Framework Mapping
Cross-Framework Navigator
Interactive matrix showing cross-references between DORA, MaRisk, ISO 27001:2022, NIS2 and AI Act.
DORA
7
full mappings
5 partial
MaRisk
7
full mappings
5 partial
ISO 27001:2022
0
full mappings
0 partial
NIS2
7
full mappings
5 partial
AI Act
7
full mappings
5 partial
| Topic | DORA | MaRisk | ISO 27001:2022 | NIS2 | AI Act | Coverage |
|---|---|---|---|---|---|---|
| Governance & Führungsverantwortung | Art. 5 — Governance-Regelungen | AT 4, AT 4.1 — Geschäfts- und Risikostrategie | A.5.1 — Führung und Verpflichtung | Art. 20 — Leitungsorgan-Verantwortung | Art. 16-18 — Governance bei Hochrisiko-KI | full |
|
DORA Art. 5 — Governance-Regelungen MaRisk AT 4, AT 4.1 — Geschäfts- und Risikostrategie ISO 27001:2022 A.5.1 — Führung und Verpflichtung NIS2 Art. 20 — Leitungsorgan-Verantwortung AI Act Art. 16-18 — Governance bei Hochrisiko-KI |
||||||
| IKT-Risikomanagementrahmen | Art. 6-14 — IKT-Risikomanagement | AT 7 — IKT-Risiken und Informationssicherheit | A.5.2-A.5.8 — Risikobeurteilung und -behandlu... | Art. 21 — Risikomanagement-Maßnahmen | Art. 9 — Risikomanagementsystem für KI | full |
|
DORA Art. 6-14 — IKT-Risikomanagement MaRisk AT 7 — IKT-Risiken und Informationssicherheit ISO 27001:2022 A.5.2-A.5.8 — Risikobeurteilung und -behandlung NIS2 Art. 21 — Risikomanagement-Maßnahmen AI Act Art. 9 — Risikomanagementsystem für KI |
||||||
| Vorfallmanagement & Meldepflichten | Art. 17-19 — IKT-Vorfallsmanagement und Meldu... | AT 7.3 — Notfallmanagement | A.5.24-A.5.28 — Incident Management | Art. 23 — Meldepflichten (24h/72h/1M) | Art. 73 — Schwerwiegende Vorfälle bei KI | full |
|
DORA Art. 17-19 — IKT-Vorfallsmanagement und Meldung MaRisk AT 7.3 — Notfallmanagement ISO 27001:2022 A.5.24-A.5.28 — Incident Management NIS2 Art. 23 — Meldepflichten (24h/72h/1M) AI Act Art. 73 — Schwerwiegende Vorfälle bei KI |
||||||
| Business Continuity & Krisenmanagement | Art. 11 — Backup und Wiederherstellung | AT 7.3, BT 3.2 — Notfall- und Krisenmanagemen... | A.5.29-A.5.30 — Aufrechterhaltung | Art. 21 II c — Business Continuity | — | partial |
|
DORA Art. 11 — Backup und Wiederherstellung MaRisk AT 7.3, BT 3.2 — Notfall- und Krisenmanagement ISO 27001:2022 A.5.29-A.5.30 — Aufrechterhaltung NIS2 Art. 21 II c — Business Continuity AI Act — |
||||||
| Lieferkette & Drittparteienrisiko | Art. 28-33 — IKT-Drittparteienrisiko | AT 9 — Auslagerungsmanagement | A.5.19-A.5.23 — Lieferantenbeziehungen | Art. 21 II d — Lieferkettensicherheit | Art. 24 — Pflichten von KI-Bereitstellern | full |
|
DORA Art. 28-33 — IKT-Drittparteienrisiko MaRisk AT 9 — Auslagerungsmanagement ISO 27001:2022 A.5.19-A.5.23 — Lieferantenbeziehungen NIS2 Art. 21 II d — Lieferkettensicherheit AI Act Art. 24 — Pflichten von KI-Bereitstellern |
||||||
| Resilienztest & Prüfung | Art. 24-27 — Testprogramm, TLPT | AT 4.4 — Interne Kontrollen und Prüfung | A.5.35-A.5.36 — Internes Audit, Managementbew... | Art. 21 II f — Überprüfung der Cybersicherhei... | Art. 61 — Konformitätsbewertung | partial |
|
DORA Art. 24-27 — Testprogramm, TLPT MaRisk AT 4.4 — Interne Kontrollen und Prüfung ISO 27001:2022 A.5.35-A.5.36 — Internes Audit, Managementbewertung NIS2 Art. 21 II f — Überprüfung der Cybersicherheit AI Act Art. 61 — Konformitätsbewertung |
||||||
| Informationssicherheit & Schutzbedarf | Art. 7-9 — IKT-Systeme, Schutz und Prävention | AT 7.2 — Informationssicherheit | A.8 — Technische Maßnahmen (Annex A) | Art. 21 II a, e — Netz- und Informationssiche... | Art. 10 — Daten- und Datenschutz | full |
|
DORA Art. 7-9 — IKT-Systeme, Schutz und Prävention MaRisk AT 7.2 — Informationssicherheit ISO 27001:2022 A.8 — Technische Maßnahmen (Annex A) NIS2 Art. 21 II a, e — Netz- und Informationssicherheit AI Act Art. 10 — Daten- und Datenschutz |
||||||
| Informationsregister & Dokumentation | Art. 28 II — Informationsregister | AT 7, AT 9 — Registerführung | A.5.37 — Dokumentierte Information | Art. 21 — Dokumentation der Maßnahmen | Art. 11-12 — Technische Dokumentation | full |
|
DORA Art. 28 II — Informationsregister MaRisk AT 7, AT 9 — Registerführung ISO 27001:2022 A.5.37 — Dokumentierte Information NIS2 Art. 21 — Dokumentation der Maßnahmen AI Act Art. 11-12 — Technische Dokumentation |
||||||
| Schulung & Sensibilisierung | Art. 5 IV — Schulungspflicht | AT 6 — Personal und Qualifikation | A.7.2-A.7.3 — Schulung und Sensibilisierung | Art. 20 II — Schulung des Leitungsorgans | Art. 4 — KI-Kompetenz | partial |
|
DORA Art. 5 IV — Schulungspflicht MaRisk AT 6 — Personal und Qualifikation ISO 27001:2022 A.7.2-A.7.3 — Schulung und Sensibilisierung NIS2 Art. 20 II — Schulung des Leitungsorgans AI Act Art. 4 — KI-Kompetenz |
||||||
| Datenqualität & Data Governance | Art. 7 — Datenintegrität | AT 4 — Datenqualitätsanforderungen (10. Novel... | A.5.33 — Schutz von Aufzeichnungen | Art. 21 — Allgemeine Sorgfaltspflicht | Art. 10 — Daten-Governance | partial |
|
DORA Art. 7 — Datenintegrität MaRisk AT 4 — Datenqualitätsanforderungen (10. Novelle) ISO 27001:2022 A.5.33 — Schutz von Aufzeichnungen NIS2 Art. 21 — Allgemeine Sorgfaltspflicht AI Act Art. 10 — Daten-Governance |
||||||
| Meldung an Aufsicht | Art. 19 — Meldung schwerwiegender Vorfälle | AT 4.3, AT 8 — Anzeige- und Meldepflichten | A.5.25 — Bewertung von Sicherheitsvorfällen | Art. 23 — Meldepflicht an CSIRT | Art. 73 — Meldung schwerwiegender Vorfälle | full |
|
DORA Art. 19 — Meldung schwerwiegender Vorfälle MaRisk AT 4.3, AT 8 — Anzeige- und Meldepflichten ISO 27001:2022 A.5.25 — Bewertung von Sicherheitsvorfällen NIS2 Art. 23 — Meldepflicht an CSIRT AI Act Art. 73 — Meldung schwerwiegender Vorfälle |
||||||
| KI-Governance & Menschliche Aufsicht | Art. 5 — Governance (indirekt) | AT 4 — Allgemeine Governance | A.5.1 — Führungsverpflichtung | Art. 20 — Leitungsorgan-Verantwortung | Art. 14 — Menschliche Aufsicht | partial |
|
DORA Art. 5 — Governance (indirekt) MaRisk AT 4 — Allgemeine Governance ISO 27001:2022 A.5.1 — Führungsverpflichtung NIS2 Art. 20 — Leitungsorgan-Verantwortung AI Act Art. 14 — Menschliche Aufsicht |
||||||
Framework Comparison View
Select two frameworks to compare their coverage across topics:
| Topic | Match | ||
|---|---|---|---|
Referenzen
- DORA (EU) 2022/2554 — Digital Operational Resilience Act
- MaRisk — Mindestanforderungen an das Risikomanagement (BaFin)
- ISO/IEC 27001:2022 — Information Security Management
- NIS2 (EU) 2022/2555 — Network and Information Security
- AI Act (EU) 2024/1689 — Artificial Intelligence Act