Steuerung

Reifegrad als Steuerungsinstrument.

Ein Reifegradmodell mit 8 Bewertungsdimensionen ermöglicht eine präzise Standortbestimmung und zielgerichtete Weiterentwicklung.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

Das Reifegradmodell bewertet 8 Dimensionen des IKT-Risikomanagements und der DORA-Umsetzung.
Jede Dimension durchläuft fünf Reifegradstufen von Initial bis Optimized.
Die Bewertung wird jährlich durchgeführt und mit Massnahmenplänen verbunden.
Dimensionen: Governance, IKT-Risikomanagement, IKT-Drittparteienrisiko, kwF-Methodik, Informationsregisterfähigkeit, Vertragssteuerung, Richtlinienmanagement, Drittparteienstrategie.
Reifegradstufen sind direkt mit DORA-Testanforderungen, Evidence-Anforderungen und Regulatory Radar Signalen verknüpft.
Höhere Reifegradstufen ermöglichen komplexere Testarten und häufigere Evidenzaktualisierungen.

Reifegradstufen

Initial

Defined

Implemented

Monitored

Optimized

Reifegrad-Matrix

Initial Defined Implemented Monitored Optimized

Dimension	Defined	Implemented	Monitored
Governance & Strategie		✦
IKT-Risikomanagement	✦
IKT-Drittparteienrisiko	✦
Informationsregisterfähigkeit	✦
Vertragssteuerung			✦
Richtlinienmanagement			✦

Initial

Defined

Implemented

Monitored

Optimized

Anwendung

Selbstbewertung je Dimension durchführen (aktueller vs. Zielwert).
Lücken und Handlungsbedarf identifizieren und priorisieren.
Zielwert für das nächste Geschäftsjahr definieren.
Fortschritt in Management-Reports quartalsweise berichten.
Reifegradbewertung jährlich durchführen und Massnahmen ableiten.

Typische Lücken

Unklare Ownership zwischen IT, ISMS, Einkauf und Compliance.
Uneinheitliche Datenstaende in Richtlinien, Registern und Nachweisen.
Fehlende End-to-End-Nachweise fuer Wirksamkeit und Managemententscheidungen.
Reifegradbewertung nicht mit Massnahmenplanung verknüpft.

ISO 27001 Verbindung

A.5 Informationssicherheitsrichtlinien und Governance
A.5.35 bis A.5.37 Monitoring, Reporting und Verbesserung
A.10.1 bis A.10.2 Kontinuierliche Verbesserung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA Informationen Stand: Abruf 2026-05-11
ISO/IEC 33014 Stand: Abruf 2026-05-07
DORA (EU) 2022/2554 Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.