Zum Inhalt springen
Resilience Platform Resilience Platform

DORA Übergreifend

Dokumentation als Prüfgrundlage.

DORA verlangt nachvollziehbare, aktuelle und vollständige Dokumentation aller Resilienzmaßnahmen.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • Dokumentation ist die Pruefgrundlage fuer DORA-Compliance und muss vollstaendig, aktuell und nachvollziehbar sein.
  • Jeder DORA-Artikel hat spezifische Dokumentationspflichten: IKT-Risikomanagement, Drittparteien, Vorfaelle, Tests, Register.
  • Dokumentenlenkung sichert Versionierung, Freigabe, Verteilung und regelmaessige Review — analog zu ISO 27001 A.5.37.
  • Pruefer und Aufseher erwarten strukturierte Evidence Packs, die Anforderung, Massnahme, Nachweis und Review verbinden.

Sollzustand Dokumentation

  • Dokumentationsinventar: Alle DORA-relevanten Dokumente sind erfasst, kategorisiert und einem Owner zugeordnet.
  • Versionslenkung: Jede Dokumentation hat eindeutige Versionsnummer, Freigabestatus, Gueltigkeitszeitraum und Aenderungsprotokoll.
  • Review-Zyklen: Dokumente werden regelmaessig reviewed (mindestens jaehrlich, bei Aenderungen ad-hoc).
  • Pruefzugriff: Dokumentation ist fuer interne und externe Pruefer strukturiert verfuegbar (Evidence Packs).
  • Retention: Aufbewahrungsfristen sind definiert (mind. 5 Jahre fuer regulatorisch relevante Dokumente).

Umsetzungsschritte

  • Dokumentationsinventar erstellen: Alle existierenden Richtlinien, Prozesse, Register und Nachweise katalogisieren.
  • Gap-Analyse zu DORA-Artikeln: Fehlende Dokumentation fuer IKT-Risiko (Art. 5–13), Drittparteien (Art. 28–30), Vorfaelle (Art. 17–20), Tests (Art. 24–26), Register (Art. 35) identifizieren.
  • Dokumentenlenkung einfuehren: Freigabe, Versionierung, Verteilung, Review, Archivierung nach ISO 27001 A.5.37.
  • Verantwortliche benennen: Pro Dokument ein Owner (Erstellung), ein Reviewer (Qualitaet) und ein Approver (Freigabe).
  • Evidence Packs definieren: Zusammenstellung von Dokumentation je DORA-Artikel fuer Pruefungszwecke.
  • Aktualisierungsprozesse etablieren: Trigger (Aenderung, Incident, Review-Zyklus), Workflow, Eskalation bei Ueberfaelligkeit.

DORA-Dokumentationspflichten nach Artikel

  • Art. 5–13 (IKT-Risikomanagement): Risikostrategie, Inventar, Schutzbedarfsfeststellung, Kontrollkatalog, Monitoring-Berichte.
  • Art. 17–20 (Vorfallmanagement): Incident-Response-Plaene, Klassifizierungskriterien, Meldeprotokolle, Lessons-Learned-Dokumentation.
  • Art. 24–26 (Tests): Testprogramm, Testpläne, Testberichte, Findings-Management, Retest-Nachweise, TLPT-Berichte.
  • Art. 28–30 (Drittparteien): Due-Diligence-Berichte, Vertraege, Exit-Strategien, CTPP-Oversight-Dokumentation.
  • Art. 35 (Informationsregister): Datenqualitaetsnachweise, Fehlerprotokolle, Einreichungsbestaetigungen, Aktualisierungslogs.

Typische Luecken in der Dokumentation

  • Fehlende Verknuepfung zwischen DORA-Artikel und interner Dokumentation (kein Mapping).
  • Unvollstaendige Versionierung: Aenderungen nicht nachvollziehbar, alte Versionen nicht archiviert.
  • Fehlende regelmaessige Reviews: Dokumente veralten, keine aktualisierte Risikobewertung.
  • Evidence Packs unstrukturiert: Pruefer muessen Dokumente aus verschiedenen Systemen zusammensuchen.
  • Fehlende Retention-Policy: Nicht klar, welche Dokumente wie lange aufbewahrt werden muessen.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Dokumentationsrahmen, der DORA-Nachweispflichten operationalisiert.

  • A.5.1: Management-Richtlinie fuer Informationssicherheit — DORA-Strategie-Dokumentation
  • A.5.37: Dokumentierte Betriebsverfahren — Lenkung, Freigabe, Verteilung und Review
  • A.5.33: Schutz von Aufzeichnungen — Aufbewahrung, Zugriffsschutz, Integritaet von Nachweisen
  • A.5.34: Datenschutz und Privatsphaere — Datenschutzdokumentation bei Meldeprozessen
  • A.7.5: Authentifizierungsinformationen — Dokumentation von Zugriffsrechten und Berechtigungskonzepten
  • A.8.8: Technische Sicherheitsueberpruefung — Dokumentation von Testergebnissen und Remediation

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung