Zum Inhalt springen
Resilience Platform Resilience Platform

DORA

IKT-Richtlinien als steuerbares Instrument der Governance.

Eine strukturierte Richtlinien-Workbench hilft, IKT-Sicherheitsrichtlinien und DORA-nahe Richtlinien konsistent zu steuern, zu reviewen und nachzuweisen.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • IKT-Richtlinien durchlaufen einen standardisierten Dokumentenlenkungsprozess von Erstellung über Freigabe bis zur Archivierung.
  • Wesentliche Richtlinien werden durch das Leitungsorgan freigegeben.
  • Review-Trigger stellen die regelmässige und anlassbezogene Überprüfung aller Richtlinien sicher.
  • Jede Richtlinie enthält eine Kontroll- und Nachweislogik, die die Einhaltung belegbar macht.

Richtlinienlandschaft

  • IKT-Sicherheitsrichtlinie (ISMS-Rahmen)
  • IKT-Risikomanagement-Richtlinie
  • Richtlinie zum IKT-Drittparteienrisiko
  • Richtlinie zum IKT-Vorfallmanagement
  • Richtlinie zu Resilienztests
  • BCM-Richtlinie (Business Continuity Management)
  • Richtlinie Informationsregister
  • Richtlinie zur IKT-Vertragssteuerung

Dokumentenlenkung

  • Phasen: Entwurf, Abstimmung, Freigabe, Veröffentlichung, Review, Archivierung.
  • Rollen: Autor, Prüfer, Freigeber, Archivverantwortlicher.
  • Jede Richtlinie hat eindeutige Version, Änderungshistorie und Gültigkeitsdauer.
  • Abgelöste Richtlinien werden archiviert und sind revisionssicher nachweisbar.

Review-Trigger

  • Mindestens jährlich
  • Nach wesentlichen IKT-Vorfällen
  • Nach Resilienztests
  • Nach Audits (intern oder extern)
  • Nach behördlichen Hinweisen oder Prüfungsfeststellungen
  • Bei wesentlichen Änderungen an Aktivitäten, Prozessen, Bedrohungslage oder rechtlichen Anforderungen

Massnahmen: IKT-Richtlinien

DORA-POL-001 reviewed initial

Richtlinieninventar für IKT-Sicherheits- und DORA-Richtlinien aufbauen

Das Institut verfügt über ein vollständiges und aktuelles Inventar aller IKT-Sicherheitsrichtlinien und DORA-relevanten Richtlinien.

Themenbereich
IKT-Richtlinien
Sollzustand
Ein zentrales Richtlinieninventar erfasst alle IKT-Richtlinien mit Zweck, Geltungsbereich, Version, Freigabedatum, verantwortlicher Rolle, Review-Zyklus und Verknüpfung zu DORA-, MaRisk- und ISO-Anforderungen.
DORA / MaRisk
DORA Art. 6 Abs. 4 (Dokumentation), Art. 8 (Schutzmassnahmen) | MaRisk AT 4.4.2 (Dokumentation)

Umsetzungsschritte

  • Richtlinienkategorien (Sicherheit, IKT-Risiko, BCM, Auslagerungen etc.) definieren.
  • Bestehende Richtlinien inventarisieren und kategorisieren.
  • Richtlinienlücken gegen DORA- und MaRisk-Anforderungen identifizieren.
  • Inventar regelmässig aktualisieren und mit Richtlinien-Review synchronisieren.

Beispielnachweise

  • Richtlinieninventar (vollständig, aktuell)
  • Lückenanalyse Richtlinien vs. DORA/MaRisk
  • Kategorisierungsmatrix
  • Aktualisierungsprotokoll

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.33 A.5.36
DORA-POL-002 reviewed initial

Dokumentenlenkung für IKT-Richtlinien etablieren

IKT-Richtlinien durchlaufen einen standardisierten Dokumentenlenkungsprozess von Erstellung über Freigabe bis zur Archivierung.

Themenbereich
IKT-Richtlinien
Sollzustand
Ein dokumentierter Dokumentenlenkungsprozess definiert Phasen (Entwurf, Abstimmung, Freigabe, Veröffentlichung, Review, Archivierung), Rollen (Autor, Prüfer, Freigeber) und Fristen. Jede Richtlinie hat eine eindeutige Version, Änderungshistorie und Gültigkeitsdauer.
DORA / MaRisk
DORA Art. 6 Abs. 4 (Dokumentation) | MaRisk AT 4.4.2

Umsetzungsschritte

  • Dokumentenlenkungsprozess mit Phasen und Rollen definieren.
  • Richtlinienvorlage mit Pflichtfeldern entwickeln.
  • Versionierung und Änderungshistorie sicherstellen.
  • Archivierungsregeln für abgelöste Richtlinien festlegen.

Beispielnachweise

  • Dokumentenlenkungsprozess (Dokument)
  • Richtlinienvorlage mit Metadaten
  • Änderungshistorie je Richtlinie
  • Archivierungsnachweis

ISO/IEC 27001 Anker

A.5.1 A.5.33 A.5.34 A.5.36
DORA-POL-003 reviewed initial

Leitungsorganfreigabe für IKT-Richtlinien sicherstellen

Wesentliche IKT-Richtlinien werden durch das Leitungsorgan oder die dafür bestimmte Management-Ebene freigegeben.

Themenbereich
IKT-Richtlinien
Sollzustand
Eine Freigabematrix definiert, welche Richtlinien durch das Leitungsorgan, welche durch die Geschäftsleitung und welche durch Fachbereichsleitungen freigegeben werden. Der Freigabeprozess ist dokumentiert und nachvollziehbar.
DORA / MaRisk
DORA Art. 5 Abs. 1 (Leitungsorgan) | MaRisk AT 4.3.1 (Gesamtverantwortung)

Umsetzungsschritte

  • Freigabematrix für IKT-Richtlinien definieren.
  • Freigabeprozess mit Vorlagen und Fristen standardisieren.
  • Freigaben dokumentieren und in der Richtlinie vermerken.
  • Freigabe bei Richtlinienänderungen erneut einholen.

Beispielnachweise

  • Freigabematrix IKT-Richtlinien
  • Freigabevermerk in jeder Richtlinie
  • Sitzungsprotokolle bei Leitungsorgan-Freigabe
  • Änderungsdokumentation mit erneuter Freigabe

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.3 A.5.36
DORA-POL-004 reviewed initial

Review-Trigger für IKT-Richtlinien definieren

IKT-Richtlinien werden anlassbezogen und mindestens jährlich auf Aktualität und Angemessenheit überprüft.

Themenbereich
IKT-Richtlinien
Sollzustand
Ein dokumentierter Review-Prozess definiert verbindliche Trigger für die Überprüfung von IKT-Richtlinien: mindestens jährlich, nach wesentlichen IKT-Vorfällen, nach Resilienztests, nach Audits, nach behördlichen Hinweisen und bei wesentlichen Änderungen der Geschäftstätigkeit, Bedrohungslage oder rechtlichen Anforderungen.
DORA / MaRisk
DORA Art. 6 Abs. 5 (Review), Art. 12 (Tests) | MaRisk AT 4.4.2 (Review)

Umsetzungsschritte

  • Review-Trigger-Katalog für IKT-Richtlinien definieren.
  • Jährlichen Review-Plan für alle Richtlinien erstellen.
  • Anlassbezogene Reviews bei Trigger-Ereignissen auslösen.
  • Review-Ergebnisse dokumentieren und bei Bedarf Richtlinien anpassen.

Beispielnachweise

  • Review-Trigger-Katalog
  • Jährlicher Review-Plan
  • Durchgeführte Reviews mit Ergebnissen
  • Richtlinienänderungen aus Reviews

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.9.1 A.10.1
DORA-POL-005 reviewed initial

Kontroll- und Nachweislogik in IKT-Richtlinien integrieren

IKT-Richtlinien enthalten eine dokumentierte Kontroll- und Nachweislogik, die die Einhaltung der Richtlinienanforderungen belegbar macht.

Themenbereich
IKT-Richtlinien
Sollzustand
Jede IKT-Richtlinie enthält einen Abschnitt zur Kontroll- und Nachweislogik, der die zugehörigen Kontrollen, Nachweise, Verantwortlichkeiten und Prüffrequenzen beschreibt. Die Kontroll- und Nachweislogik ist mit dem IKT-Kontrollsystem der Plattform abgestimmt.
DORA / MaRisk
DORA Art. 8 (Schutzmassnahmen), Art. 10 (Wirksamkeit) | MaRisk AT 4.4.2 (Kontrollsystem)

Umsetzungsschritte

  • Kontroll- und Nachweisanforderungen je Richtlinie definieren.
  • Nachweisartefakte und Aufbewahrungsfristen festlegen.
  • Verknüpfung mit dem plattformweiten Evidenzmodell herstellen.
  • Kontroll- und Nachweislogik regelmässig auf Vollständigkeit prüfen.

Beispielnachweise

  • Kontroll- und Nachweislogik je Richtlinie
  • Verknüpfungstabelle Richtlinien–Kontrollen–Nachweise
  • Prüfprotokoll der Kontroll- und Nachweislogik
  • Abweichungsbericht

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.8.8 A.9.1

Hinweis

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.