Zum Inhalt springen
Resilience Platform Resilience Platform

Dokumentations-Gap-Checker

Überprüfen Sie den Status Ihrer DORA-Dokumentationsanforderungen

Dokumentationsquote

DORA Cross-cutting

Documentation as an Audit Foundation.

DORA requires verifiable, up-to-date, and complete documentation of all resilience measures.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • Dokumentation ist die Prüfgrundlage für DORA-Compliance und muss vollständig, aktuell und nachvollziehbar sein.
  • Jeder DORA-Artikel hat spezifische Dokumentationspflichten: IKT-Risikomanagement, Drittparteien, Vorfälle, Tests, Register.
  • Dokumentenlenkung sichert Versionierung, Freigabe, Verteilung und regelmaessige Review — analog zu ISO 27001 A.5.37.
  • Prüfer und Aufseher erwarten strukturierte Evidence Packs, die Anforderung, Maßnahme, Nachweis und Review verbinden.

Sollzustand Dokumentation

  • Dokumentationsinventar: Alle DORA-relevanten Dokumente sind erfasst, kategorisiert und einem Owner zugeordnet.
  • Versionslenkung: Jede Dokumentation hat eindeutige Versionsnummer, Freigabestatus, Gültigkeitszeitraum und Änderungsprotokoll.
  • Review-Zyklen: Dokumente werden regelmaessig reviewed (mindestens jährlich, bei Änderungen ad-hoc).
  • Prüfzugriff: Dokumentation ist für interne und externe Prüfer strukturiert verfuegbar (Evidence Packs).
  • Retention: Aufbewahrungsfristen sind definiert (mind. 5 Jahre für regulatorisch relevante Dokumente).

Umsetzungsschritte

  • Dokumentationsinventar erstellen: Alle existierenden Richtlinien, Prozesse, Register und Nachweise katalogisieren.
  • Gap-Analyse zu DORA-Artikeln: Fehlende Dokumentation für IKT-Risiko (Art. 5–13), Drittparteien (Art. 28–30), Vorfälle (Art. 17–20), Tests (Art. 24–26), Register (Art. 35) identifizieren.
  • Dokumentenlenkung einfuehren: Freigabe, Versionierung, Verteilung, Review, Archivierung nach ISO 27001 A.5.37.
  • Verantwortliche benennen: Pro Dokument ein Owner (Erstellung), ein Reviewer (Qualität) und ein Approver (Freigabe).
  • Evidence Packs definieren: Zusammenstellung von Dokumentation je DORA-Artikel für Prüfungszwecke.
  • Aktualisierungsprozesse etablieren: Trigger (Änderung, Incident, Review-Zyklus), Workflow, Eskalation bei Überfälligkeit.

DORA-Dokumentationspflichten nach Artikel

  • Art. 5–13 (IKT-Risikomanagement): Risikostrategie, Inventar, Schutzbedarfsfeststellung, Kontrollkatalog, Monitoring-Berichte.
  • Art. 17–20 (Vorfallmanagement): Incident-Response-Plaene, Klassifizierungskriterien, Meldeprotokolle, Lessons-Learned-Dokumentation.
  • Art. 24–26 (Tests): Testprogramm, Testpläne, Testberichte, Findings-Management, Retest-Nachweise, TLPT-Berichte.
  • Art. 28–30 (Drittparteien): Due-Diligence-Berichte, Vertraege, Exit-Strategien, CTPP-Oversight-Dokumentation.
  • Art. 35 (Informationsregister): Datenqualitätsnachweise, Fehlerprotokolle, Einreichungsbestaetigungen, Aktualisierungslogs.

Typische Luecken in der Dokumentation

  • Fehlende Verknüpfung zwischen DORA-Artikel und interner Dokumentation (kein Mapping).
  • Unvollständige Versionierung: Änderungen nicht nachvollziehbar, alte Versionen nicht archiviert.
  • Fehlende regelmaessige Reviews: Dokumente veralten, keine aktualisierte Risikobewertung.
  • Evidence Packs unstrukturiert: Prüfer müssen Dokumente aus verschiedenen Systemen zusammensuchen.
  • Fehlende Retention-Policy: Nicht klar, welche Dokumente wie lange aufbewahrt werden muessen.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Dokumentationsrahmen, der DORA-Nachweispflichten operationalisiert.

  • A.5.1: Management-Richtlinie für Informationssicherheit — DORA-Strategie-Dokumentation
  • A.5.37: Dokumentierte Betriebsverfahren — Lenkung, Freigabe, Verteilung und Review
  • A.5.31: Dokumentation von Betriebsverfahren
  • A.5.36: Regelung von Sicherheitsmassnahmen

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung