DORA Übergreifend

Nachweise fuer Pruefung und Aufsicht.

Übersicht typischer Nachweisanforderungen je DORA-Themenfeld, ergänzt um kwF, regulierte Tätigkeiten, IKT-Verträge, Richtlinien und Regulatory Landscape.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

Das erweiterte Evidenzmodell umfasst Nachweise für alle DORA-Themenfelder inklusive kwF, regulierte Tätigkeiten, IKT-Verträge, IKT-Richtlinien, Drittparteienstrategie, NIS2, CRA und AI Act.
Jeder Nachweis ist mit Verantwortlichen, Review-Zyklen und ISO-Control-Ankern versehen.
Die Nachweislogik ist auf Prüfbarkeit und Management-Entscheidungen ausgerichtet.

Evidenzübersicht

47 Nachweise in 11 Kategorien.

IKT-Drittparteien-Nachweise

12 Nachweise

EVD-TPR-001 reviewed

IKT-Dienstleisterinventar

Vollständiges, aktuelles Verzeichnis aller IKT-Drittdienstleister mit Verträgen, Leistungsbeschreibungen, Verantwortlichen, Kritikalität und Registerrelevanz.

Fachbereich / IT-Strategie · Quartalsweise · A.5.19, A.5.33

IKT-Dienstleisterinventar in aktueller Version Vertragsliste mit IKT-Bezug Dienstleistungsklassifikation

EVD-TPR-002 reviewed

Dienstleistungsklassifikation

Dokumentierte Abgrenzung und Klassifikation von IKT-Dienstleistungen gegenüber sonstigen Fremdleistungen.

Compliance / Auslagerungsmanagement · Jährlich · A.5.19, A.5.33

Abgrenzungsrichtlinie Klassifikationsmatrix je Vertrag Bewertungsprotokoll

EVD-TPR-003 reviewed

Kritikalitätsbewertung

Bewertung der Kritikalität jeder IKT-Drittdienstleistung hinsichtlich ihrer Bedeutung für kritische oder wichtige Funktionen.

Fachbereich / IT-Strategie · Jährlich · A.5.19, A.5.20

Kritikalitätsmatrix Funktionslandkarte Bewertungsprotokoll mit Begründung

EVD-TPR-004 reviewed

Vertragsprüfung

Nachweis der Prüfung von Verträgen auf DORA-Konformität, insbesondere hinsichtlich Mindestklauseln, Kontrollrechten und Exit-Bestimmungen.

Einkauf / Rechtsabteilung · Bei Vertragsabschluss und -änderung · A.5.19, A.5.20, A.5.31

Vertragsprüf-Checkliste Prüfprotokoll Abweichungsregister

EVD-TPR-005 reviewed

DORA-Klauselmatrix

Matrix, die den Abgleich zwischen DORA-Vertragsanforderungen und den tatsächlichen Vertragsklauseln je Dienstleister dokumentiert.

Einkauf / Rechtsabteilung · Jährlich oder bei Vertragsänderung · A.5.19, A.5.20

Klauselmatrix mit DORA-Referenzen Abdeckungsgrad je Dienstleister Abweichungsanalyse

EVD-TPR-006 reviewed

Unterauftragnehmerübersicht

Verzeichnis der wesentlichen Unterauftragnehmer kritischer IKT-Drittdienstleister mit Information über Leistungsumfang und Abhängigkeiten.

Auslagerungsmanagement · Halbjährlich · A.5.19, A.5.20, A.5.21

Unterauftragnehmerverzeichnis Leistungskettendiagramm Konzentrationsrisikoanalyse

EVD-TPR-007 reviewed

Exit-Strategie

Dokumentierte Exit-Strategie für jede kritische IKT-Drittdienstleistung mit Szenarien, Abhängigkeiten, Übergangsfristen und Verantwortlichkeiten.

Fachbereich / IT-Strategie / Auslagerungsmanagement · Jährlich · A.5.19, A.5.29, A.5.30

Exit-Strategie je Dienstleistung Abhängigkeitsanalyse Gremienfreigabe

EVD-TPR-008 reviewed

Exit-Testprotokoll

Nachweis der Durchführung und Ergebnisse von Exit-Tests für kritische IKT-Drittdienstleistungen.

IT-Betrieb / BCM · Jährlich · A.5.29, A.5.30, A.8.34

Testplan Testprotokoll mit Ergebnissen Verbesserungsmassnahmen

EVD-TPR-009 reviewed

Konzentrationsrisikoanalyse

Analyse von Konzentrationsrisiken auf Dienstleister-, Branchen-, Regional- und Technologieebene.

Risikocontrolling / Auslagerungsmanagement · Jährlich · A.5.19, A.5.21, A.5.22

Konzentrationsrisikoanalyse Massnahmenplan Reporting an das Leitungsorgan

EVD-TPR-010 reviewed

Dienstleister-Kontrollbericht

Bericht über die Ausübung von Kontroll- und Auditrechten bei IKT-Drittdienstleistern mit Ergebnissen und Massnahmen.

Interne Revision / Auslagerungsmanagement · Jährlich · A.5.19, A.5.20, A.9.2

Kontrollplan Auditbericht Massnahmenverfolgung

EVD-TPR-011 reviewed

Informationsregisterauszug

Aktueller Auszug aus dem Informationsregister mit allen DORA-pflichtigen Angaben zu IKT-Drittdienstleistungen.

Auslagerungsmanagement / Informationsregister-Beauftragter · Quartalsweise · A.5.33, A.5.34, A.5.36

Registerauszug Datenqualitätsbericht Abgleichprotokoll mit Quellsystemen

EVD-TPR-012 reviewed

Massnahmenverfolgung TPR

Systematische Verfolgung aller Massnahmen und Befunde aus Audits, Risikobewertungen, Vertragsprüfungen und Kontrollen im TPR-Umfeld.

Auslagerungsmanagement / Qualitätsmanagement · Monatlich · A.5.35, A.5.36, A.10.1, A.10.2

Massnahmen- und Befundtracking Review-Protokoll Eskalationsnachweise

IKT-Risikomanagement-Nachweise

15 Nachweise

EVD-IRM-001 reviewed

IKT-Risikostrategie

Vom Leitungsorgan freigegebene IKT-Risikostrategie mit Risikoappetit, Zielen, Schwellenwerten und Überwachungskennzahlen.

Leitungsorgan / Risikocontrolling · Jährlich · A.5.1, A.5.4, A.5.36

IKT-Risikostrategie (freigegeben) Risikoappetit-Erklärung Jährlicher Strategie-Review

EVD-IRM-002 reviewed

Rollen- und Verantwortungsmatrix

Verbindliche RACI-Matrix für IKT-Risikomanagement mit Zuordnung zu Fachbereichen, IT, Risikocontrolling, Informationssicherheit und Revision.

Organisation / Personalentwicklung · Jährlich · A.5.2, A.5.3, A.5.37

RACI-Matrix Stellenbeschreibungen mit IKT-Risikobezug Schulungsnachweise

EVD-IRM-003 reviewed

IKT-Risikoinventar

Vollständiges, aktuelles Verzeichnis aller identifizierten IKT-Risiken mit Risikobeschreibung, Bewertung, Verantwortlichem und Behandlungsstatus.

Risikocontrolling / IT-Sicherheit · Quartalsweise · A.5.7, A.5.8, A.8.8

IKT-Risikoinventar (aktuell) Risikoklassifikation Aktualisierungsprotokoll

EVD-IRM-004 reviewed

Schutzbedarfsfeststellung

Dokumentierte Schutzbedarfsfeststellung für alle IKT-Assets hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.

Informationssicherheit / Fachbereiche · Jährlich · A.5.9, A.5.10, A.8.1, A.8.2

Schutzbedarfsfeststellung (vollständig) Bewertungsmatrix Aktualisierungsnachweis

EVD-IRM-005 reviewed

Risikoanalysebericht

Aktueller Bericht über die systematische Analyse und Bewertung aller IKT-Risiken mit Risikomatrix und Priorisierung.

Risikocontrolling · Quartalsweise · A.5.7, A.5.8, A.8.8

Risikoanalysebericht (aktuell) Risikomatrix Priorisierungsliste

EVD-IRM-006 reviewed

Risikobehandlungsplan

Plan zur Behandlung identifizierter IKT-Risiken mit Massnahmen, Verantwortlichen, Fristen, Status und Risikoakzeptanzdokumentation.

Risikocontrolling / Fachbereiche · Quartalsweise · A.5.7, A.5.8, A.5.29, A.8.3

Risikobehandlungsplan (aktuell) Massnahmenübersicht Risikoakzeptanz mit Genehmigung

EVD-IRM-007 reviewed

Kontrollsystem-Dokumentation

Dokumentation des IKT-Kontrollsystems mit Kontrollzielen, -typen, -frequenzen, Verantwortlichen und Nachweisen.

Informationssicherheit / IT-Betrieb · Jährlich · A.5.7, A.5.8, A.8.8, A.8.15

Kontrollmatrix IKT-Risikomanagement Kontrollbeschreibungen Kontrollkalender

EVD-IRM-008 reviewed

Wirksamkeitsnachweise

Nachweise der durchgeführten Wirksamkeitsprüfungen für IKT-Kontrollen mit Ergebnissen, Abweichungen und Massnahmen.

Interne Revision / Informationssicherheit · Jährlich · A.5.35, A.5.36, A.8.8, A.9.1

Prüfplan Wirksamkeit Prüfprotokolle mit Ergebnissen Massnahmenplan bei Abweichungen

EVD-IRM-009 reviewed

Frühwarnindikatoren und Kennzahlen

Übersicht der definierten Frühwarnindikatoren (KRI) für IKT-Risiken mit aktuellen Werten, Schwellen und Trendanalyse.

Risikocontrolling · Monatlich · A.5.7, A.5.8, A.5.35, A.8.16

KRI-Übersicht mit aktuellen Werten Schwellwert-Definition Trendbericht

EVD-IRM-010 reviewed

Management-Reporting

Standardisiertes Reporting an das Management über IKT-Risikolage, Kontrollstatus, Frühwarnindikatoren und Massnahmenfortschritt.

Risikocontrolling · Quartalsweise · A.5.35, A.5.36, A.5.37

Quartalsbericht IKT-Risikomanagement Kennzahlen-Dashboard Ad-hoc-Berichte

EVD-IRM-011 reviewed

Leitungsorganbericht

Jährlicher IKT-Risikobericht an das Leitungsorgan mit Risikolage, Kontrollwirksamkeit, Reifegrad und strategischen Empfehlungen.

Risikocontrolling / Vorstand · Jährlich · A.5.1, A.5.4, A.5.36, A.5.37

IKT-Risikobericht an Leitungsorgan Sitzungsprotokoll Beschlussvorlage

EVD-IRM-012 reviewed

Eskalationsprotokoll

Dokumentierte Eskalationsfälle im IKT-Risikomanagement mit Auslöser, Eskalationsstufe, Entscheidung und Nachverfolgung.

Risikocontrolling / Fachbereiche · Monatlich · A.5.2, A.5.3, A.5.24, A.5.35

Eskalationsmatrix Dokumentierte Eskalationsfälle Massnahmenverfolgung nach Eskalation

EVD-IRM-013 reviewed

Nachweisverzeichnis und Evidenzmodell

Vollständiges Verzeichnis aller Nachweise des IKT-Risikomanagements mit Zuordnung zu Anforderungen, Verantwortlichen und Review-Zyklen.

Qualitätsmanagement / Informationssicherheit · Jährlich · A.5.33, A.5.34, A.5.35, A.5.36

Evidenzmodell IKT-Risikomanagement Nachweisverzeichnis Review-Protokoll

EVD-IRM-014 reviewed

Reifegradbewertung

Jährliche Bewertung des Reifegrads aller IKT-Risikomanagement-Dimensionen mit Ergebnissen, Vorjahresvergleich und Massnahmenplan.

Qualitätsmanagement / Risikocontrolling · Jährlich · A.5.35, A.5.36, A.10.1, A.10.2

Reifegradbewertung (aktuell) Entwicklungsreport Massnahmenplan

EVD-IRM-015 reviewed

Schulungsnachweise

Dokumentation der durchgeführten Schulungen und Sensibilisierungsmassnahmen zu IKT-Risiken mit Teilnehmernachweisen und Erfolgskontrolle.

Personalentwicklung / Informationssicherheit · Jährlich · A.5.2, A.5.3, A.6.3, A.7.2

Schulungskonzept Teilnehmerlisten und -nachweise Testergebnisse

kwF-Nachweise

5 Nachweise

EVD-KWF-001 reviewed

kwF-Methodik und Kriterienkatalog

Dokumentierte, freigegebene Methodik zur Bestimmung kritischer oder wichtiger Funktionen mit Ausfall-, Pflichtverletzungs-, Zeit- und Regulatorik-Dimensionen.

Risikocontrolling / Organisationsentwicklung · Jährlich · A.5.7, A.5.8, A.5.9, A.5.36

kwF-Methodik-Dokument Kriterienkatalog Entscheidungslogik

EVD-KWF-002 reviewed

Prozesslandkarte mit kwF-Bewertung

Vollständige Prozesslandkarte mit Zuordnung regulierter Tätigkeiten, IKT-Abhängigkeiten und kwF-Bewertung je Prozess.

Organisationsentwicklung / Fachbereiche · Jährlich · A.5.7, A.5.9, A.5.10, A.8.1

Prozesslandkarte Bewertungsmatrix kwF je Prozess IKT-Abhängigkeitsanalyse

EVD-KWF-003 reviewed

Ausfallszenario-Analyse

Bewertung von Ausfallszenarien für identifizierte kwF mit MTPD, RTO/RPO und finanzieller Auswirkungsanalyse.

Risikocontrolling / BCM · Jährlich · A.5.7, A.5.29, A.5.30, A.8.34

Ausfallszenario-Analyse MTPD/RTO/RPO-Definitionen Finanzielle Auswirkungsanalyse

EVD-KWF-004 reviewed

Pflichtverletzungsszenario-Analyse

Bewertung von Pflichtverletzungsszenarien für identifizierte kwF mit regulatorischen Konsequenzen und aufsichtlichen Auswirkungen.

Compliance / Risikocontrolling · Jährlich · A.5.7, A.5.8, A.5.36, A.6.1

Pflichtverletzungsszenario-Analyse Regulatorische Pflichtenübersicht Aufsichtsrechtliche Konsequenzenanalyse

EVD-KWF-005 reviewed

kwF-Entscheidungen und Managementfreigabe

Dokumentierte kwF-Einstufungen mit Kriterienanwendung, Entscheidungsbegründung und Managementfreigabe.

Leitungsorgan / Risikocontrolling · Jährlich · A.5.1, A.5.2, A.5.3, A.5.36

kwF-Entscheidungsvorlage Managementfreigabe je kwF Änderungsdokumentation

Regulierte Tätigkeiten-Nachweise

2 Nachweise

EVD-RTA-001 reviewed

Tätigkeiteninventar

Vollständiges Inventar aller regulierten Tätigkeiten mit nationalen und europäischen Begrifflichkeiten und EBA-Identifikatoren.

Compliance / Rechtsabteilung · Halbjährlich · A.5.7, A.5.9, A.5.33

Tätigkeiteninventar Mapping national/europäisch EBA-Identifier-Liste

EVD-RTA-002 reviewed

Registerdatenqualität regulierte Tätigkeiten

Nachweis der Datenqualität für regulierte Tätigkeiten im Informationsregister mit Fehlerprotokoll und Korrekturmassnahmen.

Informationsregister-Beauftragter · Quartalsweise · A.5.33, A.5.34, A.5.35, A.5.36

Datenqualitätsbericht Fehlerprotokoll Korrekturnachweise

Informationsregister-Nachweise

2 Nachweise

EVD-IRG-001 reviewed

IKT-Dienstleistungsregister mit Tätigkeitszuordnung

Vollständiges Informationsregister mit Zuordnung von IKT-Dienstleistungen zu regulierten Tätigkeiten und EBA-Identifikatoren.

Auslagerungsmanagement / Informationsregister-Beauftragter · Quartalsweise · A.5.33, A.5.34, A.5.36

Informationsregisterauszug Tätigkeitszuordnungstabelle EBA-Identifier-Verknüpfung

EVD-IRG-002 reviewed

Registerdatenqualitätsbericht

Bericht über Vollständigkeit, Korrektheit und Aktualität der Informationsregisterdaten mit Fehlerprotokoll.

Informationsregister-Beauftragter · Quartalsweise · A.5.34, A.5.35, A.5.36

Datenqualitätsbericht Fehlerprotokoll Korrekturmassnahmen

IKT-Vertragsnachweise

3 Nachweise

EVD-CON-001 reviewed

Vertragsklassifikation

Klassifizierte Übersicht aller IKT-Verträge nach Baseline, kontrollrelevant, kwF-relevant und strategisch kritisch.

Einkauf / Rechtsabteilung · Jährlich · A.5.19, A.5.20, A.5.33

Klassifikationsmatrix Klassifizierte Vertragsliste Klassifikationsrichtlinie

EVD-CON-002 reviewed

Vertragsprüfdokumentation

Nachweis der Prüfung von IKT-Verträgen auf Vollständigkeit der Mindestinhalte nach DORA und institutsspezifischen Anforderungen.

Einkauf / Rechtsabteilung · Bei Vertragsabschluss und -änderung · A.5.19, A.5.20, A.5.31

Vertragsprüf-Checkliste Prüfprotokoll Abweichungsregister

EVD-CON-003 reviewed

Unterauftragnehmerverzeichnis

Verzeichnis der wesentlichen Unterauftragnehmer mit Leistungsumfang und Konzentrationsrisikoanalyse.

Auslagerungsmanagement · Halbjährlich · A.5.19, A.5.20, A.5.21, A.5.22

Unterauftragnehmerverzeichnis Leistungskettendiagramm Konzentrationsrisikoanalyse

IKT-Richtliniennachweise

2 Nachweise

EVD-POL-001 reviewed

Richtlinieninventar

Vollständiges Inventar aller IKT-Richtlinien mit Version, Freigabe, Geltungsbereich und Review-Zyklus.

Informationssicherheit / Governance · Quartalsweise · A.5.1, A.5.2, A.5.33, A.5.36

Richtlinieninventar (aktuell) Lückenanalyse Kategorisierungsmatrix

EVD-POL-002 reviewed

Richtlinien-Review-Dokumentation

Nachweis der durchgeführten Reviews von IKT-Richtlinien mit Ergebnissen und Änderungen.

Informationssicherheit / Fachbereiche · Jährlich · A.5.35, A.5.36, A.9.1, A.10.1

Review-Plan Review-Protokolle Richtlinienänderungen aus Reviews

Drittparteienstrategie-Nachweise

2 Nachweise

EVD-TPS-001 reviewed

IKT-Drittparteienrisikostrategie

Vom Leitungsorgan freigegebene Strategie zum IKT-Drittparteienrisiko mit strategischen Zielen, Massnahmenplan und Governance.

Leitungsorgan / Auslagerungsmanagement · Jährlich · A.5.1, A.5.4, A.5.19, A.5.36

Drittparteienrisikostrategie Strategische Ziele Massnahmenplan

EVD-TPS-002 reviewed

Multi-Vendor-Strategie und Konzentrationsrisikoanalyse

Strategische Steuerung von Multi-Vendor-Beziehungen und Analyse von Konzentrationsrisiken.

Auslagerungsmanagement / Risikocontrolling · Jährlich · A.5.19, A.5.21, A.5.22

Multi-Vendor-Strategie Konzentrationsrisikoanalyse Steuerungsmatrix

NIS2-Anschlussnachweise

1 Nachweise

EVD-NIS2-001 reviewed

NIS2-Anwendungsbereichsprüfung

Dokumentierte Prüfung des NIS2-Einrichtungsstatus mit Begründung und DORA-Ausnahmeprüfung.

Compliance / Informationssicherheit · Jährlich · A.5.1, A.5.2, A.5.36

Anwendungsbereichsprüfung Einrichtungsstatus-Begründung DORA-Ausnahmeprüfung

CRA-Anschlussnachweise

1 Nachweise

EVD-CRA-001 reviewed

CRA-Produktinventar und Anwendungsbereichsprüfung

Inventar von IKT-Produkten mit digitalen Elementen und Prüfung des CRA-Anwendungsbereichs.

IT-Beschaffung / Informationssicherheit · Jährlich · A.5.19, A.5.20, A.5.21, A.8.34

CRA-Produktinventar Anwendungsbereichsprüfung Beschaffungsanforderungen

AI-Governance-Nachweise

2 Nachweise

EVD-AIA-001 reviewed

KI-Inventar

Vollständiges Inventar aller KI-Systeme mit Klassifikation nach AI-Act-Risikokategorien.

KI-Governance / Datenmanagement · Halbjährlich · A.5.7, A.5.8, A.5.9, A.5.33

KI-Inventar Klassifikationsmatrix Risikobewertung je KI-System

EVD-AIA-002 reviewed

KI-Kompetenznachweise

Dokumentation rollenbasierter KI-Kompetenzschulungen mit Teilnehmernachweisen.

Personalentwicklung / KI-Governance · Jährlich · A.5.2, A.5.3, A.6.3, A.7.2

KI-Kompetenzrahmen Schulungsprogramm Teilnehmernachweise

Typische Lücken

Unklare Ownership zwischen IT, ISMS, Einkauf und Compliance.
Uneinheitliche Datenstaende in Richtlinien, Registern und Nachweisen.
Fehlende End-to-End-Nachweise fuer Wirksamkeit und Managemententscheidungen.
Nachweise nicht durchgehend mit ISO-Control-Ankern verknüpft.

ISO 27001 Verbindung

A.5 Informationssicherheitsrichtlinien und Governance
A.5.19 bis A.5.23 Lieferantenbeziehungen
A.5.24 bis A.5.27 Incident- und Continuity-Prozesse
A.5.33 bis A.5.37 Dokumentation und Reporting
A.7 Personalkontrollen und Schulung
A.8 Technologische Kontrollen
A.9.1 Interne Audit
A.10 Kontinuierliche Verbesserung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA — Themenuebersicht Stand: Abruf 2026-05-07
ISO/IEC 27001:2022 Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.