DORA

Regulierte Tätigkeiten als Fundament der DORA-Umsetzung.

Regulierte Tätigkeiten sind der Ausgangspunkt für kritische oder wichtige Funktionen, die Klassifikation meldepflichtiger IKT-Vorfälle und die Zuordnung von IKT-Dienstleistungen im Informationsregister.

Management Summary

Regulierte Tätigkeiten sind die Grundlage für die Identifikation kritischer oder wichtiger Funktionen.
Die Zuordnung regulierter Tätigkeiten zu IKT-Dienstleistungen ist ein Pflichtfeld im Informationsregister.
Die Vorfallklassifikation nach DORA Artikel 19 verwendet regulierte Tätigkeiten als Klassifikationskriterium.
EU-/EBA-Identifier dienen als Datenqualitätsanker für die konsistente Abbildung im Informationsregister.

Verbindung zu kwF

Regulierte Tätigkeiten sind das erste Kriterium bei der Bestimmung kritischer oder wichtiger Funktionen. Prozesse, die regulierte Tätigkeiten unterstützen, sind grundsätzlich kwF-relevant.

Verbindung zur Vorfallklassifikation

Die Klassifikation meldepflichtiger IKT-Vorfälle nach DORA Art. 19 verwendet regulierte Tätigkeiten als eines der Kriterien für die Wesentlichkeitsbewertung.

Verbindung zum Informationsregister

Das Informationsregister nach DORA Art. 28 Abs. 3 erfordert die Zuordnung von IKT-Dienstleistungen zu den unterstützten regulierten Tätigkeiten.

EU-/EBA-Identifier

EBA-Identifier und europäische Begrifflichkeiten dienen als Datenqualitätsanker und ermöglichen die konsistente Abbildung im aufsichtlichen Meldewesen.

Nationale vs. europäische Begrifflichkeiten

Die Herausforderung liegt in der konsistenten Abbildung nationaler Tätigkeitsbezeichnungen (z.B. aus Zulassungsbescheiden) auf europäische Begrifflichkeiten und EBA-Identifier. Ein dokumentiertes Mapping stellt die Datenqualität im Informationsregister und die korrekte Vorfallklassifikation sicher.

Massnahmen: Regulierte Tätigkeiten

DORA-RTA-001 reviewed initial

Tätigkeiteninventar für regulierte Tätigkeiten aufbauen

Das Institut verfügt über ein vollständiges Inventar aller regulierten Tätigkeiten als Grundlage für kwF, Vorfallklassifikation und Informationsregister.

Themenbereich: Regulierte Tätigkeiten
Sollzustand: Ein zentrales Tätigkeiteninventar erfasst alle regulierten Tätigkeiten des Instituts mit Zuordnung zu nationalen und europäischen Begrifflichkeiten, EBA-Identifikatoren und betroffenen IKT-Dienstleistungen.
DORA / MaRisk: DORA Art. 3 Ziffer 23, Art. 19 (Vorfallklassifikation), Art. 28 Abs. 3 (Informationsregister) | MaRisk AT 4.3.3 (Risikoinventar)

Umsetzungsschritte

Regulierte Tätigkeiten aus Zulassung und Geschäftsmodell identifizieren.
Tätigkeiten mit europäischen Begrifflichkeiten und EBA-Identifikatoren abgleichen.
Zuordnung zu kwF, IKT-Dienstleistungen und Informationsregister herstellen.
Inventar regelmässig aktualisieren und mit Zulassungsänderungen abgleichen.

Beispielnachweise

Tätigkeiteninventar (aktuell)
Mapping nationale zu europäische Begrifflichkeiten
EBA-Identifier-Liste
Aktualisierungsprotokoll

ISO/IEC 27001 Anker

A.5.7 A.5.9 A.5.33

DORA-RTA-002 reviewed initial

Mapping zwischen nationalen und europäischen Tätigkeitsbegrifflichkeiten etablieren

Nationale und europäische Begrifflichkeiten für regulierte Tätigkeiten werden konsistent gemappt und dokumentiert.

Themenbereich: Regulierte Tätigkeiten
Sollzustand: Ein dokumentiertes Mapping bildet nationale Tätigkeitsbezeichnungen auf europäische Begrifflichkeiten (EBA-Identifier, CRR/CRD, MiFID, AIFMD etc.) ab. Das Mapping wird bei regulatorischen Änderungen aktualisiert.
DORA / MaRisk: DORA Art. 28 Abs. 3 (Informationsregister), Art. 19 (Vorfallklassifikation) | MaRisk AT 4.3.3

Umsetzungsschritte

Nationale Tätigkeitsbezeichnungen aus Zulassungsbescheiden erfassen.
Europäische Begrifflichkeiten und EBA-Identifier recherchieren und zuordnen.
Mapping-Dokumentation mit Quellen und Gültigkeitsstand erstellen.
Aktualisierung bei regulatorischen oder geschäftlichen Änderungen sicherstellen.

Beispielnachweise

Mapping-Dokumentation national/europäisch
EBA-Identifier-Zuordnungstabelle
Quellenverzeichnis für Begrifflichkeiten
Aktualisierungsnachweise

ISO/IEC 27001 Anker

A.5.33 A.5.34 A.5.36

DORA-RTA-003 reviewed initial

EBA-Identifier-Logik für das Informationsregister umsetzen

Die EBA-Identifier und deren Zuordnung zu IKT-Dienstleistungen sind für das Informationsregister korrekt und aktuell.

Themenbereich: Regulierte Tätigkeiten
Sollzustand: Die EBA-Identifier sind für jede regulierte Tätigkeit erfasst und den zugehörigen IKT-Dienstleistungen zugeordnet. Die Datenqualität wird regelmässig geprüft und Abweichungen werden korrigiert.
DORA / MaRisk: DORA Art. 28 Abs. 3 (Informationsregister) | MaRisk AT 9 Tz. 6

Umsetzungsschritte

EBA-Identifier aus EBA-Register und aufsichtlichen Vorgaben ableiten.
Identifier den regulierten Tätigkeiten zuordnen.
Verknüpfung mit IKT-Dienstleistungen im Informationsregister herstellen.
Datenqualität durch regelmässige Abgleiche sichern.

Beispielnachweise

EBA-Identifier-Tabelle mit Tätigkeitszuordnung
Verknüpfung im Informationsregister
Datenqualitätsbericht
Korrekturprotokoll bei Abweichungen

ISO/IEC 27001 Anker

A.5.33 A.5.34 A.5.36

DORA-RTA-004 reviewed initial

Registerdatenqualität für regulierte Tätigkeiten sicherstellen

Die Datenqualität der regulierten Tätigkeiten im Informationsregister wird systematisch überprüft und verbessert.

Themenbereich: Regulierte Tätigkeiten
Sollzustand: Ein Prozess zur Sicherstellung der Registerdatenqualität definiert Vollständigkeits-, Korrektheits- und Aktualitätskriterien. Regelmässige Qualitätskontrollen identifizieren Fehler und leiten Korrekturmassnahmen ein. Verantwortlichkeiten für Datenpflege und -prüfung sind festgelegt.
DORA / MaRisk: DORA Art. 28 Abs. 3 (Informationsregister), Art. 29 (Datenqualität) | MaRisk AT 9 Tz. 6

Umsetzungsschritte

Datenqualitätskriterien für regulierte Tätigkeiten definieren.
Regelmässige Qualitätskontrollen (mindestens quartalsweise) durchführen.
Fehlerprotokoll mit Korrekturmassnahmen und Fristen führen.
Verantwortlichkeiten für Datenpflege und Qualitätssicherung zuweisen.

Beispielnachweise

Datenqualitätsbericht (aktuell)
Fehlerprotokoll mit Korrekturmassnahmen
Kontrollplan für Registerdatenqualität
Review-Protokoll der Datenqualität

ISO/IEC 27001 Anker

A.5.33 A.5.34 A.5.35 A.5.36

Hinweis

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

EUR-Lex: DORA (EU) 2022/2554 Stand: Abruf 2026-05-07
BaFin: DORA Informationen Stand: Abruf 2026-05-11
EBA: Regulatory Technical Standards on Information Register Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.