Zum Inhalt springen

DORA Kapitel IV / Kalender

Testkalender-Generator.

Automatische Generierung des mehrjährigen Resilienz-Testkalenders auf Basis der Asset-Priorität, Betriebsart und regulatorischen Anforderungen.

Management-Zusammenfassung

  • Der Testkalender wird automatisch aus Asset-Priorität, Betriebsart und regulatorischen Anforderungen generiert.
  • Vier Prioritätsstufen (P1–P4) mit festen Testzyklen: jährlich, 2-jährlich, 3-jährlich oder eventbasiert.
  • Die Grundschutz-Validierung (GSV) wird quartalsweise für kwF-relevante Assets mit technischer Exposition durchgeführt.
  • Eventbasierte Trigger (Major Change, Incident, Risikoänderung) lösen außerplanmäßige Tests aus.

Wie der Kalender generiert wird

Der Testkalender wird automatisch auf Basis folgender Eingabeparameter für jedes IKT-Asset im Testinventar generiert:

Schritt 1

Asset-Priorität

Score-Berechnung aus Schutzbedarf, kwF-Status, Expositionsfaktor und weiteren Faktoren. Ergibt Priorität P1–P4.

Schritt 2

Zykluszuordnung

Jeder Priorität ist ein fester Testzyklus zugeordnet: jährlich (P1), 2-jährlich (P2), 3-jährlich (P3) oder eventbasiert (P4).

Schritt 3

Betriebsart-Prüfung

Die Betriebsart (intern, gemischt, ausgelagert) bestimmt, ob Tests selbst durchgeführt oder Nachweise angefordert werden.

Schritt 4

Kalendererstellung

Verdichtung aller Asset-Zyklen in einen mehrjährigen, rollierenden Testkalender mit Quartals- und Jahresansicht.

Prioritätsbasierte Zykluslogik

Die Testpriorität eines IKT-Assets bestimmt den erforderlichen Testzyklus und den Umfang des Testpakets.

P1

Priorität 1

Höchste Testpriorität – jährliches Testpaket erforderlich

Score >= 100

Jährliches Testpaket: Penetrationstest oder Adversarial Simulation (risikobasiert), Schwachstellenscan, Gap Analysis, Management Review.

P2

Priorität 2

Erhöhte Testpriorität – 2-Jahres-Testpaket erforderlich

Score >= 60 und < 100

Alle 2 Jahre Testpaket: Penetrationstest oder Schwachstellenscan, Gap Analysis oder Fragebogen/Software Scan. Bei Dienstleisterbetrieb: Nachweisanforderung.

P3

Priorität 3

Standard-Testpriorität – 3-Jahres-Test erforderlich

Score >= 20 und < 60

3-Jahres-Regel: Mindestens Schwachstellenscan oder Gap Analysis oder Self Assessment.

P4

Priorität 4

Niedrige Testpriorität – keine regelmäßige Testaktivität erforderlich

Score < 20 oder Ausnahmeregelung

Keine regelmäßige Testaktivität erforderlich. Eventbasiert bei Major Change, IKT-Vorfall oder Risikoänderung.

GSV-Fälligkeiten

Die Grundschutz-Validierung (GSV) wird für Assets mit kwF-Unterstützung und relevanter technischer Exposition quartalsweise durchgeführt.

Jahr Q1 Q2 Q3 Q4 Anmerkung
2026 fällig fällig Nachweisanforderung an Fachbereich / Dienstleister
2027 fällig fällig Nachweisanforderung an Fachbereich / Dienstleister
2028 fällig fällig Nachweisanforderung an Fachbereich / Dienstleister
2029 fällig fällig Nachweisanforderung an Fachbereich / Dienstleister
2030 fällig fällig Nachweisanforderung an Fachbereich / Dienstleister
2031 fällig fällig Nachweisanforderung an Fachbereich / Dienstleister

Hinweis: Die GSV-Fälligkeit gilt für Assets mit GSV-001-Regel (kwF-Unterstützung ja UND relevante technische Exposition). Quartalsweise Nachweisanforderung über durchgeführte wöchentliche Schwachstellenscans sowie Status kritischer Schwachstellen. Bei ausgelagertem Betrieb: Dienstleisterbericht anfordern.

Eventbasierte Trigger

Neben den zyklischen Tests können bestimmte Ereignisse außerplanmäßige Tests auslösen.

EVT-001 Major Change

Wesentliche Änderung an Architektur, Technologie oder Betriebsmodell

Risikobasierte Testentscheidung durch Resilience Board innerhalb von 30 Tagen

EVT-002 IKT-Vorfall

Relevanter Sicherheitsvorfall mit Bezug zum Asset

Ad-hoc Test und Retest-Review der bestehenden Testabdeckung

EVT-003 Kritischer Finding

Offener Finding mit hohem oder kritischem Risiko

Nachtest nach Remediation innerhalb von 90 Tagen

EVT-004 Neuer kritischer Dienstleister

Aufnahme eines neuen Dienstleisters mit kwF-Unterstützung

Einholung von Dienstleister-Nachweisen innerhalb von 90 Tagen

EVT-005 Neue kwF-Unterstützung

Asset erhält neue Klassifizierung als kritische oder wichtige Funktion

Vollständige Testneubewertung innerhalb von 60 Tagen

EVT-006 Regulatory Radar Signal

Aufsichtliche Ankündigung, Prüfungsfeststellung oder neue gesetzliche Anforderung

Risikobewertung und Testanpassung durch Resilience Board

EVT-007 Offene Findings

Kritische oder hohe Findings aus vorherigem Test

Nachtest nach Remediation innerhalb von 90 Tagen; Resilience Board über Status informieren

EVT-008 Dienstleister-Nachweis überfällig

Ausgelagertes Asset: fälliger Nachweis wurde nicht fristgerecht eingereicht

Vertraglich festgelegte Nachweispflicht durchsetzen; Eskalation an Resilience Board; Retest-Deadline setzen

EVT-009 Kritisches Risikoprofil

Aktuelles Risikoprofil des Assets wurde auf kritisch eingestuft

Sofortige Risikobewertung; Testneubewertung innerhalb von 14 Tagen; Resilience Board informieren

Betriebsmodell-Effekte auf den Kalender

Die Betriebsart eines Assets beeinflusst, ob Tests terminiert oder Nachweise angefordert werden müssen.

Vollständig eigener Betrieb

Interne Durchführung möglich, interne Evidence, interne Findings, interne Retests

Evidence-Typ internal
Ausführung internal
Kalender: Testtermine intern planen

Teilweise ausgelagerter Betrieb

Kombination aus interner Durchführung und Dienstleister-Nachweis. Dienstleisterberichte erforderlich. Verantwortlichkeitsmatrix erforderlich.

Evidence-Typ mixed
Ausführung mixed
Kalender: Testtermine + Nachweisdeadlines

Vollständig ausgelagerter Betrieb

Nachweisanforderung an Dienstleister. Bewertung der eingereichten Nachweise und Maßnahmenverfolgung durch Institut. Keine eigenen Tests.

Evidence-Typ provider
Ausführung external
Kalender: Nachweisdeadlines an Dienstleister

Musterkalender 2026–2031

Statische Visualisierung der Testzyklen über einen 6-Jahres-Zeitraum. Die farbigen Markierungen zeigen an, in welchen Jahren ein Testpaket für die jeweilige Prioritätsstufe fällig wird.

Priorität Zyklus 2026 2027 2028 2029 2030 2031
P1 Alle 1 Jahre Test fällig Test fällig Test fällig Test fällig Test fällig Test fällig
P2 Alle 2 Jahre Test fällig Test fällig Test fällig
P3 Alle 3 Jahre Test fällig Test fällig
P4 Eventbasiert
P1 — Jährlich

Jedes Jahr Testpaket: Pentest, Scan, Gap Analysis, Management Review

P2 — 2-Jahres-Zyklus

Alle 2 Jahre: Pentest oder Scan + Gap Analysis

P3 — 3-Jahres-Zyklus

Alle 3 Jahre: Schwachstellenscan oder Gap Analysis

P4 — Eventbasiert

Keine reguläre Testpflicht, nur bei Major Change oder Vorfall

Hinweise zur Kalendernutzung

  • Der Kalender wird automatisch aus dem Testinventar und den Asset-Prioritäten generiert.
  • Bei Änderung der Prioritätseinstufung (z. B. durch Incident oder kwF-Neubewertung) wird der Kalender dynamisch angepasst.
  • Der Kalender berücksichtigt Betriebsart-Wechsel und passt Testtermine bzw. Nachweisdeadlines entsprechend an.
  • Das Resilience Board genehmigt den jährlichen Testplan und entscheidet über Abweichungen.

Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.