DORA Übergreifend

Nachweise fuer Pruefung und Aufsicht.

Übersicht typischer Nachweisanforderungen je DORA-Themenfeld, ergänzt um kwF, regulierte Tätigkeiten, IKT-Verträge, Richtlinien und Regulatory Landscape.

Management-Zusammenfassung

Das erweiterte Evidenzmodell umfasst Nachweise für alle DORA-Themenfelder inklusive kwF, regulierte Tätigkeiten, IKT-Verträge, IKT-Richtlinien, Drittparteienstrategie, NIS2, CRA und AI Act.
Jeder Nachweis ist mit Verantwortlichen, Review-Zyklen und ISO-Control-Ankern versehen.
Die Nachweislogik ist auf Prüfbarkeit und Management-Entscheidungen ausgerichtet.

Evidenzübersicht

47 Nachweise in 11 Kategorien.

IKT-Drittparteien-Nachweise

12 Nachweise

EVD-TPR-001 reviewed

IKT-Dienstleisterinventar

Vollständiges, aktuelles Verzeichnis aller IKT-Drittdienstleister mit Verträgen, Leistungsbeschreibungen, Verantwortlichen, Kritikalität und Registerrelevanz.

Fachbereich / IT-Strategie · Quartalsweise · A.5.19, A.5.33

IKT-Dienstleisterinventar in aktueller Version Vertragsliste mit IKT-Bezug Dienstleistungsklassifikation

EVD-TPR-002 reviewed

Dienstleistungsklassifikation

Dokumentierte Abgrenzung und Klassifikation von IKT-Dienstleistungen gegenüber sonstigen Fremdleistungen.

Compliance / Auslagerungsmanagement · Jährlich · A.5.19, A.5.33

Abgrenzungsrichtlinie Klassifikationsmatrix je Vertrag Bewertungsprotokoll

EVD-TPR-003 reviewed

Kritikalitätsbewertung

Bewertung der Kritikalität jeder IKT-Drittdienstleistung hinsichtlich ihrer Bedeutung für kritische oder wichtige Funktionen.

Fachbereich / IT-Strategie · Jährlich · A.5.19, A.5.20

Kritikalitätsmatrix Funktionslandkarte Bewertungsprotokoll mit Begründung

EVD-TPR-004 reviewed

Vertragsprüfung

Nachweis der Prüfung von Verträgen auf DORA-Konformität, insbesondere hinsichtlich Mindestklauseln, Kontrollrechten und Exit-Bestimmungen.

Einkauf / Rechtsabteilung · Bei Vertragsabschluss und -änderung · A.5.19, A.5.20, A.5.31

Vertragsprüf-Checkliste Prüfprotokoll Abweichungsregister

EVD-TPR-005 reviewed

DORA-Klauselmatrix

Matrix, die den Abgleich zwischen DORA-Vertragsanforderungen und den tatsächlichen Vertragsklauseln je Dienstleister dokumentiert.

Einkauf / Rechtsabteilung · Jährlich oder bei Vertragsänderung · A.5.19, A.5.20

Klauselmatrix mit DORA-Referenzen Abdeckungsgrad je Dienstleister Abweichungsanalyse

EVD-TPR-006 reviewed

Unterauftragnehmerübersicht

Verzeichnis der wesentlichen Unterauftragnehmer kritischer IKT-Drittdienstleister mit Information über Leistungsumfang und Abhängigkeiten.

Auslagerungsmanagement · Halbjährlich · A.5.19, A.5.20, A.5.21

Unterauftragnehmerverzeichnis Leistungskettendiagramm Konzentrationsrisikoanalyse

EVD-TPR-007 reviewed

Exit-Strategie

Dokumentierte Exit-Strategie für jede kritische IKT-Drittdienstleistung mit Szenarien, Abhängigkeiten, Übergangsfristen und Verantwortlichkeiten.

Fachbereich / IT-Strategie / Auslagerungsmanagement · Jährlich · A.5.19, A.5.29, A.5.30

Exit-Strategie je Dienstleistung Abhängigkeitsanalyse Gremienfreigabe

EVD-TPR-008 reviewed

Exit-Testprotokoll

Nachweis der Durchführung und Ergebnisse von Exit-Tests für kritische IKT-Drittdienstleistungen.

IT-Betrieb / BCM · Jährlich · A.5.29, A.5.30, A.8.34

Testplan Testprotokoll mit Ergebnissen Verbesserungsmassnahmen

EVD-TPR-009 reviewed

Konzentrationsrisikoanalyse

Analyse von Konzentrationsrisiken auf Dienstleister-, Branchen-, Regional- und Technologieebene.

Risikocontrolling / Auslagerungsmanagement · Jährlich · A.5.19, A.5.21, A.5.22

Konzentrationsrisikoanalyse Massnahmenplan Reporting an das Leitungsorgan

EVD-TPR-010 reviewed

Dienstleister-Kontrollbericht

Bericht über die Ausübung von Kontroll- und Auditrechten bei IKT-Drittdienstleistern mit Ergebnissen und Massnahmen.

Interne Revision / Auslagerungsmanagement · Jährlich · A.5.19, A.5.20, A.9.2

Kontrollplan Auditbericht Massnahmenverfolgung

EVD-TPR-011 reviewed

Informationsregisterauszug

Aktueller Auszug aus dem Informationsregister mit allen DORA-pflichtigen Angaben zu IKT-Drittdienstleistungen.

Auslagerungsmanagement / Informationsregister-Beauftragter · Quartalsweise · A.5.33, A.5.34, A.5.36

Registerauszug Datenqualitätsbericht Abgleichprotokoll mit Quellsystemen

EVD-TPR-012 reviewed

Massnahmenverfolgung TPR

Systematische Verfolgung aller Massnahmen und Befunde aus Audits, Risikobewertungen, Vertragsprüfungen und Kontrollen im TPR-Umfeld.

Auslagerungsmanagement / Qualitätsmanagement · Monatlich · A.5.35, A.5.36, A.10.1, A.10.2

Massnahmen- und Befundtracking Review-Protokoll Eskalationsnachweise

IKT-Risikomanagement-Nachweise

15 Nachweise

EVD-IRM-001 reviewed

IKT-Risikostrategie

Vom Leitungsorgan freigegebene IKT-Risikostrategie mit Risikoappetit, Zielen, Schwellenwerten und Überwachungskennzahlen.

Leitungsorgan / Risikocontrolling · Jährlich · A.5.1, A.5.4, A.5.36

IKT-Risikostrategie (freigegeben) Risikoappetit-Erklärung Jährlicher Strategie-Review

EVD-IRM-002 reviewed

Rollen- und Verantwortungsmatrix

Verbindliche RACI-Matrix für IKT-Risikomanagement mit Zuordnung zu Fachbereichen, IT, Risikocontrolling, Informationssicherheit und Revision.

Organisation / Personalentwicklung · Jährlich · A.5.2, A.5.3, A.5.37

RACI-Matrix Stellenbeschreibungen mit IKT-Risikobezug Schulungsnachweise

EVD-IRM-003 reviewed

IKT-Risikoinventar

Vollständiges, aktuelles Verzeichnis aller identifizierten IKT-Risiken mit Risikobeschreibung, Bewertung, Verantwortlichem und Behandlungsstatus.

Risikocontrolling / IT-Sicherheit · Quartalsweise · A.5.7, A.5.8, A.8.8

IKT-Risikoinventar (aktuell) Risikoklassifikation Aktualisierungsprotokoll

EVD-IRM-004 reviewed

Schutzbedarfsfeststellung

Dokumentierte Schutzbedarfsfeststellung für alle IKT-Assets hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.

Informationssicherheit / Fachbereiche · Jährlich · A.5.9, A.5.10, A.8.1, A.8.2

Schutzbedarfsfeststellung (vollständig) Bewertungsmatrix Aktualisierungsnachweis

EVD-IRM-005 reviewed

Risikoanalysebericht

Aktueller Bericht über die systematische Analyse und Bewertung aller IKT-Risiken mit Risikomatrix und Priorisierung.

Risikocontrolling · Quartalsweise · A.5.7, A.5.8, A.8.8

Risikoanalysebericht (aktuell) Risikomatrix Priorisierungsliste

EVD-IRM-006 reviewed

Risikobehandlungsplan

Plan zur Behandlung identifizierter IKT-Risiken mit Massnahmen, Verantwortlichen, Fristen, Status und Risikoakzeptanzdokumentation.

Risikocontrolling / Fachbereiche · Quartalsweise · A.5.7, A.5.8, A.5.29, A.8.3

Risikobehandlungsplan (aktuell) Massnahmenübersicht Risikoakzeptanz mit Genehmigung

EVD-IRM-007 reviewed

Kontrollsystem-Dokumentation

Dokumentation des IKT-Kontrollsystems mit Kontrollzielen, -typen, -frequenzen, Verantwortlichen und Nachweisen.

Informationssicherheit / IT-Betrieb · Jährlich · A.5.7, A.5.8, A.8.8, A.8.15

Kontrollmatrix IKT-Risikomanagement Kontrollbeschreibungen Kontrollkalender

EVD-IRM-008 reviewed

Wirksamkeitsnachweise

Nachweise der durchgeführten Wirksamkeitsprüfungen für IKT-Kontrollen mit Ergebnissen, Abweichungen und Massnahmen.

Interne Revision / Informationssicherheit · Jährlich · A.5.35, A.5.36, A.8.8, A.9.1

Prüfplan Wirksamkeit Prüfprotokolle mit Ergebnissen Massnahmenplan bei Abweichungen

EVD-IRM-009 reviewed

Frühwarnindikatoren und Kennzahlen

Übersicht der definierten Frühwarnindikatoren (KRI) für IKT-Risiken mit aktuellen Werten, Schwellen und Trendanalyse.

Risikocontrolling · Monatlich · A.5.7, A.5.8, A.5.35, A.8.16

KRI-Übersicht mit aktuellen Werten Schwellwert-Definition Trendbericht

EVD-IRM-010 reviewed

Management-Reporting

Standardisiertes Reporting an das Management über IKT-Risikolage, Kontrollstatus, Frühwarnindikatoren und Massnahmenfortschritt.

Risikocontrolling · Quartalsweise · A.5.35, A.5.36, A.5.37

Quartalsbericht IKT-Risikomanagement Kennzahlen-Dashboard Ad-hoc-Berichte

EVD-IRM-011 reviewed

Leitungsorganbericht

Jährlicher IKT-Risikobericht an das Leitungsorgan mit Risikolage, Kontrollwirksamkeit, Reifegrad und strategischen Empfehlungen.

Risikocontrolling / Vorstand · Jährlich · A.5.1, A.5.4, A.5.36, A.5.37

IKT-Risikobericht an Leitungsorgan Sitzungsprotokoll Beschlussvorlage

EVD-IRM-012 reviewed

Eskalationsprotokoll

Dokumentierte Eskalationsfälle im IKT-Risikomanagement mit Auslöser, Eskalationsstufe, Entscheidung und Nachverfolgung.

Risikocontrolling / Fachbereiche · Monatlich · A.5.2, A.5.3, A.5.24, A.5.35

Eskalationsmatrix Dokumentierte Eskalationsfälle Massnahmenverfolgung nach Eskalation

EVD-IRM-013 reviewed

Nachweisverzeichnis und Evidenzmodell

Vollständiges Verzeichnis aller Nachweise des IKT-Risikomanagements mit Zuordnung zu Anforderungen, Verantwortlichen und Review-Zyklen.

Qualitätsmanagement / Informationssicherheit · Jährlich · A.5.33, A.5.34, A.5.35, A.5.36

Evidenzmodell IKT-Risikomanagement Nachweisverzeichnis Review-Protokoll

EVD-IRM-014 reviewed

Reifegradbewertung

Jährliche Bewertung des Reifegrads aller IKT-Risikomanagement-Dimensionen mit Ergebnissen, Vorjahresvergleich und Massnahmenplan.

Qualitätsmanagement / Risikocontrolling · Jährlich · A.5.35, A.5.36, A.10.1, A.10.2

Reifegradbewertung (aktuell) Entwicklungsreport Massnahmenplan

EVD-IRM-015 reviewed

Schulungsnachweise

Dokumentation der durchgeführten Schulungen und Sensibilisierungsmassnahmen zu IKT-Risiken mit Teilnehmernachweisen und Erfolgskontrolle.

Personalentwicklung / Informationssicherheit · Jährlich · A.5.2, A.5.3, A.6.3, A.7.2

Schulungskonzept Teilnehmerlisten und -nachweise Testergebnisse

kwF-Nachweise

5 Nachweise

EVD-KWF-001 reviewed

kwF-Methodik und Kriterienkatalog

Dokumentierte, freigegebene Methodik zur Bestimmung kritischer oder wichtiger Funktionen mit Ausfall-, Pflichtverletzungs-, Zeit- und Regulatorik-Dimensionen.

Risikocontrolling / Organisationsentwicklung · Jährlich · A.5.7, A.5.8, A.5.9, A.5.36

kwF-Methodik-Dokument Kriterienkatalog Entscheidungslogik

EVD-KWF-002 reviewed

Prozesslandkarte mit kwF-Bewertung

Vollständige Prozesslandkarte mit Zuordnung regulierter Tätigkeiten, IKT-Abhängigkeiten und kwF-Bewertung je Prozess.

Organisationsentwicklung / Fachbereiche · Jährlich · A.5.7, A.5.9, A.5.10, A.8.1

Prozesslandkarte Bewertungsmatrix kwF je Prozess IKT-Abhängigkeitsanalyse

EVD-KWF-003 reviewed

Ausfallszenario-Analyse

Bewertung von Ausfallszenarien für identifizierte kwF mit MTPD, RTO/RPO und finanzieller Auswirkungsanalyse.

Risikocontrolling / BCM · Jährlich · A.5.7, A.5.29, A.5.30, A.8.34

Ausfallszenario-Analyse MTPD/RTO/RPO-Definitionen Finanzielle Auswirkungsanalyse

EVD-KWF-004 reviewed

Pflichtverletzungsszenario-Analyse

Bewertung von Pflichtverletzungsszenarien für identifizierte kwF mit regulatorischen Konsequenzen und aufsichtlichen Auswirkungen.

Compliance / Risikocontrolling · Jährlich · A.5.7, A.5.8, A.5.36, A.6.1

Pflichtverletzungsszenario-Analyse Regulatorische Pflichtenübersicht Aufsichtsrechtliche Konsequenzenanalyse

EVD-KWF-005 reviewed

kwF-Entscheidungen und Managementfreigabe

Dokumentierte kwF-Einstufungen mit Kriterienanwendung, Entscheidungsbegründung und Managementfreigabe.

Leitungsorgan / Risikocontrolling · Jährlich · A.5.1, A.5.2, A.5.3, A.5.36

kwF-Entscheidungsvorlage Managementfreigabe je kwF Änderungsdokumentation

Regulierte Tätigkeiten-Nachweise

2 Nachweise

EVD-RTA-001 reviewed

Tätigkeiteninventar

Vollständiges Inventar aller regulierten Tätigkeiten mit nationalen und europäischen Begrifflichkeiten und EBA-Identifikatoren.

Compliance / Rechtsabteilung · Halbjährlich · A.5.7, A.5.9, A.5.33

Tätigkeiteninventar Mapping national/europäisch EBA-Identifier-Liste

EVD-RTA-002 reviewed

Registerdatenqualität regulierte Tätigkeiten

Nachweis der Datenqualität für regulierte Tätigkeiten im Informationsregister mit Fehlerprotokoll und Korrekturmassnahmen.

Informationsregister-Beauftragter · Quartalsweise · A.5.33, A.5.34, A.5.35, A.5.36

Datenqualitätsbericht Fehlerprotokoll Korrekturnachweise

Informationsregister-Nachweise

2 Nachweise

EVD-IRG-001 reviewed

IKT-Dienstleistungsregister mit Tätigkeitszuordnung

Vollständiges Informationsregister mit Zuordnung von IKT-Dienstleistungen zu regulierten Tätigkeiten und EBA-Identifikatoren.

Auslagerungsmanagement / Informationsregister-Beauftragter · Quartalsweise · A.5.33, A.5.34, A.5.36

Informationsregisterauszug Tätigkeitszuordnungstabelle EBA-Identifier-Verknüpfung

EVD-IRG-002 reviewed

Registerdatenqualitätsbericht

Bericht über Vollständigkeit, Korrektheit und Aktualität der Informationsregisterdaten mit Fehlerprotokoll.

Informationsregister-Beauftragter · Quartalsweise · A.5.34, A.5.35, A.5.36

Datenqualitätsbericht Fehlerprotokoll Korrekturmassnahmen

IKT-Vertragsnachweise

3 Nachweise

EVD-CON-001 reviewed

Vertragsklassifikation

Klassifizierte Übersicht aller IKT-Verträge nach Baseline, kontrollrelevant, kwF-relevant und strategisch kritisch.

Einkauf / Rechtsabteilung · Jährlich · A.5.19, A.5.20, A.5.33

Klassifikationsmatrix Klassifizierte Vertragsliste Klassifikationsrichtlinie

EVD-CON-002 reviewed

Vertragsprüfdokumentation

Nachweis der Prüfung von IKT-Verträgen auf Vollständigkeit der Mindestinhalte nach DORA und institutsspezifischen Anforderungen.

Einkauf / Rechtsabteilung · Bei Vertragsabschluss und -änderung · A.5.19, A.5.20, A.5.31

Vertragsprüf-Checkliste Prüfprotokoll Abweichungsregister

EVD-CON-003 reviewed

Unterauftragnehmerverzeichnis

Verzeichnis der wesentlichen Unterauftragnehmer mit Leistungsumfang und Konzentrationsrisikoanalyse.

Auslagerungsmanagement · Halbjährlich · A.5.19, A.5.20, A.5.21, A.5.22

Unterauftragnehmerverzeichnis Leistungskettendiagramm Konzentrationsrisikoanalyse

IKT-Richtliniennachweise

2 Nachweise

EVD-POL-001 reviewed

Richtlinieninventar

Vollständiges Inventar aller IKT-Richtlinien mit Version, Freigabe, Geltungsbereich und Review-Zyklus.

Informationssicherheit / Governance · Quartalsweise · A.5.1, A.5.2, A.5.33, A.5.36

Richtlinieninventar (aktuell) Lückenanalyse Kategorisierungsmatrix

EVD-POL-002 reviewed

Richtlinien-Review-Dokumentation

Nachweis der durchgeführten Reviews von IKT-Richtlinien mit Ergebnissen und Änderungen.

Informationssicherheit / Fachbereiche · Jährlich · A.5.35, A.5.36, A.9.1, A.10.1

Review-Plan Review-Protokolle Richtlinienänderungen aus Reviews

Drittparteienstrategie-Nachweise

2 Nachweise

EVD-TPS-001 reviewed

IKT-Drittparteienrisikostrategie

Vom Leitungsorgan freigegebene Strategie zum IKT-Drittparteienrisiko mit strategischen Zielen, Massnahmenplan und Governance.

Leitungsorgan / Auslagerungsmanagement · Jährlich · A.5.1, A.5.4, A.5.19, A.5.36

Drittparteienrisikostrategie Strategische Ziele Massnahmenplan

EVD-TPS-002 reviewed

Multi-Vendor-Strategie und Konzentrationsrisikoanalyse

Strategische Steuerung von Multi-Vendor-Beziehungen und Analyse von Konzentrationsrisiken.

Auslagerungsmanagement / Risikocontrolling · Jährlich · A.5.19, A.5.21, A.5.22

Multi-Vendor-Strategie Konzentrationsrisikoanalyse Steuerungsmatrix

NIS2-Anschlussnachweise

1 Nachweise

EVD-NIS2-001 reviewed

NIS2-Anwendungsbereichsprüfung

Dokumentierte Prüfung des NIS2-Einrichtungsstatus mit Begründung und DORA-Ausnahmeprüfung.

Compliance / Informationssicherheit · Jährlich · A.5.1, A.5.2, A.5.36

Anwendungsbereichsprüfung Einrichtungsstatus-Begründung DORA-Ausnahmeprüfung

CRA-Anschlussnachweise

1 Nachweise

EVD-CRA-001 reviewed

CRA-Produktinventar und Anwendungsbereichsprüfung

Inventar von IKT-Produkten mit digitalen Elementen und Prüfung des CRA-Anwendungsbereichs.

IT-Beschaffung / Informationssicherheit · Jährlich · A.5.19, A.5.20, A.5.21, A.8.34

CRA-Produktinventar Anwendungsbereichsprüfung Beschaffungsanforderungen

AI-Governance-Nachweise

2 Nachweise

EVD-AIA-001 reviewed

KI-Inventar

Vollständiges Inventar aller KI-Systeme mit Klassifikation nach AI-Act-Risikokategorien.

KI-Governance / Datenmanagement · Halbjährlich · A.5.7, A.5.8, A.5.9, A.5.33

KI-Inventar Klassifikationsmatrix Risikobewertung je KI-System

EVD-AIA-002 reviewed

KI-Kompetenznachweise

Dokumentation rollenbasierter KI-Kompetenzschulungen mit Teilnehmernachweisen.

Personalentwicklung / KI-Governance · Jährlich · A.5.2, A.5.3, A.6.3, A.7.2

KI-Kompetenzrahmen Schulungsprogramm Teilnehmernachweise

Typische Lücken

Unklare Ownership zwischen IT, ISMS, Einkauf und Compliance.
Uneinheitliche Datenstaende in Richtlinien, Registern und Nachweisen.
Fehlende End-to-End-Nachweise fuer Wirksamkeit und Managemententscheidungen.
Nachweise nicht durchgehend mit ISO-Control-Ankern verknüpft.

ISO 27001 Verbindung

A.5 Informationssicherheitsrichtlinien und Governance
A.5.19 bis A.5.23 Lieferantenbeziehungen
A.5.24 bis A.5.27 Incident- und Continuity-Prozesse
A.5.33 bis A.5.37 Dokumentation und Reporting
A.7 Personalkontrollen und Schulung
A.8 Technologische Kontrollen
A.9.1 Interne Audit
A.10 Kontinuierliche Verbesserung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA — Themenuebersicht Stand: Abruf 2026-05-07
ISO/IEC 27001:2022 Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.