Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Überblick

Eine einheitliche Resilienzlogik fuer den Finanzsektor.

DORA bündelt Anforderungen an Cybersicherheit, IKT-Risiken und digitale operationale Resilienz im europäischen Finanzsektor. Diese Seite übersetzt die Grundstruktur in eine praktische Umsetzungslandkarte.

Disclaimer: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • Management und Fachbereiche verfolgen eine gemeinsame Priorisierung der DORA-Ma�nahmen.
  • Verantwortlichkeiten, Fristen und Evidenzen sind verbindlich und auditierbar definiert.
  • Offene Risiken und wesentliche Abweichungen werden regelm��ig an Steuerungsgremien berichtet.
  • Ma�nahmen werden risikobasiert umgesetzt und in den Reifegrad �berf�hrt.

Management Summary

  • DORA schafft eine finanzsektorweite Regulierung fuer digitale operationale Resilienz.
  • Der praktische Fokus liegt auf IKT-Risikomanagement, Vorfällen, Tests, Drittparteien und Informationsflüssen.
  • Für Finanzinstitute ist entscheidend, DORA nicht nur rechtlich, sondern prozessual, technisch und nachweisbar umzusetzen.

Sollzustand

  • Ein Institut verfügt über klare Verantwortlichkeiten fuer IKT-Risiken und digitale Resilienz.
  • IKT-Risiken sind identifiziert, bewertet, gesteuert, überwacht und dokumentiert.
  • IKT-Drittparteienrisiken sind in Vertrags-, Kontroll-, Register- und Exit-Prozesse eingebettet.
  • Vorfälle, Tests und Nachweise sind prüfbar dokumentiert.

Erste Umsetzungsschritte

  • DORA-Gap-Analyse gegen bestehende IT-Governance und Auslagerungsprozesse durchführen.
  • IKT-Risikomanagement und Drittparteienrisiko als zusammenhängende Governance-Struktur definieren.
  • Nachweis- und Dokumentationsanforderungen je Themenfeld festlegen.
  • Informationsregister und Meldeprozesse organisatorisch und technisch absichern.

Typische Lücken

  • Unklare Ownership zwischen IT, ISMS, Einkauf und Compliance.
  • Uneinheitliche Datenst�nde in Richtlinien, Registern und Nachweisen.
  • Fehlende End-to-End-Nachweise f�r Wirksamkeit und Managemententscheidungen.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen, um DORA-Anforderungen in ein wirksames ISMS zu integrieren.

  • A.5 Informationssicherheitsrichtlinien und Governance
  • A.5.19 bis A.5.23 Lieferantenbeziehungen und Cloud-/Dienstleistersteuerung
  • A.5.24 bis A.5.27 Incident-, Continuity- und Lernprozesse
  • A.8 Technologische Kontrollen f�r Resilienz, �berwachung und Wiederherstellung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung