Steuerung

Reifegrad als Steuerungsinstrument.

Ein Reifegradmodell mit 8 Bewertungsdimensionen ermöglicht eine präzise Standortbestimmung und zielgerichtete Weiterentwicklung.

Management-Zusammenfassung

Das Reifegradmodell bewertet 8 Dimensionen des IKT-Risikomanagements und der DORA-Umsetzung.
Jede Dimension durchläuft fünf Reifegradstufen von Initial bis Optimized.
Die Bewertung wird jährlich durchgeführt und mit Massnahmenplänen verbunden.
Dimensionen: Governance, IKT-Risikomanagement, IKT-Drittparteienrisiko, kwF-Methodik, Informationsregisterfähigkeit, Vertragssteuerung, Richtlinienmanagement, Drittparteienstrategie.
Reifegradstufen sind direkt mit DORA-Testanforderungen, Evidence-Anforderungen und Regulatory Radar Signalen verknüpft.
Höhere Reifegradstufen ermöglichen komplexere Testarten und häufigere Evidenzaktualisierungen.

Reifegradstufen

Initial

Defined

Implemented

Monitored

Optimized

Reifegrad-Matrix

Initial Defined Implemented Monitored Optimized

Dimension	Defined	Implemented	Monitored
Governance & Strategie		✦
IKT-Risikomanagement	✦
IKT-Drittparteienrisiko	✦
Informationsregisterfähigkeit	✦
Vertragssteuerung			✦
Richtlinienmanagement			✦

Initial

Defined

Implemented

Monitored

Optimized

Anwendung

Selbstbewertung je Dimension durchführen (aktueller vs. Zielwert).
Lücken und Handlungsbedarf identifizieren und priorisieren.
Zielwert für das nächste Geschäftsjahr definieren.
Fortschritt in Management-Reports quartalsweise berichten.
Reifegradbewertung jährlich durchführen und Massnahmen ableiten.

Typische Lücken

Unklare Ownership zwischen IT, ISMS, Einkauf und Compliance.
Uneinheitliche Datenstaende in Richtlinien, Registern und Nachweisen.
Fehlende End-to-End-Nachweise fuer Wirksamkeit und Managemententscheidungen.
Reifegradbewertung nicht mit Massnahmenplanung verknüpft.

ISO 27001 Verbindung

A.5 Informationssicherheitsrichtlinien und Governance
A.5.35 bis A.5.37 Monitoring, Reporting und Verbesserung
A.10.1 bis A.10.2 Kontinuierliche Verbesserung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA Informationen Stand: Abruf 2026-05-11
ISO/IEC 33014 Stand: Abruf 2026-05-07
DORA (EU) 2022/2554 Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.