ISMS Copilot
DORA mit KI

So erstellen Sie ein DORA-IKT-Risikomanagement-Framework mit KI

Übersicht

Sie erfahren, wie Sie mithilfe von KI ein umfassendes IKT-Risikomanagement-Framework erstellen, das die DORA-Artikel 6–16 erfüllt. Dieser Leitfaden deckt die gesamte Framework-Struktur ab, von der Governance und Risikoidentifikation über Schutz, Erkennung, Reaktion und Wiederherstellung bis hin zur kontinuierlichen Verbesserung, einschließlich spezifischer ISMS Copilot-Prompts für die Erstellung jeder Komponente.

Für wen dieser Leitfaden gedacht ist

Dieser Leitfaden richtet sich an:

  • CISOs und IT-Risikomanager, die ein IKT-Risikomanagement-Framework für die DORA-Compliance aufbauen oder erweitern

  • Compliance-Beauftragte, die für die Dokumentation von IKT-Risikomanagement-Richtlinien und -Verfahren verantwortlich sind

  • Berater, die DORA-konforme Frameworks für Mandanten aus dem Finanzsektor entwickeln

  • Mitglieder von Risikoausschüssen und Leitungsorganen, die die IKT-Risikogovernance überwachen

  • Interne Auditoren, welche die Angemessenheit der IKT-Risikomanagement-Vorkehrungen bewerten

Bevor Sie beginnen

Sie benötigen:

  • Einen ISMS Copilot-Account (kostenlose Testversion verfügbar)

  • Abschluss der grundlegenden Schritte in Erste Schritte bei der DORA-Implementierung mit KI, einschließlich Umfangsbewertung und Gap-Analyse

  • Ihre bestehende IKT-Risikomanagement-Dokumentation (Richtlinien, Risikoregister, Asset-Inventare) für den Gap-Vergleich

  • Verständnis Ihrer IKT-Landschaft (Anwendungen, Infrastruktur, Cloud-Dienste, Netzwerktopologie)

  • Zugang zu wichtigen Stakeholdern: CISO, CRO, IT-Betrieb, Business Continuity Manager

Die DORA-Anforderungen an das IKT-Risikomanagement in den Artikeln 6–16 bilden das Rückgrat der gesamten Verordnung. Das Framework, das Sie hier aufbauen, bildet die Grundlage für die Vorfallmeldung, Resilienztests und das Management von Drittanbieterrisiken. Investieren Sie ausreichend Zeit, um diese Säule korrekt aufzustellen.

Verständnis der DORA-Anforderungen an das IKT-Risikomanagement

Aufschlüsselung Artikel für Artikel

DORA Kapitel II (Artikel 5–16) legt die detailliertesten Anforderungen an das IKT-Risikomanagement in der EU-Finanzdienstleistungsregulierung fest. Das Verständnis der spezifischen Anforderungen jedes Artikels ist unerlässlich, bevor Sie Ihr Framework aufbauen:

Artikel

Titel

Hauptanforderungen

Wichtige Ergebnisse / Deliverables

Art. 5

Governance und Organisation

Leitungsorgan definiert, genehmigt und überwacht das IKT-Risiko-Framework

Vorstandsmandat, Governance-Charta, Schulungsprogramm

Art. 6

IKT-Risikomanagementrahmen

Umfassendes, dokumentiertes Framework mit Strategien, Richtlinien und Verfahren

Framework-Dokument, IKT-Risikostrategie, jährlicher Überprüfungsprozess

Art. 7

IKT-Systeme, Protokolle und Tools

Zuverlässige und resiliente IKT-Systeme, die gewartet und aktualisiert werden

Systemstandards, Update-Richtlinien, Kapazitätsmanagement

Art. 8

Identifizierung

Identifizierung, Klassifizierung und Dokumentation aller IKT-Assets, Risiken und Abhängigkeiten

IKT-Asset-Register, Risikoregister, Abhängigkeits-Maps

Art. 9

Schutz und Prävention

IKT-Sicherheitsrichtlinien, Zugriffskontrollen, Verschlüsselung, Patch-Management

Sicherheitsrichtlinien-Suite, Zugriffskontrollverfahren, Verschlüsselungsstandards

Art. 10

Erkennung

Mechanismen zur Erkennung anomaler Aktivitäten und IKT-Vorfälle

Monitoring-Strategie, SIEM-Konfiguration, Alarmierungsverfahren

Art. 11

Reaktion und Wiederherstellung

IKT-Business-Continuity-Richtlinie, Disaster-Recovery-Pläne, Kommunikationspläne

BCP, DRP, Krisenkommunikationsplan, Backup-Strategie

Art. 12

Backup-Leitlinien und -Verfahren

Sicherungs- und Wiederherstellungsrichtlinien, Testen von Backups, separate Wiederherstellungsstandorte

Backup-Richtlinie, Wiederherstellungsverfahren, Testprotokolle

Art. 13

Lernen und Fortentwicklung

Überprüfungen nach Vorfällen, obligatorische Schulungen, Offenlegung von Schwachstellen

Post-Incident-Review-Prozess, Schulungsprogramm, Lessons-Learned-Register

Art. 14

Kommunikation

Krisenkommunikationspläne, Richtlinien zur verantwortungsvollen Offenlegung

Kommunikationsrichtlinie, Offenlegungsverfahren, Vorlagen für öffentliche Benachrichtigungen

Art. 15

Weitere Harmonisierung der Instrumente für das IKT-Risikomanagement

Regulatorische technische Standards (RTS), die Details des Frameworks spezifizieren

RTS-Compliance-Mapping, technische Implementierung

Art. 16

Vereinfachter IKT-Risikomanagementrahmen

Verhältnismäßige Anforderungen für qualifizierte kleine Unternehmen

Vereinfachtes Framework-Dokument (falls zutreffend)

Verantwortlichkeit des Leitungsorgans: Artikel 5 überträgt die letztendliche Verantwortung für das IKT-Risikomanagement-Framework dem Leitungsorgan. Jede Richtlinie und jedes Verfahren, das Sie gemäß den Artikeln 6–16 erstellen, muss auf Vorstandsebene genehmigt und mindestens jährlich überprüft werden. Dies ist ein beständiger Fokuspunkt bei Audits.

Die Framework-Struktur

DORA verlangt, dass Ihr IKT-Risikomanagement-Framework einem spezifischen Lebenszyklus folgt: Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen, Lernen. Dies spiegelt etablierte Cybersicherheits-Frameworks (wie NIST CSF) wider, fügt jedoch DORA-spezifische Anforderungen in Bezug auf Governance, Proportionalität und regulatorische Berichterstattung hinzu.

Nutzen Sie ISMS Copilot, um zu verstehen, wie Ihr bestehendes Framework auf diesen Lebenszyklus abgebildet wird:

"Vergleiche den IKT-Risikomanagement-Lebenszyklus von DORA (Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen, Lernen) aus den Artikeln 6–16 mit unserem bestehenden [ISO 27001 / NIST CSF / EBA-Leitlinien] Framework. Identifiziere für jede Lebenszyklusphase: welche bestehenden Kontrollen DORA bereits erfüllen, wo DORA spezifische Anforderungen über unser aktuelles Framework hinaus hinzufügt und welche neuen Dokumentationen oder Prozesse wir erstellen müssen."

Schritt 1: Erstellung des IKT-Risikomanagement-Framework-Dokuments

Framework-Struktur und Governance

Artikel 6 erfordert ein umfassendes, dokumentiertes IKT-Risikomanagement-Framework. Dies ist das Masterdokument, das alle Richtlinien, Verfahren und Prozesse über den gesamten Lebenszyklus hinweg miteinander verknüpft.

  1. Öffnen Sie Ihren DORA-Arbeitsbereich in ISMS Copilot

  2. Generieren Sie das Framework-Dokument:

    "Erstelle ein umfassendes Dokument für ein IKT-Risikomanagement-Framework für einen [Unternehmenstyp], das DORA Artikel 6 erfüllt. Enthalten sein müssen: Zweck und Geltungsbereich, Governance-Struktur (Verknüpfung mit den Verantwortlichkeiten des Leitungsorgans gemäß Artikel 5), IKT-Risikomanagementstrategie und -ziele, Risikoappetit und Toleranzschwellen, Framework-Komponenten (Identifizierung, Schutz, Erkennung, Reaktion, Wiederherstellung, Lernen), Integration in das allgemeine Risikomanagement des Unternehmens, Rollen und Verantwortlichkeiten (CISO, CRO, IKT-Risikofunktion, First/Second/Third Line), Überprüfungs- und Aktualisierungsverfahren (mindestens jährlich sowie nach schwerwiegenden Vorfällen gemäß Artikel 6(5)) und Metriken zur Wirksamkeit des Frameworks. Beziehe dich in jedem Abschnitt auf spezifische DORA-Artikel."

  3. Definieren Sie die IKT-Risikostrategie:

    "Entwirf eine IKT-Risikostrategie für unseren [Unternehmenstyp] gemäß DORA-Artikel 6(8). Enthalten sein müssen: strategische IKT-Risikoziele, die auf die Geschäftsstrategie abgestimmt sind, vom Leitungsorgan genehmigte Risikotoleranzschwellen, Ansatz zur Methodik der IKT-Risikobewertung, Ressourcenzuweisungsstrategie für die IKT-Sicherheit, Key Risk Indicators (KRIs) und Berichtshäufigkeit sowie Integration in digitale Transformationsinitiativen. Bereite es so vor, dass es für die Genehmigung durch das Leitungsorgan geeignet ist."

Profi-Tipp: Ihr IKT-Risikomanagement-Framework-Dokument sollte als „Dach“ fungieren, das auf alle untergeordneten Richtlinien und Verfahren verweist. Halten Sie es strategisch und auf Governance ausgerichtet, während detaillierte operative Verfahren in separaten Dokumenten verbleiben. Diese Struktur macht jährliche Überprüfungen und die Genehmigung durch das Leitungsorgan handhabbarer.

Interne IKT-Audit-Funktion

Artikel 6(6) verlangt, dass das IKT-Risikomanagement-Framework regelmäßig von IKT-Auditoren geprüft wird. Nutzen Sie ISMS Copilot, um diese Funktion einzurichten:

"Definiere die Anforderungen an die interne IKT-Audit-Funktion gemäß DORA Artikel 6(6). Enthalten sein müssen: IKT-Audit-Charta, Anforderungen an Unabhängigkeit und Objektivität, Audit-Universum, das alle Komponenten des IKT-Risikomanagement-Frameworks abdeckt, risikobasierte Audit-Planungsmethodik, Audit-Häufigkeit (mindestens jährlich für Kernbereiche), Berichterstattung an das Leitungsorgan und den Prüfungsausschuss sowie Follow-up-Verfahren für Audit-Feststellungen. Erstelle einen beispielhaften jährlichen IKT-Audit-Plan."

Schritt 2: Identifizierung und Klassifizierung von IKT-Assets (Artikel 8)

Aufbau Ihres IKT-Asset-Inventars

Artikel 8 verlangt von Ihnen, alle IKT-Assets, Ressourcen und deren Verbindungen zu identifizieren, zu klassifizieren und zu dokumentieren. Dieses Inventar bildet die Grundlage für die Risikobewertung, die Klassifizierung von Vorfällen und das Management von Drittanbieterrisiken.

  1. Generieren Sie die Struktur des Asset-Inventars:

    "Erstelle eine Vorlage für ein IKT-Asset-Inventar, die die Anforderungen von DORA Artikel 8 erfüllt. Enthalten sein müssen Spalten für: Asset-ID, Asset-Name und Beschreibung, Asset-Kategorie (Hardware, Software, Daten, Netzwerk, Cloud-Dienst, Drittanbieter-Dienst), Asset-Eigentümer, unterstützte Geschäftsfunktion, Kritikalitätseinstufung (kritisch, wichtig, Standard), Anforderungen an Vertraulichkeit/Integrität/Verfügbarkeit, physischer und logischer Standort, Verbindungen und Abhängigkeiten von anderen Assets, unterstützende IKT-Drittanbieter, Recovery Time Objective (RTO) und Recovery Point Objective (RPO) sowie das Datum der letzten Überprüfung. Gib Klassifizierungskriterien für jedes Feld und Beispielbeiträge für einen [Unternehmenstyp] an."

  2. Kartierung der IKT-Asset-Abhängigkeiten:

    "Erstelle eine Methodik zur Kartierung von IKT-Abhängigkeiten gemäß DORA Artikel 8(1). Unsere kritischen Geschäftsfunktionen umfassen [Funktionen auflisten]. Hilf uns für jede Funktion Folgendes zu identifizieren: die IKT-Systeme und Anwendungen, die sie unterstützen, Infrastrukturkomponenten (Server, Netzwerke, Speicher), Datenflüsse und Daten-Repositorys, Drittanbieter-IKT-Dienste und -Anbieter sowie Single Points of Failure und Konzentrationsrisiken. Stelle eine Vorlage für die Dokumentation dieser Abhängigkeiten in visueller und tabellarischer Form bereit."

  3. Klassifizierung von IKT-Assets nach Kritikalität:

    "Definiere IKT-Asset-Klassifizierungskriterien für die DORA-Compliance. Erstelle ein Klassifizierungsschema mit Stufen (Kritisch, Wichtig, Standard) basierend auf: Auswirkungen auf die Erbringung von Finanzdienstleistungen bei Störungen, ausgelöste regulatorische Berichtspflichten, Anzahl der betroffenen Kunden/Gegenparteien, Datensensibilität, Wiederherstellungszeitanforderungen und Verbindung zu anderen kritischen Assets. Stelle Entscheidungsbäume und Beispiele für einen [Unternehmenstyp] bereit."

Artikel 8(4) verlangt von Finanzunternehmen, alle IKT-Assets zu identifizieren, die kritische oder wichtige Funktionen unterstützen, sowie deren Abhängigkeiten, einschließlich solcher, die von Drittanbietern gehostet werden. Dieses Inventar fließt direkt in Ihre Vorfallklassifizierung (was als schwerwiegend gilt), den Umfang von Resilienztests (was getestet wird) und Ihr Drittanbieter-Risikoregister (welche Anbieter kritisch sind) ein.

Identifizierung und Bewertung von IKT-Risiken

Führen Sie nach Abschluss Ihres Asset-Inventars eine systematische Risikobewertung der identifizierten IKT-Assets durch:

"Erstelle eine Methodik und Vorlage zur IKT-Risikobewertung gemäß DORA Artikel 8. Beurteile für jedes kritische und wichtige IKT-Asset: Bedrohungsszenarien (Cyberangriffe, Systemausfälle, Naturkatastrophen, menschliches Versagen, Ausfälle von Drittanbietern), Schwachstellen (technisch, verfahrenstechnisch, organisatorisch), bestehende Kontrollen und deren Wirksamkeit, Eintrittswahrscheinlichkeit (Skala 1–5 mit Kriterien), Auswirkungen auf Geschäftsfunktionen, Kunden und regulatorische Compliance (Skala 1–5 mit Kriterien), Score des Restrisikos und Risikoniveau, Risikoeigentümer und Behandlungsentscheidung (Mitigieren, Akzeptieren, Transferieren, Vermeiden), Behandlungsmaßnahmen und Zeitplan. Binde Schnittstellen zu unserem Unternehmensrisikoregister ein."

Prüfungserwartung: Regulatoren erwarten, dass Ihre IKT-Risikobewertung umfassend ist und alle kritischen Assets abdeckt, nicht nur eine Stichprobe. Stellen Sie sicher, dass für jedes in Ihrem Inventar als kritisch oder wichtig eingestufte Asset eine entsprechende Risikobewertung vorliegt. Lücken hier sind ein häufiger Audit-Befund.

Schritt 3: Schutz- und Präventionsmaßnahmen (Artikel 9)

Entwicklung von IKT-Sicherheitsrichtlinien

Artikel 9 schreibt vor, dass Finanzunternehmen IKT-Sicherheitsrichtlinien für Zugriffsmanagement, Verschlüsselung, Netzwerksicherheit und Änderungsmanagement entwickeln und dokumentieren. Diese Richtlinien müssen in einem angemessenen Verhältnis zu Ihrem Risikoprofil stehen.

  1. Generieren Sie die Suite der IKT-Sicherheitsrichtlinien:

    "Erstelle eine umfassende IKT-Sicherheitsrichtlinie für einen [Unternehmenstyp], die DORA Artikel 9 erfüllt. Strukturiere die Richtlinie so, dass sie Folgendes abdeckt: Governance und Ziele der Informationssicherheit, Zugriffskontrolle und Identitätsmanagement (einschließlich privilegierter Zugriffe, Multi-Faktor-Authentifizierung und Least-Privilege-Prinzip), Netzwerksicherheit (Segmentierung, Perimeterschutz, Intrusion Prevention), Verschlüsselung und kryptografische Kontrollen (Daten im Ruhezustand, bei der Übertragung, Schlüsselmanagement), IKT-Änderungsmanagement (Tests, Genehmigung, Rollback-Verfahren), Patch-Management und Zeitpläne für die Behebung von Schwachstellen, physische und umweltbezogene Sicherheit für IKT-Assets, Anforderungen an den sicheren Entwicklungslebenszyklus, Endpoint-Schutz und Mobile-Device-Management sowie Maßnahmen zur Vermeidung von Datenabfluss (DLP). Verweise für jeden Bereich auf den spezifischen DORA-Artikel und gib Implementierungshinweise, die für ein Unternehmen der Größe [Unternehmensgröße] angemessen sind."

  2. Erstellen Sie Zugriffskontrollverfahren:

    "Entwickle detaillierte Zugriffskontrollverfahren für DORA Artikel 9(4). Enthalten sein müssen: Workflows für das User Provisioning und Deprovisioning, Entwurf der rollenbasierten Zugriffskontrolle (RBAC), Anforderungen an das Privileged Access Management (PAM), Zugriffskontrollverfahren (Häufigkeit, Umfang, Dokumentation), Authentifizierungsstandards (MFA-Anforderungen, Passwortrichtlinien), Sicherheitskontrollen für den Fernzugriff, Verwaltung von Dienstkonten sowie Anforderungen an die Protokollierung und Überwachung von Zugriffen. Stelle Verfahrensvorlagen mit Schritt-für-Schritt-Anleitungen bereit."

  3. Etablieren Sie Patch-Management-Verfahren:

    "Erstelle eine Patch-Management-Richtlinie und ein entsprechendes Verfahren für die DORA-Compliance. Enthalten sein müssen: Häufigkeit von Scans auf Schwachstellen, Patch-Klassifizierung (kritisch, hoch, mittel, niedrig) mit entsprechenden Behebungsfristen, Testverfahren vor der Implementierung, Notfall-Patching-Prozess für Zero-Day-Schwachstellen, Patch-Tracking und Compliance-Berichterstattung, Ausnahmmanagement für Systeme, die nicht gepatcht werden können, und Integration in den Änderungsmanagementprozess. Gib KPIs für das Patch-Compliance-Reporting an das Leitungsorgan an."

Profi-Tipp: Wenn Sie bereits ISO 27001 Annex A Kontrollen implementiert haben, nutzen Sie ISMS Copilot, um zu identifizieren, welche Kontrollen auf die Anforderungen von DORA Artikel 9 abgebildet werden können. Fragen Sie: „Mappe unsere ISO 27001:2022 Annex A Kontrollen auf die Anforderungen von DORA Artikel 9. Identifiziere, wo unsere bestehenden Kontrollen DORA vollständig erfüllen, wo sie sie teilweise erfüllen und wo DORA zusätzliche Maßnahmen über ISO 27001 hinaus erfordert.“ Dies vermeidet Doppelarbeit.

IKT-Systemstandards und Resilienz (Artikel 7)

Artikel 7 verlangt, dass IKT-Systeme resilient und zuverlässig sind und über ausreichende Kapazitäten verfügen. Nutzen Sie ISMS Copilot, um die unterstützenden Standards zu entwickeln:

"Erstelle IKT-Systemstandards und Anforderungen für DORA Artikel 7. Enthalten sein müssen: Zuverlässigkeits- und Verfügbarkeitsziele für kritische Funktionen, Kapazitätsmanagementverfahren (Überwachung, Planung, Skalierung), Richtlinien für Systemaktualisierung und -wartung, Management technologischer Obsoleszenz, Konfigurationsmanagementstandards, Trennung der Umgebungen (Produktion, Test, Entwicklung) und Anforderungen für Systeme, die kritische oder wichtige Funktionen unterstützen. Stelle dies in Form einer Compliance-Checkliste bereit."

Schritt 4: Erkennungsfunktionen (Artikel 10)

Aufbau Ihrer Erkennungs- und Monitoring-Strategie

Artikel 10 verlangt Mechanismen zur prompten Erkennung anomaler Aktivitäten, einschließlich Problemen mit der IKT-Netzwerkleistung und IKT-bezogenen Vorfällen. Ihre Erkennungsfunktionen müssen in einem angemessenen Verhältnis zur Bedeutung der überwachten IKT-Assets stehen.

  1. Entwerfen Sie die Erkennungsstrategie:

    "Erstelle eine umfassende IKT-Erkennungs- und Monitoring-Strategie für einen [Unternehmenstyp], die DORA Artikel 10 erfüllt. Enthalten sein müssen: Monitoring-Architektur (SIEM, EDR, NDR, UEBA-Komponenten), zu überwachende Datenquellen (Netzwerkverkehr, Systemprotokolle, Anwendungsprotokolle, Authentifizierungsereignisse, Datenbankaktivitäten, Cloud-Service-Protokolle), nach Risiko priorisierte Erkennungs-Use-Cases (unbefugter Zugriff, Datenabfluss, Malware, DDoS, Insider-Bedrohungen, Anomalien bei Drittanbietern), Alarmklassifizierung und Schweregrade, Korrelationsregeln und Verhaltens-Baselines, Anforderungen an eine 24/7-Überwachung und Integration in die Vorfallsklassifizierung gemäß DORA Artikel 17. Gib Implementierungsprioritäten für ein Unternehmen der Größe [Größe] an."

  2. Definieren Sie Verfahren zur Anomalieerkennung:

    "Entwickle operative Verfahren für die IKT-Anomalieerkennung gemäß DORA Artikel 10. Enthalten sein müssen: wie Anomalien identifiziert werden (automatisierte Alarme, manuelle Überprüfung, Threat-Intelligence-Feeds), der Prozess der Erst-Triage (wer prüft, Reaktionszeitziele, Eskalationskriterien), Management von False Positives, Dokumentationsanforderungen für erkannte Anomalien, Übergabeverfahren an das Incident-Response-Team und kontinuierliche Anpassung der Erkennungsregeln basierend auf Änderungen der Bedrohungslage. Stelle eine Verfahrensvorlage mit Rollen und Verantwortlichkeiten bereit."

Starke Erkennungsfunktionen wirken sich direkt auf Ihre Fähigkeit aus, die 4-Stunden-Frist für Vorfallmeldungen gemäß DORA (Artikel 19) einzuhalten. Wenn Sie Vorfälle nicht schnell erkennen und klassifizieren können, können Sie sie nicht rechtzeitig melden. Siehe So implementieren Sie die DORA-Vorfallmeldung mit KI für den vollständigen Leitfaden zur Meldung von Vorfällen.

Schritt 5: Reaktions- und Wiederherstellungsverfahren (Artikel 11–12)

IKT-Business-Continuity-Management

Die Artikel 11 und 12 legen detaillierte Anforderungen für Business Continuity, Disaster Recovery und Backup-Management fest. Diese müssen Szenarien wie schwerwiegende IKT-Störungen, Cyberangriffe und Ausfälle von Drittanbietern abdecken.

  1. Erstellen Sie die IKT-Business-Continuity-Richtlinie:

    "Entwickle eine IKT-Business-Continuity-Richtlinie für einen [Unternehmenstyp], die DORA Artikel 11 erfüllt. Enthalten sein müssen: Richtlinienziele und Geltungsbereich, Governance (Anforderung der Genehmigung durch das Leitungsorgan), Methodik der Business Impact Analysis (BIA) für IKT-Dienste, Kontinuitätsstrategien für jede kritische Geschäftsfunktion, Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) nach Funktion, Kontinuitätspläne für Szenarien: Cyberangriff, Systemausfall, Ausfall des Rechenzentrums, Ausfall kritischer Drittanbietersysteme, Naturkatastrophe, Pandemie, Kommunikationspläne (intern, Kunden, zuständige Behörden, Öffentlichkeit), Rollen und Verantwortlichkeiten während eines Kontinuitätsereignisses, Kriterien für die Planaktivierung und Eskalationsverfahren, Testanforderungen (Häufigkeit, Umfang, Testarten), Planpflege und Überprüfungszyklus (mindestens jährlich). Beziehe dich durchgehend auf die Anforderungen von DORA Artikel 11."

  2. Entwickeln Sie Disaster-Recovery-Verfahren:

    "Erstelle IKT-Disaster-Recovery-Pläne für unseren [Unternehmenstyp], die [kritische Systeme auflisten] abdecken. Dokumentiere für jedes kritische System: Systembeschreibung und unterstützte Geschäftsfunktionen, Wiederherstellungsteam und Kontaktdaten, Wiederherstellungsverfahren (Schritt-für-Schritt), Failover-Mechanismen und alternative Verarbeitungsstandorte, Datenwiederherstellung aus Backups, Integritätsprüfung nach der Wiederherstellung, Kommunikationsanforderungen während der Wiederherstellung, Kriterien für den Abschluss der Wiederherstellung und Verfahren zur Überprüfung nach der Wiederherstellung. Stimme RTOs und RPOs mit unserer Business-Continuity-Richtlinie ab."

  3. Etablieren Sie Backup-Richtlinien und -Verfahren (Artikel 12):

    "Erstelle umfassende Sicherungs- und Wiederherstellungsrichtlinien und -verfahren für DORA Artikel 12. Enthalten sein müssen: Backup-Umfang (alle Daten, Konfigurationen, Software, die zur Wiederherstellung des Betriebs erforderlich sind), Backup-Häufigkeit nach Datenklassifizierung und RPO, Backup-Methoden (Voll-, inkrementell, differenziell), Anforderungen an die sichere Speicherung (geografisch getrennter Sekundärstandort gemäß Artikel 12(1)), Verschlüsselung von Backup-Daten, Verfahren und Häufigkeit von Backup-Integritätstests, Wiederherstellungstests (mindestens jährlich gemäß Artikel 12(2)), Backup-Überwachung und Alarmierung, Dokumentations- und Protokollierungsanforderungen sowie Verfahren für die Sicherung von Systemen, die von Drittanbietern gehostet werden. Spezifiziere die Anforderungen für den physisch und logisch getrennten Backup-Standort."

Kritische Anforderung: DORA Artikel 12 verlangt ausdrücklich, dass Backup-Systeme an einem Standort gehostet werden, der geografisch entfernt und physisch sowie logisch vom primären Standort getrennt ist. Dies ist präksiver als viele bestehende Standards. Überprüfen Sie, ob Ihre aktuelle Backup-Architektur diese spezifische Anforderung erfüllt.

Krisenkommunikation (Artikel 14)

Artikel 14 erfordert dedizierte Krisenkommunikationspläne. Generieren Sie diese mit ISMS Copilot:

"Entwickle einen IKT-Krisenkommunikationsplan für DORA Artikel 14. Enthalten sein müssen: Kommunikations-Governance (wer genehmigt externe Kommunikation), Stakeholder-Kommunikationsmatrix (Leitungsorgan, Mitarbeiter, Kunden, Gegenparteien, zuständige Behörden, Medien, Öffentlichkeit), Kommunikationsvorlagen für verschiedene Schweregrade von Vorfällen, Richtlinie zur verantwortungsvollen Offenlegung von IKT-Schwachstellen, Verfahren zur Abstimmung mit zuständigen Behörden während Vorfällen, Social-Media- und Public-Relations-Protokolle, benannter Sprecher und Stellvertreter sowie Protokollierung und Aufbewahrung der Kommunikation. Stelle Beispielnachrichten für Szenarien schwerwiegender IKT-Vorfälle bereit."

Schritt 6: Lernen und Fortentwicklung (Artikel 13)

Post-Incident-Review-Prozess

Artikel 13 verlangt von Finanzunternehmen, aus IKT-Vorfällen, Testergebnissen und Schwachstellen zu lernen. Dies schafft einen kontinuierlichen Verbesserungszyklus, der Ihr Framework im Laufe der Zeit stärkt.

  1. Etablieren Sie den Post-Incident-Review-Prozess:

    "Erstelle ein Verfahren für das Post-Incident-Review gemäß DORA Artikel 13. Enthalten sein müssen: Auslösekriterien (welche Vorfälle eine formale Überprüfung erfordern), Zeitplan für die Überprüfung (innerhalb von [X] Wochen nach Abschluss des Vorfalls), Teilnehmer (Incident Responder, Risikomanagement, betroffene Geschäftsbereiche, Management), Überprüfungsvorlage mit: Vorfalls-Zeitstrahl, Ursachenanalyse (technisch und organisatorisch), Bewertung der Wirksamkeit von Kontrollen, Lücken in der Erkennung oder Reaktion, Auswirkungen auf Kunden und Geschäftsfunktionen, Genauigkeit der regulatorischen Berichterstattung, Lessons Learned und Verbesserungsmaßnahmen, Action-Tracking (Eigentümer, Frist, Priorität), Anforderungen an die Berichterstattung an das Leitungsorgan und Integration der Lehren in Aktualisierungen des IKT-Risikomanagement-Frameworks. Erstelle eine Vorlage für einen Post-Incident-Review-Bericht."

  2. Aufbau des kontinuierlichen Verbesserungsprogramms:

    "Entwirf ein kontinuierliches Verbesserungsprogramm für das IKT-Risikomanagement-Framework gemäß DORA Artikel 13. Enthalten sein müssen: Inputs für den Verbesserungszyklus (Post-Incident-Reviews, Testergebnisse, Audit-Feststellungen, regulatorische Leitlinien, Threat Intelligence, technologische Änderungen), Governance für Verbesserungsmaßnahmen (Priorisierung, Genehmigung, Nachverfolgung), Metriken für die Wirksamkeit des Frameworks (Vorfallstrends, Erkennungszeiten, Wiederherstellungszeiten, Reifegrad der Kontrollen), jährlicher Prozess zur Framework-Überprüfung durch das Leitungsorgan und Integration in Schulungs- und Sensibilisierungsprogramme gemäß Artikel 13(6). Stelle eine Vorlage für den jährlichen Framework-Überprüfungsbericht bereit."

IKT-Sicherheitsbewusstsein und Schulung

Artikel 13(6) schreibt obligatorische Programme für das IKT-Sicherheitsbewusstsein und Schulungen zur digitalen operationalen Resilienz vor. Entwickeln Sie diese mit ISMS Copilot:

"Erstelle ein Programm für IKT-Sicherheitsbewusstsein und Schulungen gemäß DORA Artikel 13(6). Enthalten sein müssen: Schulungsbedarfsanalyse nach Rollen (Leitungsorgan, IKT-Personal, alle Mitarbeiter, externe Auftragnehmer), Schulungsthemen (IKT-Risikobewusstsein, Vorfallmeldepflichten, Sicherheitsrichtlinien, Social Engineering, DORA-spezifische Anforderungen), Vermittlungsmethoden und Häufigkeit, IKT-Risikoschulungscurriculum für das Leitungsorgan (gemäß Artikel 5(4)), Bewertung der Schulungswirksamkeit, Aktenführung und Compliance-Nachverfolgung sowie ein jährlicher Schulungsplan. Unterscheide zwischen allgemeiner Sensibilisierung und rollenspezifischen technischen Schulungen."

Profi-Tipp: Erstellen Sie ein DORA-spezifisches Schulungsmodul für Ihr Leitungsorgan, das dessen persönliche Verpflichtungen gemäß Artikel 5, die für das Unternehmen relevante IKT-Risikolandschaft und die Interpretation von IKT-Risikoberichten abdeckt. Dies ist ein hochrelevanter Audit-Punkt und beweist echtes Governance-Engagement.

Schritt 7: Integration und Validierung des vollständigen Frameworks

Querverweis der Framework-Komponenten

Sobald Sie alle Framework-Komponenten entwickelt haben, nutzen Sie ISMS Copilot, um Vollständigkeit und Konsistenz zu validieren:

"Überprüfe die folgenden Komponenten des IKT-Risikomanagement-Frameworks auf DORA-Compliance-Vollständigkeit: [Framework-Dokument, Richtlinien, Verfahren, Vorlagen auflisten oder hochladen]. Bestätige für jeden DORA-Artikel 5–16: ob die Anforderung adressiert wird, welches Dokument sie adressiert, ob die Behandlung für einen [Unternehmenstyp] unserer Größe angemessen ist, ob es Lücken oder Inkonsistenzen zwischen den Dokumenten gibt und ob Anforderungen aus den regulatorischen technischen Standards (RTS) gemäß Artikel 15 noch nicht adressiert wurden. Erstelle eine Compliance-Matrix."

Vorbereitung auf die aufsichtsrechtliche Prüfung

Zuständige Behörden werden Ihr IKT-Risikomanagement-Framework als primären Schwerpunktbereich prüfen. Bereiten Sie Ihr Beweismittel-Paket vor:

"Erstelle eine Vorbereitung-Checkliste für die DORA IKT-Risikomanagement-Prüfung für einen [Unternehmenstyp]. Liste für jeden Artikel 5–16 auf: die erwarteten regulatorischen Fragen, bereitzuhaltende Beweisdokumente, zu präsentierende Kennzahlen und KPIs, häufige Mängelberichte und wie man sie vermeidet sowie Anforderungen an den Nachweis der Einbindung des Leitungsorgans (Schulungsnachweise, Sitzungsprotokolle, Genehmigungsnachweise). Priorisiere nach der Wahrscheinlichkeit des Prüfungsschwerpunkts."

Ihr IKT-Risikomanagement-Framework muss mindestens jährlich und nach schwerwiegenden IKT-Vorfällen überprüft werden (Artikel 6(5)). Integrieren Sie diesen Überprüfungszyklus von Anfang an in Ihren Governance-Kalender und nutzen Sie ISMS Copilot, um die Vorlage für den jährlichen Überprüfungsbericht zu erstellen.

Nächste Schritte

Sie verfügen nun über ein umfassendes IKT-Risikomanagement-Framework, das alle Anforderungen der DORA-Artikel 6–16 abdeckt:

  • Framework-Dokument mit Governance-Struktur und IKT-Risikostrategie

  • IKT-Asset-Inventar mit Klassifizierung und Abhängigkeitskartierung

  • Schutz- und Präventionsmaßnahmen mit einer Suite von Sicherheitsrichtlinien

  • Erkennungsfunktionen mit Monitoring-Strategie und -Verfahren

  • Reaktions- und Wiederherstellungsverfahren mit BCP, DRP und Backup-Richtlinien

  • Programm für Lernen und Fortentwicklung mit Post-Incident-Review und Schulung

Fahren Sie mit den nächsten Leitfäden in dieser DORA-Serie fort:

  • So implementieren Sie die DORA-Vorfallmeldung mit KI – Bauen Sie auf Ihren Erkennungs- und Reaktionsfähigkeiten mit den spezifischen DORA-Anforderungen zur Vorfallsklassifizierung und -berichterstattung auf.

  • So planen Sie DORA-Resilienztests mit KI – Entwerfen Sie Ihr Testprogramm, um die Kontrollen und Verfahren zu validieren, die Sie in diesem Framework etabliert haben.

  • So managen Sie DORA-Drittanbieterrisiken mit KI – Erweitern Sie Ihr Risikomanagement-Framework auf die in Ihrem Asset-Inventar identifizerten IKT-Drittanbieter.

Für sofort einsatzbereite Prompts zu allen Aspekten des IKT-Risikomanagements besuchen Sie die DORA Compliance Prompt Library. Für den vollständigen regulatorischen Überblick lesen Sie den DORA Compliance Guide for Financial Entities.

Hilfe erhalten

Für zusätzliche Unterstützung beim Aufbau Ihres IKT-Risikomanagement-Frameworks:

  • Fragen Sie ISMS Copilot: Nutzen Sie Ihren DORA-Arbeitsbereich für die iterative Entwicklung und Überprüfung von Richtlinien.

  • Bestehende Richtlinien hochladen: Erhalten Sie eine gezielte Gap-Analyse, indem Sie aktuelle IKT-Risikodokumentationen zum Vergleich mit den DORA-Anforderungen hochladen.

  • Frameworks vergleichen: Mappen Sie bestehende ISO 27001- oder EBA-Leitfaden-Kontrollen auf die DORA-Artikel 6–16, um Vorarbeiten zu nutzen.

  • Ergebnisse validieren: Überprüfen Sie KI-generierte Framework-Dokumente anhand des DORA-Verordnungstextes und relevanter regulatorischer technischer Standards vor der Genehmigung durch das Leitungsorgan.

Erstellen Sie noch heute Ihr IKT-Risikomanagement-Framework. Öffnen Sie Ihren DORA-Arbeitsbereich unter chat.ismscopilot.com und beginnen Sie mit Ihrem Framework-Dokument. Das artikelgenaue Wissen von ISMS Copilot über DORA stellt sicher, dass jede Richtlinie und jedes Verfahren, das Sie erstellen, auf die regulatorischen Erwartungen abgestimmt und bereit für die aufsichtsrechtliche Prüfung ist.

War das hilfreich?