetzung (Fachbereiche/IT), Überwachung (Risikocontrolling/Informationssicherheit) und Prüfung (Revision).
  • IKT-Risiken werden in einem zentralen Inventar erfasst, bewertet und mit Kontrollen, Massnahmen und Nachweisen verknüpft.
  • Berichtslinien, Eskalationsschwellen und Entscheidungswege sind dokumentiert und im Kontrollbetrieb nachweisbar.
  • Kontinuierliche Verbesserung wird durch regelmässige Reifegradbewertung und Wirksamkeitsprüfungen gesteuert.

Sollzustand

  • Governance: Rahmenwerk, Rollen, Strategie und Risikoappetit sind dokumentiert, freigegeben und im Betrieb verankert.
  • Risikoidentifikation: IKT-Risikoinventar, Schutzbedarfsfeststellung und Risikoanalyse sind vollständig und aktuell.
  • Risikobehandlung: Behandlungsoptionen sind festgelegt, Massnahmen umgesetzt, Restrisiken akzeptiert.
  • Kontrollsystem: Kontrollziele, Kontrollen, Wirksamkeitsprüfungen und Nachweise sind etabliert.
  • Monitoring: Frühwarnindikatoren, Reporting und Eskalationsprozesse sind institutionalisiert.
  • Integration: DORA, MaRisk und ISO 27001 Anforderungen sind konsistent gemappt und werden gemeinschaftlich bedient.

Umsetzungsschritte

  • IKT-Governance-Rahmenwerk erstellen und durch Leitungsorgan freigeben lassen.
  • Rollenmodell (RACI) für IKT-Risikomanagement institutsweit definieren und kommunizieren.
  • IKT-Risikoinventar aufbauen und mit Schutzbedarfsfeststellung verknüpfen.
  • Risikoanalyse und -bewertung für alle identifizierten IKT-Risiken durchführen.
  • Risikobehandlungsplan mit Massnahmen, Fristen und Verantwortlichen erstellen.
  • Kontrollsystem mit Kontrollzielen, Kontrollen und Nachweisen aufbauen.
  • Frühwarnindikatoren und Management-Reporting etablieren.
  • Reifegradmodell einführen und erste Bewertung durchführen.
  • Integration mit MaRisk- und ISO 27001-Anforderungen herstellen.
Lückenanalyse

IKT-Risikomanagement Massnahmenkatalog

18 priorisierte Sollmassnahmen für das IKT-Risikomanagement nach DORA Kapitel II.

DORA-IRM-001 reviewed defined

Governance-Rahmen für IKT-Risikomanagement etablieren

Das Institut verfügt über einen dokumentierten Governance-Rahmen, der IKT-Risikomanagement als integralen Bestandteil des gesamtinstitutischen Risikomanagements verankert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein vom Leitungsorgan freigegebener Governance-Rahmen definiert Ziele, Prinzipien, Verantwortlichkeiten, Entscheidungswege, Eskalationsschwellen und Berichtslinien für das IKT-Risikomanagement. Der Rahmen wird mindestens jährlich überprüft und bei wesentlichen Änderungen aktualisiert.
DORA / MaRisk
DORA Art. 5 Abs. 1 (Governance), Art. 6 Abs. 1 (Rahmen für IKT-Risikomanagement) | MaRisk AT 4.3.1, AT 4.4.1

Umsetzungsschritte

  • IST-Governance für IKT-Risikomanagement aufnehmen und gegen DORA-Anforderungen mappen.
  • Governance-Rahmen mit Leitungsorgan-Verantwortung, Ausschüssen, Rollen und Entscheidungswegen entwerfen.
  • Eskalationsschwellen für IKT-Risiken in Zusammenarbeit mit Risikocontrolling festlegen.
  • Rahmen durch Leitungsorgan freigeben und in der Organisation kommunizieren.
  • Jährlichen Review-Prozess für den Governance-Rahmen institutionalisieren.

Beispielnachweise

  • Freigegebener Governance-Rahmen (aktuell)
  • Gremienbeschluss zur Verabschiedung
  • Eskalationsmatrix für IKT-Risiken
  • Review-Protokoll mit Änderungshistorie

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.3 A.5.36
DORA-IRM-002 reviewed managed

Rollen und Verantwortlichkeiten im IKT-Risikomanagement definieren

Rollen, Aufgaben, Kompetenzen und Verantwortlichkeiten für das IKT-Risikomanagement sind institutsweit eindeutig zugeordnet und dokumentiert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein verbindliches Rollenmodell weist Verantwortlichkeiten für IKT-Risikoidentifikation, -bewertung, -behandlung, -überwachung und -berichterstattung zu. Dritte-Verteidigungslinie (Revision) prüft die Wirksamkeit des Gesamtsystems.
DORA / MaRisk
DORA Art. 5 Abs. 2 (Rollen), Art. 6 Abs. 3 (Personal) | MaRisk AT 4.4.1 (Aufbauorganisation), AT 7.1 (Personal)

Umsetzungsschritte

  • RACI-Matrix für IKT-Risikomanagement mit Fachbereichen, IT, Risikocontrolling, Informationssicherheit und Revision erstellen.
  • Stellvertretungsregelungen für jede Schlüsselrolle festlegen.
  • Rollen in Stellenbeschreibungen und Zielvereinbarungen integrieren.
  • Rollenverständnis durch Schulungen und Kommunikation sicherstellen.

Beispielnachweise

  • Rollen- und Verantwortungsmatrix (RACI)
  • Stellenbeschreibungen mit IKT-Risikobezug
  • Schulungsnachweise für Rolleninhaber
  • Review-Protokoll der Rollenverteilung

ISO/IEC 27001 Anker

A.5.2 A.5.3 A.5.37
DORA-IRM-003 reviewed defined

IKT-Risikostrategie und Risikoappetit festlegen

Das Institut verfügt über eine dokumentierte IKT-Risikostrategie, die den Risikoappetit, die Risikotragfähigkeit und strategische Ziele für IKT-Risiken definiert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Die IKT-Risikostrategie ist mit der Geschäftsstrategie und dem gesamtinstitutischen Risikoappetit abgestimmt. Sie definiert quantitative und qualitative Risikoschwellen, Prioritäten und Massnahmen bei Schwellwertverletzungen.
DORA / MaRisk
DORA Art. 6 Abs. 1 lit. a–b (Strategie), Art. 6 Abs. 4 (Dokumentation) | MaRisk AT 4.2.1 (Risikostrategie), AT 4.3.2 (Risikotragfähigkeit)

Umsetzungsschritte

  • IKT-Risikoappetit aus gesamtnstitutischem Risikoappetit ableiten und operationalisieren.
  • IKT-Risikostrategie mit Zielen, Schwellenwerten und Überwachungskennzahlen formulieren.
  • Strategie durch Leitungsorgan freigeben und jährlich überprüfen.
  • Abweichungen von der Strategie als Eskalationsereignis definieren.

Beispielnachweise

  • Freigegebene IKT-Risikostrategie (aktuell)
  • Risikoappetit-Erklärung mit Schwellenwerten
  • Jährlicher Strategie-Review mit Beschluss
  • Abweichungsbericht bei Strategieverletzung

ISO/IEC 27001 Anker

A.5.1 A.5.4 A.5.36
DORA-IRM-004 reviewed defined

IKT-Risikoinventar aufbauen und aktuell halten

Alle identifizierten IKT-Risiken werden in einem zentralen Risikoinventar erfasst, bewertet und aktuell gehalten.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein vollständiges IKT-Risikoinventar erfasst jede identifizierte Gefährdung mit Risikobeschreibung, Eintrittswahrscheinlichkeit, Schadenshöhe, Risikowert, Verantwortlichem, Behandlungsoption, Frist und Status. Das Inventar wird mindestens quartalsweise aktualisiert.
DORA / MaRisk
DORA Art. 6 Abs. 1 lit. c (Risikoidentifikation), Art. 7 (Risikobewertung) | MaRisk AT 4.3.3 (Risikoinventar), BT 1 (IKT-Risiken)

Umsetzungsschritte

  • Risikokategorien für IKT-Risiken definieren (strategisch, operativ, Compliance, Reputation).
  • Risikoinventar-Vorlage mit Pflichtfeldern entwickeln.
  • Ersterfassung durch Fachbereiche, IT und Informationssicherheit durchführen.
  • Regelmässige Aktualisierung (quartalsweise) und Konsolidierung institutionalisieren.
  • Inventar mit Kontrollsystem und Massnahmentracking verknüpfen.

Beispielnachweise

  • IKT-Risikoinventar (vollständig, aktuell)
  • Risikoklassifikation und -kategorien
  • Aktualisierungsprotokolle je Quartal
  • Abgleich mit Kontroll- und Massnahmensystem

ISO/IEC 27001 Anker

A.5.7 A.5.8 A.5.9 A.8.8
DORA-IRM-005 reviewed defined

Schutzbedarfsfeststellung für IKT-Assets durchführen

Der Schutzbedarf aller IKT-Assets wird hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit systematisch festgestellt und dokumentiert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Eine vollständige Schutzbedarfsfeststellung liegt für alle IKT-Assets (Anwendungen, Systeme, Daten, Netzwerke, Infrastruktur) vor. Die Einstufung erfolgt einheitlich anhand definierter Kriterien und wird bei wesentlichen Änderungen aktualisiert.
DORA / MaRisk
DORA Art. 7 Abs. 2 (Schutzbedarf), Art. 8 (Schutzmassnahmen) | MaRisk BT 1.1 (Informationssicherheit), BT 3.1 (Notfallmanagement)

Umsetzungsschritte

  • Schutzbedarfskategorien (normal, hoch, sehr hoch) für Vertraulichkeit, Integrität und Verfügbarkeit definieren.
  • Bewertungsmatrix mit Kriterien je Kategorie entwickeln.
  • IKT-Assets identifizieren und Schutzbedarf je Asset bestimmen.
  • Ergebnisse dokumentieren und regelmässig (mindestens jährlich) aktualisieren.

Beispielnachweise

  • Schutzbedarfsfeststellung für alle IKT-Assets
  • Bewertungsmatrix und Kriterienkatalog
  • Aktualisierungsprotokoll
  • Abweichungsanalyse bei geändertem Schutzbedarf

ISO/IEC 27001 Anker

A.5.9 A.5.10 A.8.1 A.8.2
DORA-IRM-006 reviewed managed

IKT-Risikoanalyse und -bewertung durchführen

IKT-Risiken werden systematisch analysiert, bewertet und priorisiert, um risikobasierte Entscheidungen zu ermöglichen.

Themenbereich
IKT-Risikomanagement
Sollzustand
Eine standardisierte Risikoanalyse bewertet identifizierte IKT-Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe. Die Ergebnisse werden in einer Risikomatrix visualisiert und priorisiert. Wesentliche Risiken werden mit Behandlungsoptionen und Fristen versehen.
DORA / MaRisk
DORA Art. 7 (Risikoanalyse und -bewertung) | MaRisk AT 4.3.3 (Risikoanalyse), BT 1.2

Umsetzungsschritte

  • Risikoanalyse-Methodik (quantitativ/qualitativ) institutsspezifisch festlegen.
  • Risikomatrix mit Eintrittswahrscheinlichkeit, Schadenshöhe und Risikoklassen definieren.
  • Risikoanalyse für alle erfassten IKT-Risiken durchführen.
  • Ergebnisse priorisieren und in Risikobericht aufnehmen.

Beispielnachweise

  • Risikoanalysebericht (aktuell)
  • Risikomatrix mit Bewertung aller IKT-Risiken
  • Priorisierungsliste mit Behandlungskategorien
  • Risikobericht an Leitungsorgan

ISO/IEC 27001 Anker

A.5.7 A.5.8 A.8.8
DORA-IRM-007 reviewed managed

IKT-Risikobehandlung steuern und dokumentieren

Für jedes identifizierte und bewertete IKT-Risiko wird eine Behandlungsoption festgelegt und umgesetzt.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein Risikobehandlungsplan dokumentiert für jedes wesentliche IKT-Risiko die gewählte Option (Vermeiden, Reduzieren, Übertragen, Akzeptieren), zugehörige Massnahmen, Verantwortliche, Fristen und den Status der Umsetzung. Risikoakzeptanz erfolgt auf der dafür vorgesehenen Management-Ebene.
DORA / MaRisk
DORA Art. 8 (Schutzmassnahmen), Art. 9 (Risikobehandlung) | MaRisk AT 4.3.4 (Risikobehandlung), BT 2

Umsetzungsschritte

  • Behandlungsoptionen institutsweit verbindlich definieren.
  • Risikobehandlungsplan mit Massnahmen, Verantwortlichen und Fristen erstellen.
  • Akzeptanzkriterien und Genehmigungsstufen für Risikoakzeptanz festlegen.
  • Umsetzung der Massnahmen verfolgen und Wirksamkeit nachweisen.
  • Restrisiken dokumentieren und managementseitig freigeben.

Beispielnachweise

  • Risikobehandlungsplan (aktuell)
  • Massnahmenübersicht mit Status und Fristen
  • Risikoakzeptanzdokumentation mit Genehmigung
  • Wirksamkeitsnachweise umgesetzter Massnahmen

ISO/IEC 27001 Anker

A.5.7 A.5.8 A.5.29 A.8.3
DORA-IRM-008 reviewed defined

Kontrollsystem für IKT-Risikomanagement aufbauen

Ein dokumentiertes Kontrollsystem stellt die Wirksamkeit der IKT-Risikomanagement-Massnahmen sicher.

Themenbereich
IKT-Risikomanagement
Sollzustand
Das Kontrollsystem umfasst risikobasierte Kontrollziele, Kontrollen (präventiv, detektiv, korrektiv), Kontrollfrequenzen, Verantwortliche, Nachweise und Review-Zyklen. Kontrollergebnisse werden dokumentiert und bei Abweichungen eskalieren.
DORA / MaRisk
DORA Art. 8 (Kontrollsystem), Art. 10 (Wirksamkeit) | MaRisk AT 4.4.2 (Kontrollsystem), BT 2.1

Umsetzungsschritte

  • Kontrollziele aus IKT-Risikoinventar und Schutzbedarf ableiten.
  • Kontrolltypen (präventiv/detektiv/korrektiv) und -frequenzen festlegen.
  • Kontrollen in Verantwortung der Fachbereiche, IT und Informationssicherheit betreiben.
  • Kontrollergebnisse dokumentieren und bei Abweichungen Massnahmen einleiten.

Beispielnachweise

  • Kontrollsystem-Dokumentation mit Kontrollmatrix
  • Durchgeführte Kontrollen mit Ergebnissen
  • Abweichungsberichte und Massnahmen
  • Kontroll-Review-Protokoll

ISO/IEC 27001 Anker

A.5.7 A.5.8 A.8.8 A.8.15
DORA-IRM-009 reviewed defined

Wirksamkeitsprüfung von IKT-Kontrollen institutionalisieren

Die Wirksamkeit der IKT-Kontrollen wird regelmässig geprüft, dokumentiert und bei Feststellungen nachgesteuert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein standardisierter Prozess prüft die Wirksamkeit aller IKT-Kontrollen mindestens jährlich. Die Prüfung umfasst Design-Wirksamkeit und operative Wirksamkeit. Ergebnisse werden dokumentiert, mit Soll-Zustand abgeglichen und Massnahmen bei Abweichungen eingeleitet.
DORA / MaRisk
DORA Art. 10 (Wirksamkeit und Überwachung) | MaRisk AT 4.4.2 Tz. 3 (Wirksamkeit), BT 2.2

Umsetzungsschritte

  • Prüfmethodik für Design-Wirksamkeit und operative Wirksamkeit festlegen.
  • Prüfplan mit Priorisierung (risikobasiert) und Frequenzen erstellen.
  • Wirksamkeitsprüfungen durchführen und Ergebnisse dokumentieren.
  • Massnahmen bei nicht wirksamen Kontrollen ableiten und nachverfolgen.

Beispielnachweise

  • Prüfplan für Wirksamkeitsnachweise (jährlich)
  • Durchgeführte Wirksamkeitsprüfungen mit Ergebnissen
  • Massnahmenplan bei nicht wirksamen Kontrollen
  • Management-Freigabe der Prüfergebnisse

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.8.8 A.9.1
DORA-IRM-010 reviewed defined

Kritische IKT-Dienstleistungen identifizieren und Schutzbedarf bestimmen

Kritische IKT-Dienstleistungen und deren Schutzbedarf werden identifiziert und in das IKT-Risikomanagement einbezogen.

Themenbereich
IKT-Risikomanagement
Sollzustand
Eine institutsspezifische Definition und Identifikation kritischer IKT-Dienstleistungen ist etabliert. Der Schutzbedarf dieser Dienstleistungen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit ist dokumentiert und wird bei Änderungen aktualisiert.
DORA / MaRisk
DORA Art. 7 Abs. 3 (Kritische Dienstleistungen), Art. 8 Abs. 2 | MaRisk AT 9 (Auslagerungen), BT 3 (Notfallmanagement)

Umsetzungsschritte

  • Kriterien für kritische IKT-Dienstleistungen definieren.
  • IKT-Dienstleistungen identifizieren und Kritikalität bewerten.
  • Schutzbedarf je kritischer Dienstleistung feststellen.
  • Ergebnisse mit IKT-Risikoinventar und Kontrollsystem verknüpfen.

Beispielnachweise

  • Kriterienkatalog für kritische IKT-Dienstleistungen
  • Bewertung der Kritikalität je Dienstleistung
  • Schutzbedarfsfeststellung für kritische Dienstleistungen
  • Verknüpfung mit Risikoinventar und Kontrollen

ISO/IEC 27001 Anker

A.5.9 A.5.10 A.5.19 A.8.1
DORA-IRM-011 reviewed defined

IKT-Risikoüberwachung mit Frühwarnindikatoren betreiben

IKT-Risiken werden kontinuierlich überwacht und Frühwarnindikatoren zeigen Risikoveränderungen zeitnah an.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein Kennzahlensystem mit Frühwarnindikatoren (KRI) für IKT-Risiken ist definiert und in Betrieb. Die Kennzahlen werden regelmässig erhoben, überwacht und bei Schwellwertverletzungen wird eskaliert. Trends und Veränderungen werden analysiert und berichtet.
DORA / MaRisk
DORA Art. 10 (Überwachung), Art. 11 (Frühwarnung) | MaRisk AT 4.3.5 (Frühwarnung), BT 1.3

Umsetzungsschritte

  • Frühwarnindikatoren für IKT-Risiken identifizieren und definieren.
  • Schwellenwerte (Grün/Gelb/Rot) für jeden Indikator festlegen.
  • Automatisierte Datenerhebung und Berichterstattung aufbauen.
  • Regelmässige Überprüfung der Indikatoren auf Aussagekraft und Aktualität.

Beispielnachweise

  • Frühwarnindikatoren-Übersicht mit aktuellen Werten
  • Schwellwert-Definition und Eskalationsregeln
  • Monitoring-Bericht mit Trendanalyse
  • Eskalationsnachweise bei Schwellwertverletzung

ISO/IEC 27001 Anker

A.5.7 A.5.8 A.5.35 A.8.16
DORA-IRM-012 reviewed managed

Management-Reporting zu IKT-Risiken etablieren

Das Management erhält regelmässig entscheidungsrelevante Informationen über die IKT-Risikolage, Kontrollstatus, Vorfälle und Massnahmenfortschritt.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein standardisiertes Reporting informiert das Management quartalsweise über die IKT-Risikolage: Risikoinventar-Entwicklung, Kontrollergebnisse, Frühwarnindikatoren, wesentliche Vorfälle, Massnahmenstatus und Reifegradentwicklung.
DORA / MaRisk
DORA Art. 5 Abs. 3 (Berichtspflichten), Art. 11 (Risikoberichterstattung) | MaRisk AT 4.3.1 (Reporting), BT 1.4

Umsetzungsschritte

  • Reporting-Kennzahlen und Berichtsvorlage für IKT-Risiken definieren.
  • Berichtsrhythmus (quartalsweise) und Ad-hoc-Berichtsanlässe festlegen.
  • Reporting in das gesamtinstitutische Risikoberichtswesen integrieren.
  • Reporting regelmässig auf Aussagekraft und Entscheidungsrelevanz prüfen.

Beispielnachweise

  • Quartalsbericht IKT-Risikomanagement
  • Kennzahlen-Dashboard (Risiken, Kontrollen, Massnahmen)
  • Ad-hoc-Bericht bei wesentlicher Veränderung
  • Review-Protokoll zur Reporting-Qualität

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.5.37
DORA-IRM-013 reviewed defined

IKT-Risikobericht an das Leitungsorgan sicherstellen

Das Leitungsorgan erhält regelmässig einen umfassenden Bericht über die IKT-Risikolage und die Wirksamkeit des IKT-Risikomanagements.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein jährlicher IKT-Risikobericht informiert das Leitungsorgan über die Risikolage, wesentliche Risikoveränderungen, Kontrollergebnisse, Wirksamkeitsprüfungen, Reifegradentwicklung, Ressourcen- und Budgetbedarf sowie strategische Empfehlungen.
DORA / MaRisk
DORA Art. 5 Abs. 1 (Leitungsorgan), Art. 11 Abs. 2 | MaRisk AT 4.3.1 (Leitungsorgan), AT 4.4.1

Umsetzungsschritte

  • Berichtsanforderungen des Leitungsorgans für IKT-Risiken erheben.
  • Jährlichen IKT-Risikobericht mit Standardvorlage erstellen.
  • Berichtstermin mit Jahresplanung des Leitungsorgans abstimmen.
  • Berichtsergebnisse in strategische Planung und Budgetierung einsteuern.

Beispielnachweise

  • IKT-Risikobericht an Leitungsorgan (jährlich)
  • Sitzungsprotokoll mit Behandlung des Berichts
  • Beschlussvorlage mit Massnahmen
  • Nachverfolgung der Beschlüsse

ISO/IEC 27001 Anker

A.5.1 A.5.4 A.5.36 A.5.37
DORA-IRM-014 reviewed defined

Eskalationsprozess für IKT-Risiken definieren und betreiben

Wesentliche IKT-Risiken, Kontrollabweichungen und Vorfälle werden zeitnah und auf der richtigen Management-Ebene eskaliert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein dokumentierter Eskalationsprozess definiert Eskalationsauslöser, -stufen, -empfänger, -fristen und Kommunikationswege für IKT-Risiken. Eskalationen werden dokumentiert, nachverfolgt und auf Wirksamkeit geprüft.
DORA / MaRisk
DORA Art. 5 Abs. 2 (Eskalation), Art. 6 Abs. 2 | MaRisk AT 4.4.1 (Entscheidungswege), BT 3.2

Umsetzungsschritte

  • Eskalationsauslöser (Schwellenwerte, Fristen, Risikoklassen) definieren.
  • Eskalationsstufen und Entscheidungsbefugnisse je Stufe festlegen.
  • Kommunikationswege und -formate für Eskalationen standardisieren.
  • Eskalationsprozess regelmässig testen und schulen.

Beispielnachweise

  • Eskalationsmatrix mit Auslösern und Stufen
  • Dokumentierte Eskalationsfälle mit Verlauf
  • Eskalationstest-Protokoll
  • Schulungsnachweise für Eskalationsprozess

ISO/IEC 27001 Anker

A.5.2 A.5.3 A.5.24 A.5.35
DORA-IRM-015 reviewed defined

Nachweis- und Evidenzmodell für IKT-Risikomanagement aufbauen

Alle IKT-Risikomanagement-Aktivitäten sind revisionssicher nachweisbar und mit dem Evidenzmodell der Plattform verknüpft.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein standardisiertes Evidenzmodell ordnet jeder IKT-Risikomanagement-Anforderung konkrete Nachweise zu. Nachweise sind mit Verantwortlichen, Review-Zyklen und Aufbewahrungsfristen versehen. Das Modell wird regelmässig auf Vollständigkeit und Aktualität geprüft.
DORA / MaRisk
DORA Art. 6 Abs. 4 (Dokumentation), Art. 10 Abs. 3 | MaRisk AT 4.4.2 (Dokumentation), BT 2.3

Umsetzungsschritte

  • Evidenzkategorien für IKT-Risikomanagement definieren.
  • Nachweiszuordnung zu jeder DORA-IRM-Anforderung herstellen.
  • Review-Zyklen und Verantwortliche je Nachweis festlegen.
  • Evidenzmodell mit Kontrollsystem und Massnahmentracking verknüpfen.

Beispielnachweise

  • Evidenzmodell IKT-Risikomanagement (vollständig)
  • Nachweisverzeichnis mit Zuordnung zu Anforderungen
  • Review-Protokoll der Evidenzen
  • Verknüpfung mit Kontroll- und Massnahmensystem

ISO/IEC 27001 Anker

A.5.33 A.5.34 A.5.35 A.5.36
DORA-IRM-016 reviewed defined

Integration von DORA, MaRisk und ISO 27001 im IKT-Risikomanagement

Die Anforderungen aus DORA, MaRisk und ISO/IEC 27001:2022 werden im IKT-Risikomanagement konsistent und aufwandsminimierend integriert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein integriertes Anforderungsmapping zeigt die Korrespondenz zwischen DORA-IRM-Artikeln, MaRisk-AT/BT-Ziffern und ISO/IEC 27001:2022-Kontrollen. Gemeinsame Nachweise, Kontrollen und Berichtsformate werden genutzt, um Doppelarbeiten zu vermeiden.
DORA / MaRisk
DORA Art. 6 Abs. 1, Art. 15 (Konsistenz) | MaRisk AT 1 (Anwendungsbereich), AT 4.1 (Gesamtverantwortung)

Umsetzungsschritte

  • Anforderungsmapping zwischen DORA IRM, MaRisk und ISO 27001 durchführen.
  • Gemeinsame Kontrollziele und Nachweise identifizieren.
  • Integrierte Berichts- und Nachweisstruktur aufbauen.
  • Abweichungen und Zusatzanforderungen je Regulation dokumentieren.

Beispielnachweise

  • Anforderungsmapping DORA–MaRisk–ISO 27001
  • Gemeinsame Kontrollzielmatrix
  • Integrierte Nachweisstruktur
  • Abweichungsanalyse je Regulation

ISO/IEC 27001 Anker

A.5.1 A.5.36 A.5.37 A.6.1
DORA-IRM-017 reviewed initial

Reifegradmodell für IKT-Risikomanagement etablieren

Der Reifegrad des IKT-Risikomanagements wird regelmässig gemessen, berichtet und als Grundlage für Verbesserungsmassnahmen genutzt.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein institutsspezifisches Reifegradmodell bewertet alle Dimensionen des IKT-Risikomanagements (Governance, Risikoidentifikation, -analyse, -behandlung, Kontrollen, Überwachung, Reporting, Kultur) auf einer definierten Skala. Die Bewertung wird jährlich durchgeführt und mit Massnahmenplänen verbunden.
DORA / MaRisk
DORA Art. 6 Abs. 5 (Kontinuierliche Verbesserung), Art. 15 | MaRisk AT 4.4.2 (Verbesserung), BT 2.4

Umsetzungsschritte

  • Reifegrad-Dimensionen und Bewertungsstufen für IKT-Risikomanagement definieren.
  • Bewertungskriterien je Dimension und Stufe festlegen.
  • Jährliche Reifegradbewertung durchführen und dokumentieren.
  • Ergebnisse mit Massnahmen- und Verbesserungsplan verknüpfen.

Beispielnachweise

  • Reifegradmodell IKT-Risikomanagement
  • Jährliche Reifegradbewertung mit Ergebnissen
  • Massnahmenplan aus Reifegradbewertung
  • Entwicklungsreport mit Vorjahresvergleich

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.10.1 A.10.2
DORA-IRM-018 reviewed defined

Schulungs- und Sensibilisierungsprogramm für IKT-Risiken aufbauen

Mitarbeitende und Führungskräfte werden regelmässig zu IKT-Risiken geschult und für ihre Verantwortung im IKT-Risikomanagement sensibilisiert.

Themenbereich
IKT-Risikomanagement
Sollzustand
Ein rollenbasiertes Schulungsprogramm vermittelt IKT-Risikowissen an alle relevanten Mitarbeitenden. Führungskräfte erhalten vertiefende Schulungen zu IKT-Risikosteuerung, Eskalation und Reporting. Schulungsteilnahme und -erfolg werden dokumentiert.
DORA / MaRisk
DORA Art. 5 Abs. 2 (Personal), Art. 6 Abs. 3 (Sensibilisierung) | MaRisk AT 7.1 (Personal), AT 7.2 (Schulung)

Umsetzungsschritte

  • Schulungsbedarf für IKT-Risikomanagement rollenbasiert erheben.
  • Schulungsprogramm mit Basisschulung (alle) und Vertiefung (Rolleninhaber) entwickeln.
  • Jährlichen Schulungsplan erstellen und durchführen.
  • Schulungserfolg messen und Programm kontinuierlich verbessern.

Beispielnachweise

  • Schulungskonzept IKT-Risikomanagement
  • Rollenbasierte Schulungsmatrix
  • Teilnehmernachweise und Testergebnisse
  • Jährlicher Schulungsplan mit Durchführung

ISO/IEC 27001 Anker

A.5.2 A.5.3 A.6.3 A.7.2
Evidenzen

Nachweise und Evidenzen IKT-Risikomanagement

15 Nachweiskategorien decken die vollständige IRM-Evidenzlogik ab.

EVD-IRM-001 reviewed

IKT-Risikostrategie

Vom Leitungsorgan freigegebene IKT-Risikostrategie mit Risikoappetit, Zielen, Schwellenwerten und Überwachungskennzahlen.

Verantwortlich Leitungsorgan / Risikocontrolling
Review-Zyklus Jährlich
ISO-Anker A.5.1, A.5.4, A.5.36
Beispiele
  • IKT-Risikostrategie (freigegeben)
  • Risikoappetit-Erklärung
  • Jährlicher Strategie-Review
EVD-IRM-002 reviewed

Rollen- und Verantwortungsmatrix

Verbindliche RACI-Matrix für IKT-Risikomanagement mit Zuordnung zu Fachbereichen, IT, Risikocontrolling, Informationssicherheit und Revision.

Verantwortlich Organisation / Personalentwicklung
Review-Zyklus Jährlich
ISO-Anker A.5.2, A.5.3, A.5.37
Beispiele
  • RACI-Matrix
  • Stellenbeschreibungen mit IKT-Risikobezug
  • Schulungsnachweise
EVD-IRM-003 reviewed

IKT-Risikoinventar

Vollständiges, aktuelles Verzeichnis aller identifizierten IKT-Risiken mit Risikobeschreibung, Bewertung, Verantwortlichem und Behandlungsstatus.

Verantwortlich Risikocontrolling / IT-Sicherheit
Review-Zyklus Quartalsweise
ISO-Anker A.5.7, A.5.8, A.8.8
Beispiele
  • IKT-Risikoinventar (aktuell)
  • Risikoklassifikation
  • Aktualisierungsprotokoll
EVD-IRM-004 reviewed

Schutzbedarfsfeststellung

Dokumentierte Schutzbedarfsfeststellung für alle IKT-Assets hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.

Verantwortlich Informationssicherheit / Fachbereiche
Review-Zyklus Jährlich
ISO-Anker A.5.9, A.5.10, A.8.1, A.8.2
Beispiele
  • Schutzbedarfsfeststellung (vollständig)
  • Bewertungsmatrix
  • Aktualisierungsnachweis
EVD-IRM-005 reviewed

Risikoanalysebericht

Aktueller Bericht über die systematische Analyse und Bewertung aller IKT-Risiken mit Risikomatrix und Priorisierung.

Verantwortlich Risikocontrolling
Review-Zyklus Quartalsweise
ISO-Anker A.5.7, A.5.8, A.8.8
Beispiele
  • Risikoanalysebericht (aktuell)
  • Risikomatrix
  • Priorisierungsliste
EVD-IRM-006 reviewed

Risikobehandlungsplan

Plan zur Behandlung identifizierter IKT-Risiken mit Massnahmen, Verantwortlichen, Fristen, Status und Risikoakzeptanzdokumentation.

Verantwortlich Risikocontrolling / Fachbereiche
Review-Zyklus Quartalsweise
ISO-Anker A.5.7, A.5.8, A.5.29, A.8.3
Beispiele
  • Risikobehandlungsplan (aktuell)
  • Massnahmenübersicht
  • Risikoakzeptanz mit Genehmigung
EVD-IRM-007 reviewed

Kontrollsystem-Dokumentation

Dokumentation des IKT-Kontrollsystems mit Kontrollzielen, -typen, -frequenzen, Verantwortlichen und Nachweisen.

Verantwortlich Informationssicherheit / IT-Betrieb
Review-Zyklus Jährlich
ISO-Anker A.5.7, A.5.8, A.8.8, A.8.15
Beispiele
  • Kontrollmatrix IKT-Risikomanagement
  • Kontrollbeschreibungen
  • Kontrollkalender
EVD-IRM-008 reviewed

Wirksamkeitsnachweise

Nachweise der durchgeführten Wirksamkeitsprüfungen für IKT-Kontrollen mit Ergebnissen, Abweichungen und Massnahmen.

Verantwortlich Interne Revision / Informationssicherheit
Review-Zyklus Jährlich
ISO-Anker A.5.35, A.5.36, A.8.8, A.9.1
Beispiele
  • Prüfplan Wirksamkeit
  • Prüfprotokolle mit Ergebnissen
  • Massnahmenplan bei Abweichungen
EVD-IRM-009 reviewed

Frühwarnindikatoren und Kennzahlen

Übersicht der definierten Frühwarnindikatoren (KRI) für IKT-Risiken mit aktuellen Werten, Schwellen und Trendanalyse.

Verantwortlich Risikocontrolling
Review-Zyklus Monatlich
ISO-Anker A.5.7, A.5.8, A.5.35, A.8.16
Beispiele
  • KRI-Übersicht mit aktuellen Werten
  • Schwellwert-Definition
  • Trendbericht
EVD-IRM-010 reviewed

Management-Reporting

Standardisiertes Reporting an das Management über IKT-Risikolage, Kontrollstatus, Frühwarnindikatoren und Massnahmenfortschritt.

Verantwortlich Risikocontrolling
Review-Zyklus Quartalsweise
ISO-Anker A.5.35, A.5.36, A.5.37
Beispiele
  • Quartalsbericht IKT-Risikomanagement
  • Kennzahlen-Dashboard
  • Ad-hoc-Berichte
EVD-IRM-011 reviewed

Leitungsorganbericht

Jährlicher IKT-Risikobericht an das Leitungsorgan mit Risikolage, Kontrollwirksamkeit, Reifegrad und strategischen Empfehlungen.

Verantwortlich Risikocontrolling / Vorstand
Review-Zyklus Jährlich
ISO-Anker A.5.1, A.5.4, A.5.36, A.5.37
Beispiele
  • IKT-Risikobericht an Leitungsorgan
  • Sitzungsprotokoll
  • Beschlussvorlage
EVD-IRM-012 reviewed

Eskalationsprotokoll

Dokumentierte Eskalationsfälle im IKT-Risikomanagement mit Auslöser, Eskalationsstufe, Entscheidung und Nachverfolgung.

Verantwortlich Risikocontrolling / Fachbereiche
Review-Zyklus Monatlich
ISO-Anker A.5.2, A.5.3, A.5.24, A.5.35
Beispiele
  • Eskalationsmatrix
  • Dokumentierte Eskalationsfälle
  • Massnahmenverfolgung nach Eskalation
EVD-IRM-013 reviewed

Nachweisverzeichnis und Evidenzmodell

Vollständiges Verzeichnis aller Nachweise des IKT-Risikomanagements mit Zuordnung zu Anforderungen, Verantwortlichen und Review-Zyklen.

Verantwortlich Qualitätsmanagement / Informationssicherheit
Review-Zyklus Jährlich
ISO-Anker A.5.33, A.5.34, A.5.35, A.5.36
Beispiele
  • Evidenzmodell IKT-Risikomanagement
  • Nachweisverzeichnis
  • Review-Protokoll
EVD-IRM-014 reviewed

Reifegradbewertung

Jährliche Bewertung des Reifegrads aller IKT-Risikomanagement-Dimensionen mit Ergebnissen, Vorjahresvergleich und Massnahmenplan.

Verantwortlich Qualitätsmanagement / Risikocontrolling
Review-Zyklus Jährlich
ISO-Anker A.5.35, A.5.36, A.10.1, A.10.2
Beispiele
  • Reifegradbewertung (aktuell)
  • Entwicklungsreport
  • Massnahmenplan
EVD-IRM-015 reviewed

Schulungsnachweise

Dokumentation der durchgeführten Schulungen und Sensibilisierungsmassnahmen zu IKT-Risiken mit Teilnehmernachweisen und Erfolgskontrolle.

Verantwortlich Personalentwicklung / Informationssicherheit
Review-Zyklus Jährlich
ISO-Anker A.5.2, A.5.3, A.6.3, A.7.2
Beispiele
  • Schulungskonzept
  • Teilnehmerlisten und -nachweise
  • Testergebnisse

ISO/IEC 27001:2022 Verbindung

ISO/IEC 27001:2022 bietet den Kontrollrahmen, um die IKT-Risikomanagement-Anforderungen aus DORA Kapitel II in ein bestehendes ISMS zu integrieren.

  • A.5.1 bis A.5.4 Führung, Strategie, Rollen und Richtlinien für Informationssicherheit und IKT-Risikomanagement
  • A.5.7 bis A.5.10 Bedrohungsanalyse, Risikobewertung, Schutzbedarf und Behandlung
  • A.5.19 bis A.5.23 Lieferantenbeziehungen als Bestandteil des IKT-Risikomanagements
  • A.5.24 bis A.5.27 Incident- und Continuity-Prozesse als Teil der Risikobehandlung
  • A.5.29 bis A.5.37 Überwachung, Reporting, Dokumentation und kontinuierliche Verbesserung
  • A.8.1 bis A.8.16 Technologische Kontrollen für Schutz, Erkennung und Wiederherstellung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

MaRisk

MaRisk Bezug im IKT-Risikomanagement

Die MaRisk-Anforderungen an das Risikomanagement bilden die nationale Basis für die Umsetzung von DORA Kapitel II im deutschen Finanzsektor.

AT 4 – Risikomanagement

  • AT 4.2.1 Risikostrategie und Risikoappetit
  • AT 4.3.1 Gesamtverantwortung des Leitungsorgans
  • AT 4.3.2 Risikotragfähigkeit
  • AT 4.3.3 Risikoinventar
  • AT 4.3.4 Risikobehandlung
  • AT 4.3.5 Frühwarnung

AT 7 – Organisation und BT 1–3

  • AT 7.1 Personal und Schlüsselfunktionen
  • AT 7.2 Schulung und Sensibilisierung
  • BT 1 IKT-Risiken (inkl. Betriebsrisiken)
  • BT 2 Kontrollsystem und Wirksamkeit
  • BT 3 Notfallmanagement
  • BT 4 Auslagerungen
MaRisk Kapitel öffnen →
Cyber Risk

Verbindung zum Cyber Risk Rahmenwerk

Die 12 Cyber-Kontrollziele der Resilience Platform werden im IKT-Risikomanagement als operative Umsetzungsebene für DORA Kapitel II genutzt.

Identifikation (ID)

Cyber-Risikoidentifikation, Schutzbedarfsfeststellung und Asset-Management als Grundlage des IKT-Risikoinventars.

Schutz (PR)

Technische und organisatorische Schutzmassnahmen gemäss Schutzbedarf und Risikobehandlungsplan.

Erkennung (DE)

Frühwarnindikatoren, Monitoring und Detection-Kontrollen als Teil des IKT-Kontrollsystems.

Reaktion (RS) & Wiederherstellung (RC)

Incident-Response, Business Continuity und Wiederherstellung als Bestandteil der Risikobehandlung und Kontrollziele.

Cyber Risk Kapitel öffnen →

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen, um DORA-Anforderungen aus Kapitel II in ein wirksames ISMS zu integrieren.

  • A.5.1 bis A.5.4 Führung und Strategie
  • A.5.7 bis A.5.10 Risikoanalyse und Behandlung
  • A.5.35 bis A.5.37 Monitoring und Reporting
  • A.8.1 bis A.8.16 Technologische Kontrollen

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung