DORA Anhang I / Übergangsbestimmungen

MVP-Fachverfahren strukturiert einführen.

Implementierungsleitfaden für Übergangsregelungen zu MVP-Fachverfahren (Minimum Viable Product). Fristgerechte Konformität bei begrenztem Budget durch priorisierte Umsetzung.

Management-Zusammenfassung

MVP-Fachverfahren nach DORA-Anhang I sind identifiziert und mit Konformitätslücken abgeglichen.
Übergangsplan mit Phasen, Meilensteinen und Budget ist vom Management genehmigt und wird monatlich reportet.
Risikobasierte Priorisierung stellt sicher, dass regulatorisch relevante und kundennahe Prozesse zuerst abgedeckt werden.
Ersatz- oder Migrationsstrategie existiert für jedes MVP-Verfahren; Rückfalloptionen sind dokumentiert.

Sollzustand

MVP-Verfahren im Bestand sind vollständig erfasst; Zuordnung zu DORA-Anforderungen (Art. 5–13, 17, 24–26) ist dokumentiert.
Konformitätslücken pro MVP-Verfahren sind quantifiziert ( regulatorisches Risiko, technisches Risiko, Betriebsrisiko).
Übergangsplan mit Phasen: Stabilisierung (Sicherstellung des Betriebs), Erweiterung (Funktionale Lücken schließen), Abschaltung/Ersatz (Migration auf permanente Lösung).
Budget und Ressourcen sind alloziert; Projektorganisation mit Steuerkreis, Projektleitung und Fachverantwortlichen ist definiert.
Fortschrittskontrolle: Monatliche Statusreports an Management und Aufseher (bei Anforderung); Ampel-System (grün/gelb/rot) pro MVP-Verfahren.

Umsetzungsschritte

1. MVP-Verfahren inventarisieren: Liste aller Systeme, die als Übergangslösung betrieben werden; Klassifizierung nach regulatorischer Relevanz und Kritikalität.
2. Lückenanalyse durchführen: Gegen jede DORA-Anforderung prüfen, welche MVP-Verfahren nicht vollständig konform sind; Risikobewertung mit quantitativen und qualitativen Faktoren.
3. Übergangsplan erstellen: Phasen mit Meilensteinen, Verantwortlichen, Budget, Ressourcen; Genehmigung durch Management und Aufseher einholen.
4. Stabilisierungsphase: Betriebssicherheit gewährleisten, dokumentierte Workarounds, Eskalationswege, Incident-Response für MVP-Verfahren.
5. Erweiterungsphase: Funktionale Lücken schließen, Integration in bestehende ICT-Risikomanagement-, Test- und Meldeprozesse.
6. Abschaltung oder Migration: Dauerhafte Lösung implementieren, Datenmigration, Parallelbetrieb, Go-Live-Entscheidung, Altsystem-Deaktivierung.
7. Dokumentation und Audit: Jede Phase mit Nachweisen (Testprotokolle, Genehmigungen, Risikoakzeptanzen) dokumentiert; revisionssichere Archivierung.

Typische Lücken & ISO/IEC 27001-Verbindung

MVP-Verfahren nicht vollständig erfasst: Schatten-IT, vergessene Legacy-Systeme; Abhilfe: automatisierte Asset-Discovery und manuelle Nachverfolgung.
Kein zeitlicher Plan: unklare Verantwortlichkeiten, fehlende Meilensteine; Abhilfe: Projektplan mit Gantt-Diagramm, Ressourcenplan und Budget.
Mangelnde Risikoakzeptanz: Management akzeptiert Risiken ohne formale Dokumentation; Abhilfe: Risikoakzeptanz-Workflow mit Begründung, Frist und Review.
ISO/IEC 27001:2022: A.5.1 Policies for Information Security (Richtlinien für Informationssicherheit), A.5.37 Documented Operating Procedures (Dokumentierte Betriebsverfahren), A.7.5 Secure Configuration (Sichere Konfiguration), A.8.8 Management of Technical Vulnerabilities (Management technischer Schwachstellen), A.8.30 ICT Readiness for Business Continuity (ICT-Bereitschaft für Geschäftskontinuität).

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Rahmen für Richtlinien, Betriebsverfahren, Konfigurationsmanagement und Schwachstellenmanagement — essenziell für den sicheren Betrieb von MVP-Lösungen.

A.5.1 Policies for Information Security
A.5.37 Documented Operating Procedures
A.7.5 Secure Configuration
A.8.8 Management of Technical Vulnerabilities
A.8.30 ICT Readiness for Business Continuity

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA — Übergangsbestimmungen Stand: Abruf 2026-05-04
EBA: DORA — Transitional Provisions Stand: Abruf 2026-05-04
DORA Verordnung (EU) 2022/2554 — Anhang I Stand: Abruf 2026-05-04

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.