IKT-Risikomanagement

Schutzbedarf

Schutzbedarfsfeststellung für IKT-Assets nach Vertraulichkeit, Integrität und Verfügbarkeit.

Management-Zusammenfassung

DORA Art. 7 und Art. 8 verlangen eine angemessene Schutzbedarfsfeststellung für alle IKT-Assets hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit (CIA).
Die Schutzbedarfsfeststellung bildet die Grundlage für das Kontrollsystem und die Risikobehandlung.
Bewertungskriterien müssen institutsweit konsistent sein und bei wesentlichen Änderungen aktualisiert werden.
ISO/IEC 27001:2022 A.5.9 und A.5.10 liefern operative Methoden für die Inventarisierung und Bewertung.

Schutzbedarfskategorien

Die klassische CIA-Triade wird nach BSI-Standard 200-2 und ISO 27001 um Schutzbedarfsstufen ergänzt. DORA verlangt eine angemessene Einstufung ohne Vorgabe eines konkreten Schemas.

Vertraulichkeit

Schutz vor unautorisiertem Zugriff und Offenlegung. Stufen: normal, hoch, sehr hoch.

Integrität

Schutz vor unautorisierter Veränderung und Gewährleistung der Korrektheit. Stufen: normal, hoch, sehr hoch.

Verfügbarkeit

Gewährleistung des Zugriffs bei Bedarf. Stufen: normal, hoch, sehr hoch. Bei sehr hoch: RTO/RPO definieren.

Vorgehensmodell

Ein standardisiertes Vorgehen sichert Konsistenz und Nachvollziehbarkeit. BSI-Standard 200-2 und ISO 27001 A.5.10 geben Orientierung.

IKT-Assets inventarisieren

Vollständiges Inventar aller Anwendungen, Systeme, Daten, Netzwerke und Infrastrukturkomponenten. Verantwortliche und Geschäftsprozesse zuordnen.

Bewertungsmatrix definieren

Kriterien für jede Schutzbedarfskategorie und -stufe festlegen. Einbeziehung von Fachbereichen, IT und Informationssicherheit.

Schutzbedarf je Asset bestimmen

Bewertung durch Asset-Eigentümer und Informationssicherheit. Dokumentation der Begründung.

Freigabe und Verknüpfung

Ergebnisse dokumentieren, freigeben und mit Risikoinventar, Kontrollsystem und Notfallplanung verknüpfen.

Umsetzungsschritte Schutzbedarf

IKT-Asset-Inventar erstellen oder aktualisieren (ISO A.5.9).
Bewertungsmatrix mit Kriterien für Vertraulichkeit, Integrität, Verfügbarkeit definieren und freigeben.
Schutzbedarfsfeststellung für alle Assets durchführen und dokumentieren (ISO A.5.10).
Ergebnisse mit Risikoinventar und Kontrollsystem verknüpfen.
Bei sehr hohem Schutzbedarf: RTO/RPO definieren und Notfallpläne prüfen.
Jährliche Review und Aktualisierung bei Änderungen etablieren.

Nachweise Schutzbedarf

EVD-IRM-004 Schutzbedarfsfeststellung (vollständig) Informationssicherheit · Jährlich

EVD-IRM-003 IKT-Asset-Inventar IT-Sicherheit · Quartalsweise

EVD-IRM-007 Kontrollsystem-Dokumentation Informationssicherheit · Jährlich

Hinweis

Diese Inhalte sind eigenständig formulierte Umsetzungshilfen und ersetzen keine Rechtsberatung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

DORA Art. 7–8 — Schutzbedarfsfeststellung Stand: 2022-12-14
ISO/IEC 27001:2022 A.5.9 / A.5.10 Stand: 2022-10
BSI-Standard 200-2 Stand: Abruf 2026-05-13

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.