Zum Inhalt springen

Wissen

Glossar und Fachbegriffe.

Die wichtigsten Begriffe aus DORA, MaRisk, ISO 27001 und der regulatorischen Praxis — kurz, praxisnah und umsetzungsorientiert.

Hinweis: Diese Definitionen sind eigenständig formulierte Umsetzungshilfen. Sie ersetzen keine verbindliche regulatorische Auslegung. Für verbindliche Definitionen konsultieren Sie die jeweiligen Originalquellen (DORA-Verordnung, MaRisk, ISO 27001).

Management-Zusammenfassung

  • DORA, MaRisk und ISO 27001 verwenden zahlreiche spezifische Fachbegriffe und Abkürzungen.
  • Dieses Glossar erklärt Begriffe kurz, praxisnah und umsetzungsorientiert — keine Normwiedergabe.
  • Jeder Begriff enthält einen Querverweis zu relevanten Plattform-Seiten für vertiefende Informationen.
  • Das Glossar wird fortlaufend um neue Begriffe aus der regulatorischen Praxis ergänzt.

DORA Kernbegriffe

DORA

Digital Operational Resilience Act (Verordnung (EU) 2022/2554). EU-weite Verordnung zur digitalen operationalen Resilienz im Finanzsektor. Regelt IKT-Risikomanagement, Vorfälle, Tests, Drittparteien und Informationsregister.

kwF

kritisch oder wichtige Funktion. Geschäftsfunktionen, deren Unterbrechung oder Ausfall erhebliche negative Auswirkungen auf das Finanzunternehmen, die Kunden oder die Finanzstabilität hätte. Kernbegriff für Testpflichten und Register.

IKT-Drittdienstleister

Dienstleister, die IKT-Dienstleistungen (Hard-, Software, Cloud, Netzwerk, Beratung) für ein Finanzunternehmen erbringen. Unterliegt strengen Vertrags-, Due-Diligence- und Registerpflichten nach DORA Art. 28.

Informationsregister

Jährliche Meldung aller IKT-Drittparteienbeziehungen an die Aufsicht (DORA Art. 28). Enthält Vertragsinformationen, Schutzbedarfsklassifizierungen und Unterauftragnehmer. Erste Einreichung 2025, wiederkehrend jedes Jahr im März.

CTPP

Critical ICT Third-Party Provider. Kritischer IKT-Drittdienstleister, der von den ESAs (EBA, EIOPA, ESMA) designiert wird. Unterliegt Oversight durch Joint Examination Teams (JET). Unternehmen müssen CTPP-Beziehungen im Register gesondert kennzeichnen.

IKT-Vorfall

Jeder Vorfall, der die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Netzwerken und Informationssystemen beeinträchtigt. Meldepflichten nach Schweregrad (Major, Significant, etc.) und Fristen.

Testing & Resilienz

TLPT

Threat-Led Penetration Testing. Bedrohungsgeleiteter Penetrationstest für bedeutende Institute und CTPPs nach DORA Art. 26. Simuliert APTs über Wochen/Monate mit Threat Intelligence. Erste Frist: 17. Januar 2028.

Resilienztests

Systematische Prüfung der digitalen operationalen Resilienz nach DORA Kapitel IV. Umfasst 12 Testarten mit schutzbedarfsabhängigen Frequenzen.

3-Jahres-Regel

DORA Art. 24(2): Alle relevanten Testarten müssen innerhalb eines rollierenden 3-Jahres-Zeitraums (36 Monate) mindestens einmal durchgeführt worden sein. Keine Ausnahmen möglich.

page.dora_glossar.term_red_team_blue_team_purple_team_title

page.dora_glossar.term_red_team_blue_team_purple_team_desc

TIBER-EU

Threat Intelligence-Based Ethical Red Teaming. EU-weites Framework der EZB für TLPT-Tests. Dient als Methodik-Referenz für DORA-konforme Threat-Led Penetration Tests.

MaRisk

MaRisk

Mindestanforderungen an das Risikomanagement. Zentrale aufsichtsrechtliche Grundlage für deutsche Finanzinstitute. 9. Novelle final (Rundschreiben 06/2026, 30.06.2026).

WpI MaRisk

MaRisk für Wertpapierinstitute. Proportionale Anforderungen für kleine und mittlere Wertpapierinstitute mit Erleichterungen bei Dokumentation und Organisation. Konsultation 05/2026 aktiv.

page.dora_glossar.term_10_marisk_title

page.dora_glossar.term_10_marisk_desc

page.dora_glossar.term_at_bt_title

page.dora_glossar.term_at_bt_desc

ISO 27001

ISMS

Information Security Management System. Managementsystem für Informationssicherheit nach ISO/IEC 27001:2022. Kern für systematische Risikosteuerung, Kontrollen, Nachweise und kontinuierliche Verbesserung.

Annex A Controls

93 Kontrollen in 4 Kategorien (Organisatorisch, Personell, Physikalisch, Technologisch) als Referenzrahmen. Werden mit DORA-Artikeln und MaRisk-Vorschriften gemappt für integrierte Nachweise.

kontinuierliche Verbesserung

PDCA-Zyklus (Plan-Do-Check-Act) als Grundprinzip des ISMS. Management-Reviews, interne Audits und Korrekturmaßnahmen führen zu ständiger Anpassung und Optimierung der Informationssicherheit.

Regulatorik & Aufsicht

BaFin

Bundesanstalt für Finanzdienstleistungsaufsicht. Deutsche Finanzaufsicht, zuständig für DORA-Umsetzung, Informationsregister-Annahme und IKT-Vorfall-Meldehub.

EBA

European Banking Authority. Entwickelt technische Regulierungsstandards (RTS) und Leitlinien für DORA, insbesondere zu Tests, IKT-Risikomanagement und CTPP-Oversight.

ESAs

European Supervisory Authorities (EBA, EIOPA, ESMA). Gemeinsam zuständig für CTPP-Designation, Oversight und Leitlinien unter DORA.

JET

Joint Examination Team. Gemeinsames Prüfteam der ESAs für die Oversight kritischer IKT-Drittdienstleister (CTPPs). Ein JET wird für jeden designierten CTPP eingerichtet.

NIS2

Netzwerk- und Informationssicherheitsrichtlinie 2. EU-weite Richtlinie für Cybersicherheit. Finanzinstitute fallen unter DORA, nicht NIS2.

CRA

Cyber Resilience Act. EU-Verordnung für Cybersicherheit von Produkten mit digitalen Elementen. Betrifft Software-Hersteller und Lieferketten.

Technische Begriffe

page.dora_glossar.term_sast_dast_iast_title

page.dora_glossar.term_sast_dast_iast_desc

CVE

Common Vulnerabilities and Exposures. Standardisierte Kennung für öffentlich bekannte Sicherheitslücken. Wichtig für Vulnerability Management und Schwachstellen-Tracking.

RoE

Rules of Engagement. Formales Dokument, das Umfang, Methoden und Grenzen eines Penetrationstests oder TLPT definiert.

page.dora_glossar.term_aptt_apt_title

page.dora_glossar.term_aptt_apt_desc

Hinweis zur Verwendung

  • Dieses Glossar ist eine Arbeitshilfe — keine verbindliche Auslegung.
  • Für regulatorisch bindende Definitionen konsultieren Sie DORA, MaRisk, EBA-Leitlinien und BaFin-Veröffentlichungen.
  • Änderungen in der regulatorischen Landschaft (z. B. 10. MaRisk) können Begriffe und Anforderungen anpassen.
  • Vorschläge für neue Begriffe gerne an das Plattform-Team.