Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel IV / Methodik

Testfrequenz-Algorithmus und 3-Jahres-Regel.

Systematische Bestimmung von Testfrequenzen basierend auf Schutzbedarf, Testart und Risikofaktoren gemäß DORA Art. 24.

Disclaimer: Diese Inhalte sind eigenständig formulierte Umsetzungshilfen zur Bestimmung von Testfrequenzen nach DORA Art. 24. Sie ersetzen keine Rechtsberatung. Alle regulatorischen Bezüge basieren auf öffentlich zugänglichen Quellen.

Algorithmus-Überblick

Proportionales Konzept für risikobasierte Testfrequenzen

Zweck: Automatisierte Bestimmung der Testfrequenzen für Resilienztests gemäß DORA auf Basis des Schutzbedarfs (kF), Testtypen und Risikofaktoren.

Prinzip: Proportionales Konzept: Höherer Schutzbedarf (kF) und kritischere Testarten führen zu höheren Frequenzen.

Basisregel: Alle Finanzunternehmen müssen einen vollständigen Zyklus aller relevanten Testarten innerhalb von 3 Jahren abschließen (3-Jahres-Regel).

Basisfrequenzen 12 Testarten kF-Modifikatoren Schutzbedarfsklasse 3-Jahres-Regel Rollierender Zyklus

Management-Zusammenfassung

  • 12 Testarten mit Basisfrequenzen von kontinuierlich bis 3-jährlich definiert.
  • kF-Modifikatoren (1.0x - 3.0x) passen Frequenzen an Schutzbedarf an.
  • 3-Jahres-Regel: Alle relevanten Testarten müssen binnen 36 Monaten durchgeführt werden.
  • Risikoadjustierungen für Incidents, Bedrohungslagen und Änderungen möglich.
  • Berechnungsformel: Adjusted Frequency = Base Frequency / kF Multiplier.

Basisfrequenzen nach Testart (kF=1, Normal)

  • vulnerability-scanning: quarterly (3 Monate) — Hohe Automatisierbarkeit, schnelle Bedrohungsänderung (neue CVEs), proaktive Schwachstellenidentifikation
  • penetration-testing: annually (12 Monate) — Manueller Aufwand, aber jährliche Validierung der Angriffsresistenz erforderlich
  • threat-led-penetration-testing: annually (12 Monate) — TLPT ist risikobasiert und aufwendig; jährliche Durchführung bei kritischen Funktionen
  • security-configuration-review: semi-annually (6 Monate) — Konfigurationsdrift tritt typischerweise innerhalb von 6 Monaten auf; halbjährliche Validierung
  • application-security-testing: quarterly (3 Monate) — Schnelle Release-Zyklen und kontinuierliche Code-Änderungen erfordern vierteljährliche Tests
  • social-engineering-testing: annually (12 Monate) — Mitarbeiter-Awareness validiert sich über Zeit; jährlicher Check der Sensibilisierung
  • business-continuity-testing: annually (12 Monate) — Business-Continuity-Pläne müssen jährlich validiert werden; Änderungen im Geschäftsmodell
  • disaster-recovery-testing: annually (12 Monate) — Recovery-Fähigkeiten veralten; jährliche technische Validierung erforderlich
  • red-team-exercise: annually (12 Monate) — Red-Team-Tests sind aufwendig; jährliche Durchführung für Significant Entities
  • incident-response-testing: semi-annually (6 Monate) — Response-Fähigkeiten erfordern regelmäßige Übung; halbjährliche Validierung
  • third-party-resilience-testing: annually (12 Monate) — Drittparteien-Beziehungen sind stabiler; jährliche Auditierung und Testung
  • purple-team-exercise: semi-annually (6 Monate) — Purple-Team dient kontinuierlicher Verbesserung; halbjährliche Übungen

Schutzbedarfs-Modifikatoren (kF-Klassen)

  • kF 1 (Normal): Multiplikator 1x — Standardfrequenz, keine Modifikation | Beispiel: Penetrationstest: 1x jährlich = alle 12 Monate
  • kF 2 (Hoch): Multiplikator 1.5x — Erhöhter Schutzbedarf führt zu 1.5-facher Frequenz | Beispiel: Penetrationstest: 1.5x jährlich = alle 8 Monate (mindestens alle 12 Monate)
  • kF 3 (Sehr Hoch): Multiplikator 2x — Kritischer Schutzbedarf verdoppelt Frequenz | Beispiel: Penetrationstest: 2x jährlich = alle 6 Monate (halbjährlich)
  • kF 4 (Exkursionsschutz): Multiplikator 3x — Höchster Schutzbedarf mit maximaler Intensivierung | Beispiel: Penetrationstest: 3x jährlich = alle 4 Monate (mindestens vierteljährlich)

Berechnungslogik

  • Formel: Adjusted Frequency (Monate) = Base Frequency (Monate) / kF Multiplier
  • Beispiel: Penetrationstest (Basis 12 Monate) bei kF 3 (2.0x) = 6 Monate (halbjährlich)
  • Rundungsregel: Auf nächsthöhere Standardfrequenz aufrunden (8 Monate → halbjährlich)
  • Minimum: Unabhängig von kF die DORA-Basis-Anforderung einhalten
  • Maximum: Automatisierte Tests können kontinuierlich durchgeführt werden

3-Jahres-Regel (DORA Art. 24(2))

  • Scope: Alle Testarten, die für das Unternehmen relevant sind
  • Messfenster: Rollierender 36-Monats-Zeitraum
  • Compliance-Check: Jährliche Überprüfung der Abdeckung pro Testart
  • Eskalation: Fehlende Abdeckung = kritische Non-Compliance
  • Tracking: Zentrales Test-Register mit Zeitstempel, Testart, Scope und Ergebnis
  • Reporting: Jährlicher 3-Jahres-Compliance-Report für IKT-Risikokontrollfunktion

Risikoadjustierungen (Trigger-Ereignisse)

  • Kürzlicher Major Incident: Frequency x 1.5 (alle Tests) (Major oder Major-Extreme Incident in den letzten 12 Monaten)
  • Aktive Bedrohungskampagne: Immediate unscheduled test; +1 ad-hoc cycle (Branchenweite APT-Kampagne oder Zero-Day-Exploitation)
  • Major Change in kF-3-Systemen: Additional test post-implementation (unabhängig von Frequenz) (Signifikante Architekturänderung, Cloud-Migration, M&A)
  • Regulatorischer Stichtag: Vorziehen des nächsten Tests auf 4 Wochen vor Deadline (Bevorstehender CTPP-Designation, Aufsichtsprüfung, Zertifizierung)
  • Kritischer Drittanbieter-Wechsel: Zusätzlicher Third-Party-Resilience-Test innerhalb 3 Monate (Wechsel oder Hinzufügen von kF-3-Drittparteien)

Frequenzmatrix: Resultierende Frequenzen

  • Vulnerability Scanning: kF1-2=quartalsweise, kF3=monatlich, kF4=monatlich/kontinuierlich
  • Penetrationstest: kF1=jährlich, kF2-3=halbjährlich, kF4=quartalsweise
  • TLPT: kF1=nicht erforderlich, kF2=bedingt, kF3-4=jährlich (DORA Art. 26)
  • Security Config Review: kF1=halbjährlich, kF2-3=quartalsweise, kF4=monatlich/kontinuierlich
  • App Security Testing: kF1-2=quartalsweise, kF3=monatlich/pro Release, kF4=kontinuierlich
  • Social Engineering: kF1-2=jährlich, kF3=halbjährlich, kF4=quartalsweise
  • Business Continuity: kF1-2=jährlich, kF3=halbjährlich, kF4=quartalsweise
  • Disaster Recovery: kF1-2=jährlich, kF3=halbjährlich, kF4=quartalsweise
  • Red Team: kF1=nicht erforderlich, kF2=2-jährlich/jährlich, kF3=jährlich, kF4=halbjährlich
  • Incident Response: kF1-2=halbjährlich, kF3=quartalsweise, kF4=monatlich/kontinuierlich
  • Third-Party: kF1-2=jährlich, kF3=halbjährlich, kF4=quartalsweise/pro Änderung
  • Purple Team: kF1=nicht erforderlich, kF2=jährlich, kF3=halbjährlich, kF4=quartalsweise/kontinuierlich

Planungsrichtlinien

  • Jährlicher Resilienztest-Plan: Geplante Tests pro Quartal, Scope, Verantwortliche, Budget
  • 3-Jahres-Überblick: Rollierende Planung zur Sicherstellung der vollständigen Zyklus-Abdeckung
  • Ad-hoc-Anpassung: Bei Änderungen in kF-Klassifizierung, neuen Bedrohungen, Incidents
  • Genehmigung: Durch IKT-Risikokontrollfunktion und Geschäftsleitung

Compliance Monitoring KPIs

  • Testfrequenz-Compliance-Rate: ≥ 95% (durchgeführte Tests / geplante Tests)
  • 3-Jahres-Zyklus-Compliance: 100% (keine Ausnahmen)
  • Risikoadjustierte Testabdeckung: ≥ 90% der kF-Gewichtung abgedeckt
  • Eskalation: < 90% Compliance-Rate oder überschrittene 3-Jahres-Lücke = Red Status

Verwandte Themen

Testprogramm (Überblick) TLPT Methodik Resilienztests Kritische Funktionen (kwF)