IKT-Risikomanagement

Kontrollsystem

Kontrollziele, Kontrollen, Wirksamkeitsprüfung und Nachweise.

Management-Zusammenfassung

DORA Art. 8 verlangt angemessene Kontrollen zur Behandlung von IKT-Risiken mit regelmässiger Wirksamkeitsprüfung.
Kontrollziele werden aus dem Risikoinventar und der Schutzbedarfsfeststellung abgeleitet.
Jede Kontrolle braucht einen Verantwortlichen, eine Beschreibung, einen Nachweis und einen Review-Zyklus.
Wirksamkeitsprüfung durch zweite oder dritte Verteidigungslinie mindestens jährlich.

Kontrolltypen und -ziele

DORA Art. 8 fordert präventive, detektive und korrektive Kontrollen. Die Kontrollziele leiten sich direkt aus den identifizierten Risiken und dem Schutzbedarf ab.

Präventive Kontrollen

Zugriffskontrolle, Schulungen, Segregation of Duties, Change Management, sichere Konfiguration.

Detektive Kontrollen

Logging, Monitoring, IDS/IPS, SIEM, Revisionspläne, Abstimmungen.

Korrektive Kontrollen

Incident Response, Notfallpläne, Backup-Recovery, Patch-Management, Eskalation.

Wirksamkeitsprüfung

DORA Art. 8 Abs. 2 verlangt eine regelmässige Prüfung der Wirksamkeit der IKT-Kontrollen. Design-Wirksamkeit und operative Wirksamkeit sind zu unterscheiden.

Design-Wirksamkeit

Prüfung, ob die Kontrolle theoretisch geeignet ist, das Risiko zu adressieren. Review von Beschreibung, Ziel und Abdeckung.

Operative Wirksamkeit

Prüfung, ob die Kontrolle in der Praxis korrekt und konsistent ausgeführt wird. Stichproben, Walkthroughs, Tests.

Umsetzungsschritte Kontrollsystem

Kontrollziele aus Risikoinventar und Schutzbedarfsfeststellung ableiten (Art. 8 DORA).
Kontrollmatrix mit Typ, Frequenz, Verantwortlichem, Nachweis und Review-Zyklus erstellen.
Kontrollbeschreibungen dokumentieren und für Revision prüfbar bereitstellen.
Design-Wirksamkeit mindestens jährlich durch zweite Linie prüfen.
Operative Wirksamkeit mindestens jährlich durch dritte Linie oder interne Revision prüfen.
Bei Abweichungen: Massnahmenplan mit Frist und Verantwortlichem einleiten und nachverfolgen.

Nachweise Kontrollsystem

EVD-IRM-007 Kontrollsystem-Dokumentation (Matrix) Informationssicherheit · Jährlich

EVD-IRM-008 Wirksamkeitsnachweise (Design + Operativ) Interne Revision · Jährlich

EVD-IRM-012 Eskalationsprotokoll bei Kontrollschwächen Risikocontrolling · Monatlich

Hinweis

Diese Inhalte sind eigenständig formulierte Umsetzungshilfen und ersetzen keine Rechtsberatung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

DORA Art. 8 — IKT-Risikobehandlung und Kontrollen Stand: 2022-12-14
ISO/IEC 27001:2022 A.5.35 / A.5.36 / A.5.37 Stand: 2022-10

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.