DORA-Sollmaßnahmenkatalog

Umsetzungsschritte

• Resilienzstrategie als festen Tagesordnungspunkt im Leitungsorgan verankern.
• Jahresziele mit Risikoindikatoren und Budgetpositionen verknüpfen.
• Quartalsweise Zielerreichung inklusive Abweichungsbehandlung berichten.

Beispielnachweise

• Beschlussprotokoll des Leitungsorgans mit Zielkatalog.
• Budgetfreigabe mit Zuordnung zu Resilienzinitiativen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• RACI-Matrix für Business, IT, Compliance und Revision erstellen.
• Eskalationsschwellen und Entscheidungswege je Kontrollprozess festlegen.
• Rollenmodell in Richtlinie und Schulung verbindlich machen.

Beispielnachweise

• Freigegebene RACI-Matrix mit Versionshistorie.
• Schulungsnachweise für Rolleninhaber.

ISO/IEC 27001 Anker

Umsetzungsschritte

• KRI-Katalog mit Ampellogik und Datenquellen definieren.
• Datenqualitätsprüfung für Kennzahlen automatisieren.
• Management-Deck mit Risiken, Ursachen und Gegenmaßnahmen standardisieren.

Beispielnachweise

• Monatsreport mit KRI-Entwicklung.
• Nachweis über Schwellwertverletzungen und Eskalationen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kompetenzlueckenanalyse für relevante Rollen durchführen.
• Pflichttrainings mit Fallbeispielen aus dem Institut aufsetzen.
• Wirksamkeit per Wissenscheck und Entscheidungsqualitaet nachhalten.

Beispielnachweise

• Trainingsplan mit Teilnahmequote.
• Auswertung der Kompetenzchecks je Rolle.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikokategorien für Verfügbarkeit, Integrität, Vertraulichkeit und Lieferketten definieren.
• Einheitliche Bewertungsskala für Eintritt, Auswirkung und Restrestrisiko festlegen.
• Taxonomie in Risiko-Tool und Kontrollprozesse integrieren.

Beispielnachweise

• Freigegebene Risikotaxonomie mit Definitionen.
• Beispielbewertung inkl. Begruendung je Kategorie.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kritische Services mit maximaler tolerierbarer Ausfallzeit bestimmen.
• Abhängigkeiten zu Anwendungen, Daten und Providern erfassen.
• Maßnahmen nach Risikoauswirkung priorisieren und terminieren.

Beispielnachweise

• Servicekritikalitaetsliste mit Schwellenwerten.
• Maßnahmenbacklog mit Priorität und Verantwortlichen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Top-Kontrollen je Risiko mit erwarteter Wirkung definieren.
• Regeltest mit klaren Pass/Fail-Kriterien einführen.
• Defizite in einen verbindlichen Verbesserungsprozess überfuehren.

Beispielnachweise

• Kontrollkatalog mit Wirksamkeitskennzahl.
• Abweichungsprotokoll mit Korrekturmaßnahmen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Triggerkriterien für risikorelevante Changes definieren.
• Risikoprüfung als Pflichtschritt im Freigabeworkflow hinterlegen.
• Post-Implementation-Review mit Soll-Ist-Abgleich durchführen.

Beispielnachweise

• Change-Tickets mit Risiko-Checkliste.
• Freigabeprotokolle inklusive Restrestrisiko.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Systemklassen und zugehoerige Hardening-Standards definieren.
• Automatisierte Baseline-Prüfung in den Betriebsprozess integrieren.
• Ausnahmen zeitlich befristen und aktiv nachverfolgen.

Beispielnachweise

• Hardening-Standard pro Systemklasse.
• Compliance-Report mit offenen Abweichungen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Top-Risikoszenarien in überwachte Detection-Use-Cases überfuehren.
• Alarmqualitaet über False-Positive-Rate und Erkennungszeit messen.
• Use-Cases quartalsweise anhand neuer Bedrohungen aktualisieren.

Beispielnachweise

• Use-Case-Backlog mit Priorisierung.
• SOC-Kennzahlenreport zu MTTD und Alarmqualitaet.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Playbooks für Ransomware, Datenabfluss und Lieferantenausfall entwickeln.
• Freigabe durch Technik, Fachbereich und Kommunikation einholen.
• Halbjährliche Übungen mit Lessons Learned durchführen.

Beispielnachweise

• Versionierte Incident-Playbooks.
• Uebungsprotokolle mit Nachverfolgung der Findings.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Recovery-Ziele je Service verbindlich festlegen.
• Abhängigkeiten für Daten, Infrastruktur und externe Dienste dokumentieren.
• Wiederherstellungstests nach priorisierten Szenarien durchführen.

Beispielnachweise

• Service-Recovery-Blueprints mit RTO/RPO.
• Testberichte mit Ist-Zeiten und Maßnahmenplan.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kriterien für signifkante Vorfälle und Beinahevorfälle definieren.
• Meldepflichtlogik in den Incident-Prozess integrieren.
• Eskalationszeiten je Schweregrad verbindlich machen.

Beispielnachweise

• Incident-Klassifikationsschema mit Entscheidungshilfe.
• Historie eskalierter Vorfälle.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Pflichtfelder für Incident-Tickets definieren.
• Post-Incident-Review mit Root-Cause-Methodik standardisieren.
• Abschlussfreigabe an Nachweis der Gegenmaßnahmen koppeln.

Beispielnachweise

• Abgeschlossene Incident-Tickets mit Vollständigkeitsscore.
• Root-Cause-Reports mit Verantwortlichen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Meldekalender und Trigger für Meldephaasen definieren.
• Freigabeprozess zwischen Technik, Recht und Compliance abstimmen.
• Qualitätskontrolle für meldepflichtige Inhalte einführen.

Beispielnachweise

• Meldeprozessdiagramm mit Rollen.
• Archiv fristgerechter Meldungen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Vorfallcluster nach Ursache und Wirkung analysieren.
• Top-Ursachen in ein institutweites Verbesserungsprogramm überfuehren.
• Wirksamkeit über Trend-KPI und Revisionsfeedback messen.

Beispielnachweise

• Lessons-Learned-Backlog mit Reifegradstatus.
• Trendbericht wiederkehrender Ursachen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Testinventar nach Szenario, Tiefe und Frequenz strukturieren.
• Priorisierung anhand Kritikalität, Bedrohung und Veraenderungsdynamik durchführen.
• Abweichungen und Verschiebungen mit Managementfreigabe dokumentieren.

Beispielnachweise

• Freigegebener Resilienz-Testplan.
• Priorisierungsmatrix mit Bewertungslogik.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Szenarien mit institutsspezifischen Angriffspfaden entwickeln.
• Uebungsteam und Beobachterrollen verbindlich benennen.
• Ergebnisse mit klaren Umsetzungsfristen nachverfolgen.

Beispielnachweise

• Uebungsdrehbuch und Teilnehmerliste.
• Maßnahmenprotokoll aus der Uebungsnachbereitung.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kritische Assets und Testgrenzen mit Fachbereich abstimmen.
• Rules of Engagement mit internen und externen Parteien fixieren.
• Notfallstopp und Entscheidungswege vor Teststart verifizieren.

Beispielnachweise

• TLPT-Scope-Dokument und RoE.
• Freigabeprotokoll des Steuerungsgremiums.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Findings nach Kritikalität, Aufwand und Risikoabbau priorisieren.
• Maßnahmen in Portfolio- und Budgetsteuerung übernehmen.
• Retests für kritische Findings verbindlich terminieren.

Beispielnachweise

• Finding-Register mit Status und Fristen.
• Retest-Berichte mit Closure-Entscheid.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Dienstleisterdaten aus Einkauf, IT und Fachbereich zusammenfuehren.
• Kritikalitätsmodell für Servicebeitrag und Substituierbarkeit anwenden.
• Pflegeprozess mit Fristen und Kontrollpunkten etablieren.

Beispielnachweise

• Drittparteieninventar mit Aktualisierungsdatum.
• Qualitätsreport zur Datenvollständigkeit.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Prüfbausteine je Kritikalitätsstufe definieren.
• Mindestanforderungen für Sicherheitsnachweise festlegen.
• Freigabeentscheidung mit dokumentiertem Restrestrisiko treffen.

Beispielnachweise

• Due-Diligence-Checklisten mit Bewertungsresultat.
• Freigabevermerk inkl. Risikoauflagen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Musterklauseln mit Recht, Einkauf und IT abstimmen.
• Klausel-Compliance im Vertragsprozess technisch prüfbar machen.
• Abweichungen nur mit dokumentierter Genehmigung zulassen.

Beispielnachweise

• Vertragsbausteinkatalog mit Pflichtklauseln.
• Abweichungsregister mit Freigabestatus.

ISO/IEC 27001 Anker

Umsetzungsschritte

• KPI-Set für Verfügbarkeit, Sicherheit und Eskalationen festlegen.
• Quartalsreviews mit Provider und internen Stakeholdern durchführen.
• Exit- und Substitutionsszenarien regelmäßig prüfen.

Beispielnachweise

• Provider-Scorecards mit Trendanalyse.
• Exit-Playbook mit Testhistorie.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Pflichtdatenfelder und Datenherkunft je Registerobjekt definieren.
• Datenverantwortliche in Fachbereichen verbindlich benennen.
• Abgleichregeln zwischen Quellsystemen und Register etablieren.

Beispielnachweise

• Datenmodell mit Felddefinitionen.
• Owner-Liste für Registerobjekte.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Prozessereignisse mit Register-Update-Pflichten verknüpfen.
• Pflichtkontrolle vor Vertragsfreigabe und Produktivsetzung einführen.
• SLA für Registeraktualisierung und Eskalation definieren.

Beispielnachweise

• Workflow-Regelwerk für Update-Trigger.
• SLA-Report zur Aktualisierungsfrist.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Qualitätskriterien für Vollständigkeit, Konsistenz und Plausibilität festlegen.
• Regelmaessige Datenqualitätsjobs mit Fehlerklassifikation einführen.
• Abweichungen mit Fristen an Datenowner zurückspielen.

Beispielnachweise

• Datenqualitätsdashboard für Registerobjekte.
• Fehler- und Korrekturprotokoll.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Standardexporte für wiederkehrende Aufsichtsanfragen bereitstellen.
• Freigabe- und Vier-Augen-Prinzip vor Versand implementieren.
• Versand- und Inhaltsnachweise revisionssicher archivieren.

Beispielnachweise

• Exportvorlagen mit Feldmapping.
• Archivierte Auskunftsfaelle mit Freigabevermerk.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Nachweiskategorien für Kontrollen, Tests, Vorfälle und Freigaben definieren.
• Ablageorte mit Zugriffsschutz und Aufbewahrungsfristen standardisieren.
• Verlinkung zwischen Nachweis und zugrunde liegendem Prozess sicherstellen.

Beispielnachweise

• Nachweiskatalog mit Klassifikationsregeln.
• Ablagestruktur mit Berechtigungsmatrix.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Standardtemplate für Entscheidungsprotokolle definieren.
• Verknuepfung zu Risiko, Kontrolltest und Budgetmassnahme herstellen.
• Regelmaessige Stichprobenprüfung auf Nachvollziehbarkeit durchführen.

Beispielnachweise

• Entscheidungsprotokolle mit Referenzobjekten.
• Stichprobenbericht der Quality Assurance.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Auditrelevante Themenfelder in standardisierte Evidence-Pakete überfuehren.
• Verantwortliche für jedes Paket und Vertretungen benennen.
• Halbjährliche Readiness-Checks mit Gap-Liste durchführen.

Beispielnachweise

• Evidence-Pakete pro Themenfeld.
• Readiness-Protokoll mit Maßnahmenfortschritt.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reviewkalender für alle kernrelevanten Dokumente aufsetzen.
• Änderungen mit Impact-Bewertung und Freigabeprozess koppeln.
• Überfaellige Reviews automatisiert eskalieren.

Beispielnachweise

• Reviewkalender mit Status je Dokument.
• Aenderungsnachweise mit Freigabekette.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Konzentrationsmetriken je Provider, Servicefamilie und Kritikalität definieren.
• Szenarioanalysen für Provider-Ausfall und Leistungseinschraenkung halbjährlich durchführen.
• Maßnahmenplan für Diversifizierung, Architekturhaertung und Exit-Readiness priorisieren.

Beispielnachweise

• Konzentrationsreport mit Schwellenwerten und Trendanalyse.
• Szenario- und Maßnahmenprotokolle für CTPP-Ausfaelle.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Szenario-Templates mit RTO/RPO-, Entscheidungs- und Kommunikationskriterien erweitern.
• Testdurchführung mit Business, IT, Compliance und Kommunikation gemeinsam planen.
• Findings mit Fristen und Wirksamkeitsnachtest in den Verbesserungszyklus überfuehren.

Beispielnachweise

• Testkatalog mit kombinierten Erfolgsmetriken.
• Abnahmeprotokolle und Nachtest-Nachweise zu kritischen Findings.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Inventarisierung aller kritischen Dienstleister und Bewertung der Exit-Relevanz.
• Erstellung von Exit-Plänen je Dienstleister mit Szenarien, Datenportabilität und Migrationspfaden.
• Regelmäßige Tests der Exit-Pläne durch Dry-Runs und Simulationen.
• Dokumentation der Testergebnisse und Nachbesserung identifizierter Lücken.
• Berichterstattung an das Leitungsorgan über Exit-Readiness und offene Risiken.

Beispielnachweise

• Exit-Plan-Dokumentation je kritischem Dienstleister
• Dry-Run-Protokolle und Testergebnisse
• Nachweis der Datenportabilität und Integritätstests
• Board-Beschlüsse zu Exit-Entscheidungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Analyse von Vendor-Lock-in-Risiken je kritischem Dienstleister.
• Vertragliche Sicherstellung von Datenexport, Standardschnittstellen und Übergabefristen.
• Technische Prüfung der Datenportabilität inklusive Formate, Volumen und Integrität.
• Regelmäßige Tests des Datenexports und der Datenübernahme durch Zielsysteme.

Beispielnachweise

• Vendor-Lock-in-Risikoanalyse je Dienstleister
• Vertragsklauseln zu Datenportabilität und Exit
• Datenexport-Testprotokolle
• Datenintegritätsnachweise

ISO/IEC 27001 Anker

Umsetzungsschritte

• Datenquellen für Dienstleister, Verträge und IKT-Dienstleistungen identifizieren.
• IKT-Dienstleistungen von sonstigen Leistungen abgrenzen.
• Verantwortliche Rollen für Datenpflege und Review festlegen.
• Kritikalität, Funktionsbezug und Registerrelevanz ergänzen.
• Regelmässigen Abgleich mit Vertragsbestand und Informationsregister etablieren.

Beispielnachweise

• IKT-Dienstleisterinventar (vollständig)
• Vertragsliste mit IKT-Bezug
• Dienstleistungsklassifikation
• Datenqualitätsbericht
• Review-Protokoll
• Informationsregisterauszug

ISO/IEC 27001 Anker

Umsetzungsschritte

• Abgrenzungskriterien basierend auf DORA-Definitionen (Art. 3) entwickeln.
• Richtlinie zur Abgrenzung von IKT-Dienstleistungen verabschieden.
• Bestandsverträge auf IKT-Dienstleistungscharakter prüfen.
• Neubewertung bei wesentlichen Vertragsänderungen institutionalisieren.

Beispielnachweise

• Abgrenzungsrichtlinie für IKT-Dienstleistungen
• Bewertungsmatrix je Vertrag
• Protokoll der Bestandsprüfung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kriterien für kritische oder wichtige Funktionen institutsspezifisch definieren.
• IKT-Dienstleistungen den Funktionen zuordnen.
• Kritikalitätsbewertung dokumentieren und regelmässig aktualisieren.
• Verstärkte Anforderungen für kritische Funktionen umsetzen.

Beispielnachweise

• Funktionslandkarte mit IKT-Dienstleistungszuordnung
• Kritikalitätsbewertung je Dienstleistung
• Übersicht der kritischen IKT-Drittdienstleistungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikobewertungsmatrix für IKT-Drittdienstleister entwickeln.
• Bewertung vor Vertragsabschluss (Due Diligence) durchführen.
• Laufende Risikobewertung mindestens jährlich wiederholen.
• Ergebnisse mit Maßnahmen und Fristen dokumentieren.

Beispielnachweise

• Risikobewertungsmatrix je Dienstleister
• Due-Diligence-Bericht
• Jährliche Risikobewertung mit Aktualisierung
• Maßnahmenübersicht aus Risikobewertungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• DORA-Mindestklauselkatalog aus Art. 28 Abs. 2 ableiten.
• Vertragsprüfprozess mit Checkliste und Freigabestufen etablieren.
• Bestandsverträge auf Klausellücken prüfen und nachbessern.
• Abweichungen dokumentieren und managementseitig freigeben.

Beispielnachweise

• Klauselkatalog mit DORA-Mindestanforderungen
• Vertragsprüf-Checkliste
• Abweichungsregister mit Freigabevermerk
• Nachgebesserte Verträge

ISO/IEC 27001 Anker

Umsetzungsschritte

• Audit-, Kontroll- und Zugangsrechte als Pflichtklauseln definieren.
• Ausübungskonzept für Kontrollrechte (Häufigkeit, Umfang, Eskalation) erstellen.
• Kontrollrechte regelmässig ausüben und Ergebnisse dokumentieren.
• Verweigerung von Kontrollrechten als Risikoindikator eskalieren.

Beispielnachweise

• Vertragsklauseln zu Audit- und Kontrollrechten
• Jährlicher Kontrollplan
• Durchgeführte Audits und Prüfberichte
• Eskalationsvermerk bei verweigerten Rechten

ISO/IEC 27001 Anker

Umsetzungsschritte

• Vertragliche Verpflichtung zur Offenlegung von Unterauftragnehmern aufnehmen.
• Leistungsketten für kritische IKT-Dienstleistungen erfassen.
• Unterauftragnehmer auf Konzentrationsrisiken prüfen.
• Änderungen im Unterauftragnehmerverhältnis meldepflichtig machen.

Beispielnachweise

• Leistungskettenübersicht je kritischer Dienstleistung
• Vertragsklauseln zu Unterauftragnehmern
• Konzentrationsrisikoanalyse
• Änderungsmeldungen und Freigaben

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kritische oder wichtige IKT-Drittdienstleistungen identifizieren.
• Exit-Szenarien und Auslöser definieren.
• Technische, vertragliche und operative Abhängigkeiten dokumentieren.
• Ersatz- oder Übergangsoptionen bewerten.
• Exit-Strategien regelmässig prüfen und, wenn angemessen, testen.
• Ergebnisse und offene Risiken managementfähig berichten.

Beispielnachweise

• Exit-Strategie je kritischer Dienstleistung
• Exit-Testprotokoll
• Abhängigkeitsanalyse
• Gremienfreigabe
• Maßnahmenverfolgung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Test-Szenarien für Exit-Fälle definieren (Datenrückgabe, Migration, Löschung).
• Jährlichen Testplan für Exit-Übungen erstellen.
• Testergebnisse dokumentieren und Verbesserungen ableiten.
• Nicht bestandene Tests mit Maßnahmen und Fristen versehen.

Beispielnachweise

• Exit-Testplan für das laufende Jahr
• Durchgeführte Exit-Tests mit Ergebnissen
• Verbesserungsmaßnahmen aus Tests
• Management-Freigabe der Testergebnisse

ISO/IEC 27001 Anker

Umsetzungsschritte

• Konzentrationsdimensionen definieren (Dienstleister, Region, Technologie, Branche).
• Konzentrationsrisikoanalyse mindestens jährlich durchführen.
• Kritische Konzentrationen mit Maßnahmenplänen versehen.
• Ergebnisse in das gesamtinstitutische Risikomanagement einsteuern.

Beispielnachweise

• Konzentrationsrisikoanalyse (aktuell)
• Maßnahmenplan für identifizierte Konzentrationsrisiken
• Reporting an das Leitungsorgan
• Monitoring kritischer Konzentrationen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Überwachungskennzahlen je Dienstleister (Verfügbarkeit, Sicherheitsvorfälle, SLA-Einhaltung) definieren.
• Regelmässige Leistungs- und Risikoberichte von Dienstleistern einfordern.
• Abweichungen systematisch erfassen, eskalieren und nachverfolgen.
• Steuerungsgespräche mit kritischen Dienstleistern institutionalisieren.

Beispielnachweise

• Überwachungskonzept mit Kennzahlen
• Dienstleister-Scorecards mit Trend
• Abweichungsprotokoll mit Eskalation
• Steuerungsgesprächsprotokolle

ISO/IEC 27001 Anker

Umsetzungsschritte

• Registerdatenmodell mit allen DORA-Pflichtfeldern definieren.
• Datenquellen mit automatisierten Schnittstellen anbinden.
• Datenqualitätsregeln und Korrekturprozesse etablieren.
• Register periodisch auf Vollständigkeit und Aktualität prüfen.

Beispielnachweise

• Informationsregisterauszug (vollständig)
• Datenqualitätsbericht
• Schnittstellendokumentation
• Review-Protokoll der Registerdaten

ISO/IEC 27001 Anker

Umsetzungsschritte

• Meldepflichten und -fristen für Sicherheitsvorfälle vertraglich regeln.
• Kommunikationsschnittstellen und Ansprechpartner benennen.
• Eingehende Dienstleister-Meldungen in den Incident-Prozess integrieren.
• Regelmässige Kommunikationsübungen mit kritischen Dienstleistern durchführen.

Beispielnachweise

• Vertragsklauseln zu Meldefristen
• Kommunikationsmatrix je Dienstleister
• Eingegangene Meldungen und Bearbeitungsnachweise
• Übungsprotokolle zur Incident-Kommunikation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reporting-Kennzahlen für IKT-Drittparteienrisiko definieren.
• Standardisiertes Reporting-Template entwickeln.
• Reporting-Rhythmus (quartalsweise) und Eskalationsschwellen festlegen.
• Reporting mit dem gesamtinstitutischen Risikobericht abstimmen.

Beispielnachweise

• Quarterly TPR-Report an das Leitungsorgan
• Kennzahlen-Dashboard (Dienstleister, Risiken, Maßnahmen)
• Eskalationsnachweise bei Schwellwertverletzungen
• Sitzungsprotokolle mit TPR-Tagesordnungspunkt

ISO/IEC 27001 Anker

Umsetzungsschritte

• Maßnahmenkategorien für TPR-spezifische Befunde definieren.
• Tracking-System mit Fristen, Verantwortlichen und Status aufsetzen.
• Regelmässige Review-Termine zur Maßnahmenverfolgung institutionalisieren.
• Überfällige Maßnahmen eskalieren und managementseitig nachsteuern.

Beispielnachweise

• Maßnahmen- und Befundtracking (aktuell)
• Review-Protokolle mit Status je Massnahme
• Eskalationsnachweise bei überfälligen Maßnahmen
• Wirksamkeitsnachweise abgeschlossener Maßnahmen

ISO/IEC 27001 Anker

Umsetzungsschritte

• IST-Governance für IKT-Risikomanagement aufnehmen und gegen DORA-Anforderungen mappen.
• Governance-Rahmen mit Leitungsorgan-Verantwortung, Ausschüssen, Rollen und Entscheidungswegen entwerfen.
• Eskalationsschwellen für IKT-Risiken in Zusammenarbeit mit Risikocontrolling festlegen.
• Rahmen durch Leitungsorgan freigeben und in der Organisation kommunizieren.
• Jährlichen Review-Prozess für den Governance-Rahmen institutionalisieren.

Beispielnachweise

• Freigegebener Governance-Rahmen (aktuell)
• Gremienbeschluss zur Verabschiedung
• Eskalationsmatrix für IKT-Risiken
• Review-Protokoll mit Änderungshistorie

ISO/IEC 27001 Anker

Umsetzungsschritte

• RACI-Matrix für IKT-Risikomanagement mit Fachbereichen, IT, Risikocontrolling, Informationssicherheit und Revision erstellen.
• Stellvertretungsregelungen für jede Schlüsselrolle festlegen.
• Rollen in Stellenbeschreibungen und Zielvereinbarungen integrieren.
• Rollenverständnis durch Schulungen und Kommunikation sicherstellen.

Beispielnachweise

• Rollen- und Verantwortungsmatrix (RACI)
• Stellenbeschreibungen mit IKT-Risikobezug
• Schulungsnachweise für Rolleninhaber
• Review-Protokoll der Rollenverteilung

ISO/IEC 27001 Anker

Umsetzungsschritte

• IKT-Risikoappetit aus gesamtnstitutischem Risikoappetit ableiten und operationalisieren.
• IKT-Risikostrategie mit Zielen, Schwellenwerten und Überwachungskennzahlen formulieren.
• Strategie durch Leitungsorgan freigeben und jährlich überprüfen.
• Abweichungen von der Strategie als Eskalationsereignis definieren.

Beispielnachweise

• Freigegebene IKT-Risikostrategie (aktuell)
• Risikoappetit-Erklärung mit Schwellenwerten
• Jährlicher Strategie-Review mit Beschluss
• Abweichungsbericht bei Strategieverletzung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikokategorien für IKT-Risiken definieren (strategisch, operativ, Compliance, Reputation).
• Risikoinventar-Vorlage mit Pflichtfeldern entwickeln.
• Ersterfassung durch Fachbereiche, IT und Informationssicherheit durchführen.
• Regelmässige Aktualisierung (quartalsweise) und Konsolidierung institutionalisieren.
• Inventar mit Kontrollsystem und Maßnahmentracking verknüpfen.

Beispielnachweise

• IKT-Risikoinventar (vollständig, aktuell)
• Risikoklassifikation und -kategorien
• Aktualisierungsprotokolle je Quartal
• Abgleich mit Kontroll- und Maßnahmensystem

ISO/IEC 27001 Anker

Umsetzungsschritte

• Schutzbedarfskategorien (normal, hoch, sehr hoch) für Vertraulichkeit, Integrität und Verfügbarkeit definieren.
• Bewertungsmatrix mit Kriterien je Kategorie entwickeln.
• IKT-Assets identifizieren und Schutzbedarf je Asset bestimmen.
• Ergebnisse dokumentieren und regelmässig (mindestens jährlich) aktualisieren.

Beispielnachweise

• Schutzbedarfsfeststellung für alle IKT-Assets
• Bewertungsmatrix und Kriterienkatalog
• Aktualisierungsprotokoll
• Abweichungsanalyse bei geändertem Schutzbedarf

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikoanalyse-Methodik (quantitativ/qualitativ) institutsspezifisch festlegen.
• Risikomatrix mit Eintrittswahrscheinlichkeit, Schadenshöhe und Risikoklassen definieren.
• Risikoanalyse für alle erfassten IKT-Risiken durchführen.
• Ergebnisse priorisieren und in Risikobericht aufnehmen.

Beispielnachweise

• Risikoanalysebericht (aktuell)
• Risikomatrix mit Bewertung aller IKT-Risiken
• Priorisierungsliste mit Behandlungskategorien
• Risikobericht an Leitungsorgan

ISO/IEC 27001 Anker

Umsetzungsschritte

• Behandlungsoptionen institutsweit verbindlich definieren.
• Risikobehandlungsplan mit Maßnahmen, Verantwortlichen und Fristen erstellen.
• Akzeptanzkriterien und Genehmigungsstufen für Risikoakzeptanz festlegen.
• Umsetzung der Maßnahmen verfolgen und Wirksamkeit nachweisen.
• Restrisiken dokumentieren und managementseitig freigeben.

Beispielnachweise

• Risikobehandlungsplan (aktuell)
• Maßnahmenübersicht mit Status und Fristen
• Risikoakzeptanzdokumentation mit Genehmigung
• Wirksamkeitsnachweise umgesetzter Maßnahmen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kontrollziele aus IKT-Risikoinventar und Schutzbedarf ableiten.
• Kontrolltypen (präventiv/detektiv/korrektiv) und -frequenzen festlegen.
• Kontrollen in Verantwortung der Fachbereiche, IT und Informationssicherheit betreiben.
• Kontrollergebnisse dokumentieren und bei Abweichungen Maßnahmen einleiten.

Beispielnachweise

• Kontrollsystem-Dokumentation mit Kontrollmatrix
• Durchgeführte Kontrollen mit Ergebnissen
• Abweichungsberichte und Maßnahmen
• Kontroll-Review-Protokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Prüfmethodik für Design-Wirksamkeit und operative Wirksamkeit festlegen.
• Prüfplan mit Priorisierung (risikobasiert) und Frequenzen erstellen.
• Wirksamkeitsprüfungen durchführen und Ergebnisse dokumentieren.
• Maßnahmen bei nicht wirksamen Kontrollen ableiten und nachverfolgen.

Beispielnachweise

• Prüfplan für Wirksamkeitsnachweise (jährlich)
• Durchgeführte Wirksamkeitsprüfungen mit Ergebnissen
• Maßnahmenplan bei nicht wirksamen Kontrollen
• Management-Freigabe der Prüfergebnisse

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kriterien für kritische IKT-Dienstleistungen definieren.
• IKT-Dienstleistungen identifizieren und Kritikalität bewerten.
• Schutzbedarf je kritischer Dienstleistung feststellen.
• Ergebnisse mit IKT-Risikoinventar und Kontrollsystem verknüpfen.

Beispielnachweise

• Kriterienkatalog für kritische IKT-Dienstleistungen
• Bewertung der Kritikalität je Dienstleistung
• Schutzbedarfsfeststellung für kritische Dienstleistungen
• Verknüpfung mit Risikoinventar und Kontrollen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Frühwarnindikatoren für IKT-Risiken identifizieren und definieren.
• Schwellenwerte (Grün/Gelb/Rot) für jeden Indikator festlegen.
• Automatisierte Datenerhebung und Berichterstattung aufbauen.
• Regelmässige Überprüfung der Indikatoren auf Aussagekraft und Aktualität.

Beispielnachweise

• Frühwarnindikatoren-Übersicht mit aktuellen Werten
• Schwellwert-Definition und Eskalationsregeln
• Monitoring-Bericht mit Trendanalyse
• Eskalationsnachweise bei Schwellwertverletzung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reporting-Kennzahlen und Berichtsvorlage für IKT-Risiken definieren.
• Berichtsrhythmus (quartalsweise) und Ad-hoc-Berichtsanlässe festlegen.
• Reporting in das gesamtinstitutische Risikoberichtswesen integrieren.
• Reporting regelmässig auf Aussagekraft und Entscheidungsrelevanz prüfen.

Beispielnachweise

• Quartalsbericht IKT-Risikomanagement
• Kennzahlen-Dashboard (Risiken, Kontrollen, Maßnahmen)
• Ad-hoc-Bericht bei wesentlicher Veränderung
• Review-Protokoll zur Reporting-Qualität

ISO/IEC 27001 Anker

Umsetzungsschritte

• Berichtsanforderungen des Leitungsorgans für IKT-Risiken erheben.
• Jährlichen IKT-Risikobericht mit Standardvorlage erstellen.
• Berichtstermin mit Jahresplanung des Leitungsorgans abstimmen.
• Berichtsergebnisse in strategische Planung und Budgetierung einsteuern.

Beispielnachweise

• IKT-Risikobericht an Leitungsorgan (jährlich)
• Sitzungsprotokoll mit Behandlung des Berichts
• Beschlussvorlage mit Maßnahmen
• Nachverfolgung der Beschlüsse

ISO/IEC 27001 Anker

Umsetzungsschritte

• Eskalationsauslöser (Schwellenwerte, Fristen, Risikoklassen) definieren.
• Eskalationsstufen und Entscheidungsbefugnisse je Stufe festlegen.
• Kommunikationswege und -formate für Eskalationen standardisieren.
• Eskalationsprozess regelmässig testen und schulen.

Beispielnachweise

• Eskalationsmatrix mit Auslösern und Stufen
• Dokumentierte Eskalationsfälle mit Verlauf
• Eskalationstest-Protokoll
• Schulungsnachweise für Eskalationsprozess

ISO/IEC 27001 Anker

Umsetzungsschritte

• Evidenzkategorien für IKT-Risikomanagement definieren.
• Nachweiszuordnung zu jeder DORA-IRM-Anforderung herstellen.
• Review-Zyklen und Verantwortliche je Nachweis festlegen.
• Evidenzmodell mit Kontrollsystem und Maßnahmentracking verknüpfen.

Beispielnachweise

• Evidenzmodell IKT-Risikomanagement (vollständig)
• Nachweisverzeichnis mit Zuordnung zu Anforderungen
• Review-Protokoll der Evidenzen
• Verknüpfung mit Kontroll- und Maßnahmensystem

ISO/IEC 27001 Anker

Umsetzungsschritte

• Anforderungsmapping zwischen DORA IRM, MaRisk und ISO 27001 durchführen.
• Gemeinsame Kontrollziele und Nachweise identifizieren.
• Integrierte Berichts- und Nachweisstruktur aufbauen.
• Abweichungen und Zusatzanforderungen je Regulation dokumentieren.

Beispielnachweise

• Anforderungsmapping DORA–MaRisk–ISO 27001
• Gemeinsame Kontrollzielmatrix
• Integrierte Nachweisstruktur
• Abweichungsanalyse je Regulation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reifegrad-Dimensionen und Bewertungsstufen für IKT-Risikomanagement definieren.
• Bewertungskriterien je Dimension und Stufe festlegen.
• Jährliche Reifegradbewertung durchführen und dokumentieren.
• Ergebnisse mit Maßnahmen- und Verbesserungsplan verknüpfen.

Beispielnachweise

• Reifegradmodell IKT-Risikomanagement
• Jährliche Reifegradbewertung mit Ergebnissen
• Maßnahmenplan aus Reifegradbewertung
• Entwicklungsreport mit Vorjahresvergleich

ISO/IEC 27001 Anker

Umsetzungsschritte

• Schulungsbedarf für IKT-Risikomanagement rollenbasiert erheben.
• Schulungsprogramm mit Basisschulung (alle) und Vertiefung (Rolleninhaber) entwickeln.
• Jährlichen Schulungsplan erstellen und durchführen.
• Schulungserfolg messen und Programm kontinuierlich verbessern.

Beispielnachweise

• Schulungskonzept IKT-Risikomanagement
• Rollenbasierte Schulungsmatrix
• Teilnehmernachweise und Testergebnisse
• Jährlicher Schulungsplan mit Durchführung

ISO/IEC 27001 Anker

Umsetzungsschritte

• kwF-Kriterienkatalog mit Ausfall-, Pflichtverletzungs-, Zeit- und Regulatorik-Dimensionen entwickeln.
• Methodik mit Prozesslandkarte, Bewertungsmatrix und Entscheidungslogik dokumentieren.
• Methodik durch Leitungsorgan freigeben und kommunizieren.
• Jährlichen Review der Methodik institutionalisieren.

Beispielnachweise

• kwF-Methodik-Dokument (freigegeben)
• Kriterienkatalog mit Bewertungsmatrix
• Leitungsorgan-Beschluss zur Methodik
• Review-Protokoll der Methodik

ISO/IEC 27001 Anker

Umsetzungsschritte

• Prozesse institutsweit inventarisieren und klassifizieren.
• Regulierte Tätigkeiten den Prozessen zuordnen.
• IKT-Abhängigkeiten je Prozess dokumentieren.
• Prozesslandkarte in kwF-Bewertung integrieren.

Beispielnachweise

• Prozesslandkarte (vollständig)
• Prozess-Steckbriefe mit IKT-Abhängigkeiten
• Zuordnung regulierte Tätigkeiten
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Ausfallszenarien für identifizierte kwF definieren.
• Maximal tolerierbare Ausfallzeiten (MTPD) und Wiederherstellungsziele (RTO/RPO) festlegen.
• Auswirkungen auf finanzielle Leistungsfähigkeit und Solidität bewerten.
• Szenarioergebnisse dokumentieren und in kwF-Entscheidung einfliessen lassen.

Beispielnachweise

• Ausfallszenario-Analyse je kwF
• MTPD/RTO/RPO-Definitionen
• Finanzielle Auswirkungsanalyse
• kwF-Entscheidungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Pflichtverletzungsszenarien für identifizierte kwF definieren.
• Regulatorische Pflichten und Konsequenzen je Szenario dokumentieren.
• Auswirkungen auf Zulassung und Aufsichtspflichten bewerten.
• Szenarioergebnisse dokumentieren und in kwF-Entscheidung einfliessen lassen.

Beispielnachweise

• Pflichtverletzungsszenario-Analyse je kwF
• Regulatorische Pflichtenübersicht
• Aufsichtsrechtliche Konsequenzenanalyse
• kwF-Entscheidungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Freigabestufen für kwF-Einstufungen definieren.
• Entscheidungsvorlage mit Kriterienanwendung entwickeln.
• kwF-Entscheidungen dokumentieren und managementseitig freigeben.
• Änderungsmanagement für kwF-Einstufungen etablieren.

Beispielnachweise

• kwF-Entscheidungsvorlage mit Kriterien
• Managementfreigabe je kwF
• Änderungsdokumentation bei Reklassifikation
• Jährlicher Review der kwF-Entscheidungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Jährlichen Review-Termin für kwF-Einstufungen festlegen.
• Anlassbezogene Review-Trigger definieren.
• Review-Ergebnisse dokumentieren und bei Änderungen Managementfreigabe einholen.
• Review-Historie je kwF führen.

Beispielnachweise

• Jährlicher kwF-Review-Bericht
• Anlassbezogene Reviews mit Begründung
• Änderungshistorie je kwF
• Managementfreigabe nach Review

ISO/IEC 27001 Anker

Umsetzungsschritte

• Regulierte Tätigkeiten aus Zulassung und Geschäftsmodell identifizieren.
• Tätigkeiten mit europäischen Begrifflichkeiten und EBA-Identifikatoren abgleichen.
• Zuordnung zu kwF, IKT-Dienstleistungen und Informationsregister herstellen.
• Inventar regelmässig aktualisieren und mit Zulassungsänderungen abgleichen.

Beispielnachweise

• Tätigkeiteninventar (aktuell)
• Mapping nationale zu europäische Begrifflichkeiten
• EBA-Identifier-Liste
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Nationale Tätigkeitsbezeichnungen aus Zulassungsbescheiden erfassen.
• Europäische Begrifflichkeiten und EBA-Identifier recherchieren und zuordnen.
• Mapping-Dokumentation mit Quellen und Gültigkeitsstand erstellen.
• Aktualisierung bei regulatorischen oder geschäftlichen Änderungen sicherstellen.

Beispielnachweise

• Mapping-Dokumentation national/europäisch
• EBA-Identifier-Zuordnungstabelle
• Quellenverzeichnis für Begrifflichkeiten
• Aktualisierungsnachweise

ISO/IEC 27001 Anker

Umsetzungsschritte

• EBA-Identifier aus EBA-Register und aufsichtlichen Vorgaben ableiten.
• Identifier den regulierten Tätigkeiten zuordnen.
• Verknüpfung mit IKT-Dienstleistungen im Informationsregister herstellen.
• Datenqualität durch regelmässige Abgleiche sichern.

Beispielnachweise

• EBA-Identifier-Tabelle mit Tätigkeitszuordnung
• Verknüpfung im Informationsregister
• Datenqualitätsbericht
• Korrekturprotokoll bei Abweichungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Datenqualitätskriterien für regulierte Tätigkeiten definieren.
• Regelmässige Qualitätskontrollen (mindestens quartalsweise) durchführen.
• Fehlerprotokoll mit Korrekturmaßnahmen und Fristen führen.
• Verantwortlichkeiten für Datenpflege und Qualitätssicherung zuweisen.

Beispielnachweise

• Datenqualitätsbericht (aktuell)
• Fehlerprotokoll mit Korrekturmaßnahmen
• Kontrollplan für Registerdatenqualität
• Review-Protokoll der Datenqualität

ISO/IEC 27001 Anker

Umsetzungsschritte

• Klassifikationskriterien für IKT-Verträge entwickeln.
• Kategorien (Baseline, kontrollrelevant, kwF-relevant, strategisch kritisch) definieren.
• Bestandsverträge klassifizieren und nachkategorisieren.
• Klassifikation bei Vertragsänderungen und jährlich überprüfen.

Beispielnachweise

• Vertragsklassifikations-Richtlinie
• Klassifizierte Vertragsliste
• Überprüfungsprotokoll der Klassifikation
• Abweichungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Mindestvertragsinhalte je Klassifikationskategorie definieren.
• Vertragsprüfprozess mit Checkliste und Freigabestufen etablieren.
• Bestandsverträge auf Lücken prüfen und nachbessern.
• Abweichungen dokumentieren und managementseitig freigeben.

Beispielnachweise

• Vertragsanforderungsmatrix je Kategorie
• Prüf-Checkliste für IKT-Verträge
• Lückenanalyse Bestandsverträge
• Abweichungsregister mit Freigabe

ISO/IEC 27001 Anker

Umsetzungsschritte

• Vertragsklauseln zu Unterauftragnehmern (Offenlegung, Genehmigung, Änderung) definieren.
• Unterauftnehmerverzeichnis je kritischer IKT-Dienstleistung aufbauen.
• Regelmässige Aktualisierung und Prüfung der Unterauftragnehmerkette.
• Konzentrationsrisiken durch gemeinsame Unterauftragnehmer identifizieren.

Beispielnachweise

• Vertragsklauseln zu Unterauftragnehmern
• Unterauftragnehmerverzeichnis (aktuell)
• Genehmigungsdokumentation bei Änderungen
• Konzentrationsrisikoanalyse Unterauftragnehmer

ISO/IEC 27001 Anker

Umsetzungsschritte

• Exit-Mindestklauseln je Vertragskategorie definieren.
• Datenrückgabe-, Lösch- und Migrationsverpflichtungen vertraglich regeln.
• Übergangsfristen und Unterstützungsleistungen vereinbaren.
• Exit-Regelungen regelmässig auf Aktualität und Umsetzbarkeit prüfen.

Beispielnachweise

• Exit-Klauseln je IKT-Vertrag
• Datenrückgabe- und Löschkonzept
• Prüfprotokoll Exit-Regelungen
• Abweichungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Audit- und Kontrollrechte als Pflichtklauseln definieren.
• Ausübungskonzept für Kontrollrechte (Häufigkeit, Umfang, Eskalation) erstellen.
• Kontrollrechte regelmässig ausüben und Ergebnisse dokumentieren.
• Verweigerung von Kontrollrechten als Risikoindikator eskalieren.

Beispielnachweise

• Audit-/Kontrollrechte-Klauseln je Vertrag
• Kontrollplan für das laufende Jahr
• Durchgeführte Audits und Prüfberichte
• Eskalationsvermerk bei verweigerten Rechten

ISO/IEC 27001 Anker

Umsetzungsschritte

• Berichtsanforderungen je Vertragskategorie definieren.
• Berichtsformate, -frequenzen und -empfänger festlegen.
• Eingehende Berichte prüfen und bei Abweichungen eskalieren.
• Berichtsqualität regelmässig bewerten und nachsteuern.

Beispielnachweise

• Berichtsanforderungsmatrix je Vertrag
• Eingegangene Dienstleisterberichte
• Prüfprotokoll der Berichtsinhalte
• Eskalationsnachweise bei Berichtsmängeln

ISO/IEC 27001 Anker

Umsetzungsschritte

• Richtlinienkategorien (Sicherheit, IKT-Risiko, BCM, Auslagerungen etc.) definieren.
• Bestehende Richtlinien inventarisieren und kategorisieren.
• Richtlinienlücken gegen DORA- und MaRisk-Anforderungen identifizieren.
• Inventar regelmässig aktualisieren und mit Richtlinien-Review synchronisieren.

Beispielnachweise

• Richtlinieninventar (vollständig, aktuell)
• Lückenanalyse Richtlinien vs. DORA/MaRisk
• Kategorisierungsmatrix
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Dokumentenlenkungsprozess mit Phasen und Rollen definieren.
• Richtlinienvorlage mit Pflichtfeldern entwickeln.
• Versionierung und Änderungshistorie sicherstellen.
• Archivierungsregeln für abgelöste Richtlinien festlegen.

Beispielnachweise

• Dokumentenlenkungsprozess (Dokument)
• Richtlinienvorlage mit Metadaten
• Änderungshistorie je Richtlinie
• Archivierungsnachweis

ISO/IEC 27001 Anker

Umsetzungsschritte

• Freigabematrix für IKT-Richtlinien definieren.
• Freigabeprozess mit Vorlagen und Fristen standardisieren.
• Freigaben dokumentieren und in der Richtlinie vermerken.
• Freigabe bei Richtlinienänderungen erneut einholen.

Beispielnachweise

• Freigabematrix IKT-Richtlinien
• Freigabevermerk in jeder Richtlinie
• Sitzungsprotokolle bei Leitungsorgan-Freigabe
• Änderungsdokumentation mit erneuter Freigabe

ISO/IEC 27001 Anker

Umsetzungsschritte

• Review-Trigger-Katalog für IKT-Richtlinien definieren.
• Jährlichen Review-Plan für alle Richtlinien erstellen.
• Anlassbezogene Reviews bei Trigger-Ereignissen auslösen.
• Review-Ergebnisse dokumentieren und bei Bedarf Richtlinien anpassen.

Beispielnachweise

• Review-Trigger-Katalog
• Jährlicher Review-Plan
• Durchgeführte Reviews mit Ergebnissen
• Richtlinienänderungen aus Reviews

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kontroll- und Nachweisanforderungen je Richtlinie definieren.
• Nachweisartefakte und Aufbewahrungsfristen festlegen.
• Verknüpfung mit dem plattformweiten Evidenzmodell herstellen.
• Kontroll- und Nachweislogik regelmässig auf Vollständigkeit prüfen.

Beispielnachweise

• Kontroll- und Nachweislogik je Richtlinie
• Verknüpfungstabelle Richtlinien–Kontrollen–Nachweise
• Prüfprotokoll der Kontroll- und Nachweislogik
• Abweichungsbericht

ISO/IEC 27001 Anker

Umsetzungsschritte

• NIS2-Kriterien für besonders wichtige und wichtige Einrichtungen prüfen.
• DORA-Ausnahmeregelung und deren Voraussetzungen dokumentieren.
• Einrichtungsstatus institutsspezifisch bestimmen und begründen.
• Prüfung jährlich und bei wesentlichen Änderungen wiederholen.

Beispielnachweise

• NIS2-Anwendungsbereichsprüfung (dokumentiert)
• Einrichtungsstatus-Begründung
• DORA-Ausnahmeprüfung
• Jährliches Review der Einstufung

ISO/IEC 27001 Anker

Umsetzungsschritte

• IKT-Produkte mit digitalen Elementen inventarisieren.
• CRA-Anwendungsbereich je Produkt prüfen.
• Hersteller-/Lieferantenpflichten in Beschaffungsanforderungen übersetzen.
• Schwachstellenmanagement und Security-Updates in Verträgen adressieren.

Beispielnachweise

• CRA-Produktinventar
• Anwendungsbereichsprüfung je Produkt
• Beschaffungsanforderungen mit CRA-Bezug
• Vertragsklauseln zu Updates und Schwachstellen

ISO/IEC 27001 Anker

Umsetzungsschritte

• KI-Systeme institutsweit identifizieren und erfassen.
• Klassifikation nach AI-Act-Risikokategorien durchführen.
• Verantwortlichkeiten für KI-Governance zuweisen.
• Inventar regelmässig aktualisieren und mit Änderungsmanagement verbinden.

Beispielnachweise

• KI-Inventar (vollständig, aktuell)
• Klassifikationsmatrix nach AI-Act-Kategorien
• Verantwortungsmatrix KI-Governance
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• KI-Kompetenzbedarf rollenbasiert erheben.
• Schulungsprogramm mit Basis- und Vertiefungsmodulen entwickeln.
• Schulungen durchführen und Teilnahme dokumentieren.
• KI-Kompetenz regelmässig auf Aktualität prüfen und Programm anpassen.

Beispielnachweise

• KI-Kompetenzrahmen mit Rollenzuordnung
• Schulungsprogramm und -materialien
• Teilnehmernachweise
• Kompetenzbewertung und -entwicklung

ISO/IEC 27001 Anker

Umsetzungsschritte

• IST-Stand zur OSS-Nutzung und Lizenzierung erheben.
• Richtlinienentwurf mit Geltungsbereich, Lizenzmatrix, Genehmigungsprozess und Rollen erstellen.
• Richtlinie durch Management freigeben und an alle relevanten Stellen kommunizieren.
• Jährlichen Review-Prozess institutionalisieren.

Beispielnachweise

• Freigegebene Open-Source-Richtlinie (aktuell)
• Lizenz-Compliance-Matrix
• Kommunikationsnachweis an Mitarbeitende und Lieferanten
• Review-Protokoll mit Änderungshistorie

ISO/IEC 27001 Anker

Umsetzungsschritte

• SBOM-Werkzeuge (SPDX/CycloneDX) in der Build-Pipeline evaluieren und integrieren.
• SBOM-Format und Pflichtfelder institutsspezifisch definieren.
• Automatisierte SBOM-Erzeugung für alle relevanten Anwendungen einrichten.
• SBOM-Versionierung und Archivierung je Release konfigurieren.
• SBOM-Daten mit Schwachstellendatenbanken koppeln.

Beispielnachweise

• SBOM-Generator-Konfiguration in CI/CD
• Ausgelieferte SBOM je Release (SPDX/CycloneDX)
• Archivierungsnachweis (Versionshistorie)
• Integrationstest Schwachstellenabgleich

ISO/IEC 27001 Anker

Umsetzungsschritte

• Komponenteninventar-Datenmodell mit Pflichtfeldern definieren.
• Erstinventur aller OSS-Komponenten aus SBOMs und manueller Erfassung durchführen.
• Inventar mit Informationsregister, IKT-Assets und Anwendungen verknüpfen.
• Regelmäßige Aktualisierung bei neuen Releases oder Änderungen etablieren.

Beispielnachweise

• OSS-Komponenteninventar (vollständig, aktuell)
• Datenmodell-Dokumentation
• Verknüpfungsnachweis mit Informationsregister
• Änderungsprotokoll je Komponente

ISO/IEC 27001 Anker

Umsetzungsschritte

• SBOM-Daten automatisiert gegen NVD, OSV und GitHub Advisory abgleichen.
• CVSS-basierte Bewertung mit Geschäftsrelevanz und kwF-Bezug etablieren.
• Human Gates für Risikoakzeptanz, Patch-Ausnahmen und Lieferanteneskalation definieren.
• Reporting-Prozess für kritische Findings aufbauen.

Beispielnachweise

• Schwachstellenbericht (monatlich)
• CVSS-Bewertung mit Triage-Entscheidung
• Human-Gate-Dokumentation für Akzeptanzen
• Management-Reporting zu OSS-Schwachstellen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Patch-SLA nach Kritikalität (Critical: 30d, High: 90d, Medium: 180d) festlegen.
• Entscheidungsmatrix mit fünf Optionen (Patch, Upgrade, Compensating Control, Risk Acceptance, Supplier Escalation) etablieren.
• Ausnahmeentscheidungen im Decision Log mit Begründung und Befristung dokumentieren.
• Kompensierende Kontrollen auf Wirksamkeit prüfen.

Beispielnachweise

• Patch-Status-Übersicht (aktuell)
• Decision-Log-Einträge für Ausnahmen
• Wirksamkeitsnachweise kompensierender Kontrollen
• SLA-Erfüllungsreport

ISO/IEC 27001 Anker

Umsetzungsschritte

• Standard-Vertragsklausel für Lieferanten-SBOM entwickeln und mit Legal abstimmen.
• SBOM-Anforderungen in IKT-Verträge und Ausschreibungen integrieren.
• Lieferanten-SBOMs bei Vertragsbeginn und je Release anfordern.
• SBOM-Compliance der Lieferanten regelmäßig überprüfen und dokumentieren.

Beispielnachweise

• Standard-Vertragsklausel (freigegeben)
• Lieferanten-SBOM-Verzeichnis
• SBOM-Compliance-Bericht
• Auditnachweis für Lieferanten-OSS-Prozesse

ISO/IEC 27001 Anker

Umsetzungsschritte

• API-Endpunkte über Discovery-Tools und manuelle Erfassung inventarisieren
• Klassifizierung nach Datenart (PII, Zahlungsdaten, öffentlich) und Kritikalität durchführen
• Owner (Product Owner + Security Engineer) je API dokumentieren
• Inventar in API-Gateway/Service Catalog integrieren und quartalsweise aktualisieren

Beispielnachweise

• API-Inventar (CSV/JSON-Export mit Timestamp)
• Klassifikationsmatrix mit Kritikalitätsbewertung
• RACI je API-Endpunkt

ISO/IEC 27001 Anker

Umsetzungsschritte

• Authorization Code Grant + PKCE (Proof Key for Code Exchange) einführen
• FAPI 2.0 Security Profile (FAPI 2.0 Baseline + Advanced) evaluieren
• Client-Registrierung mit dokumentierten Redirect-URIs und Scope-Requests etablieren

Beispielnachweise

• OAuth-Client-Register (Audit-Log-fähig)
• FAPI-Konformitäts-Assessment (FAPI OP/CIBA-Test-Suite)
• Scope- und Token-Policy-Dokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Zertifikatsinventar mit Ablaufdaten, CA, Domains und Verantwortlichen führen
• TLS-Konfiguration auf mindestens TLS 1.2 festlegen (TLS 1.3 anstreben)
• Automatische Zertifikatsrotation (z. B. via cert-manager/ACME) implementieren
• Revocation-Test für jedes Zertifikat nach Deployment durchführen

Beispielnachweise

• mTLS-Zertifikatsinventar mit SHA-256-Fingerprint
• TLS-Konfigurations-Audit (SSL Labs, testssl.sh)
• Revocation-Test-Protokoll mit Datum + Ergebnis

ISO/IEC 27001 Anker