DORA Chapter III

Mastering, Classifying, and Reporting ICT Incidents.

An effective incident process connects technical detection, business assessment, regulatory classification, escalation, and lessons learned. Art. 18 DORA defines reporting requirements to national supervisors.

Incident Classifier – DORA Art. 19

Klassifizieren Sie jeden IKT-Vorfall nach DORA-Schweregrad (Major / Significant / Minor).

Fortschritt:

Ergebnis:

Disclaimer: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA IKT-Vorfälle dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

IKT-Vorfallsmanagement nach Art. 18 DORA ist dokumentiert, getestet und an das Meldewesen angebunden; Initialmeldung bei meldepflichtigen Vorfällen erfolgt innerhalb von maximal 4 Stunden.
Vorfallstaxonomie und Klassifizierungskriterien (Major/Significant/Minor) sind definiert und konsistent angewendet; Meldeentscheidungen sind nachvollziehbar dokumentiert.
Schnittstellen zu Informationssicherheit, IT-Betrieb, Krisenmanagement, Compliance und Drittdienstleistern sind vertraglich und prozessual geregelt.
Lessons-Learned-Prozess stellt sicher, dass jeder Vorfall zu identifizierten Verbesserungsmaßnahmen führt; Umsetzung wird überwacht und reportet.

Sollzustand

Erkennung (Art. 18 Abs. 1): Automatisierte Erkennung durch SIEM, IDS/IPS, EDR, Monitoring-Systeme; manuelle Meldewege für Mitarbeitende; 24/7-SOC-Verfügbarkeit für kritische Systeme.
Dokumentation und Klassifizierung (Art. 18 Abs. 2): Einheitliche Vorfallstaxonomie; Klassifizierung nach Schweregrad (Major/Significant/Minor) mit quantitativen und qualitativen Kriterien; dokumentierte Meldeentscheidung mit Begründung.
Bewertung und Eskalation: Fachliche Bewertung durch IT-Security und Fachbereich; Eskalation an Krisenstab bei Major-Vorfällen; Aktivierung von Business Continuity bei erheblichem Betriebsunterbruch.
Meldung (Art. 18 Abs. 3): Meldepflichtige Vorfälle werden der zuständigen Aufsichtsbehörde (BaFin/Bundesbank) innerhalb von 4 Stunden initial gemeldet; regelmäßige Updates gemäß Meldeanforderungen.
Nachbearbeitung: Ursachenanalyse (Root Cause Analysis), Impact-Bewertung, Remediation-Plan mit Fristen und Verantwortlichen; Abschlussbericht mit Lessons Learned.
Kontrollverbesserung: Ableitung von Verbesserungsmaßnahmen für Richtlinien, Prozesse, Technologie und Schulung; Umsetzungskontrolle durch internes Audit oder Compliance.

Umsetzungsschritte

1. Vorfallstaxonomie erstellen: Einheitliche Kategorien (z. B. Malware, DDoS, Datenpanne, Insider, Supply-Chain, Naturkatastrophe); Zuordnung zu DORA-Klassifizierung Major/Significant/Minor.
2. Klassifizierungskriterien definieren: Quantitative Kriterien (Anzahl betroffener Nutzer, Ausfallzeit, Datenverlust-Volumen) und qualitative Kriterien ( regulatorische Relevanz, Reputationsrisiko, Kundenimpact).
3. Meldeprozess designen: Rollen (First Responder, Incident Commander, Meldeverantwortlicher), Fristen (Initialmeldung 4h, Updates 24h/72h), Eskalationsstufen, Freigabeprozesse, Kommunikationskanäle.
4. IT-Integration: Anbindung von SIEM, Ticketing, EDR an Vorfallmanagement-Workflow; automatisierte Klassifizierungsvorschläge; Erinnerung und Eskalation bei Fristen.
5. Schnittstellen definieren: Absprache mit IT-Betrieb (Wiederherstellung), Informationssicherheit (Containment), Compliance (Meldung), Kommunikation (externe Kommunikation), Recht (rechtliche Bewertung), Drittdienstleister (Unterstützung).
6. Schulung und Übung: Halbjährliche Tabletop-Übungen für Major-Vorfall-Szenarien; jährliche Schulung aller Vorfallverantwortlichen; Simulation der Meldekette.
7. Lessons-Learned-Prozess etablieren: Nach jedem Major/Significant-Vorfall: Retrospektive, Ursachenanalyse, Maßnahmenableitung, Umsetzungsverfolgung, Review nach 6 Monaten.
8. Dokumentation und Audit: Vorfall-Tickets, Klassifizierungsentscheidungen, Meldungen, Eskalationsprotokolle, Ursachenanalysen, Remediation-Pläne und Lessons-Learned sind revisionssicher archiviert.

Typische Lücken & ISO/IEC 27001-Verbindung

Unklare Klassifizierung: fehlende einheitliche Kriterien führen zu unterschiedlichen Meldeentscheidungen; Abhilfe: dokumentierte Klassifizierungsmatrix mit quantitativen und qualitativen Schwellen.
Fristen nicht eingehalten: manuelle Prozesse, fehlende Erinnerungen; Abhilfe: automatisierte Workflow-Engine mit Eskalation bei Fristenüberschreitung.
Schnittstellen nicht definiert: Kommunikationsprobleme zwischen IT, Compliance und Fachbereich; Abhilfe: RACI-Matrix und definierte Kommunikationskanäle pro Vorfallstyp.
Lessons Learned nicht umgesetzt: wiederholende Vorfälle aufgrund fehlender Kontrollverbesserung; Abhilfe: Pflichtmaßnahmen nach jedem Major-Vorfall mit Frist und Verantwortlichem.
ISO/IEC 27001:2022: A.5.24 Planung und Vorbereitung auf Informationssicherheitsvorfälle, A.5.25 Bewertung und Entscheidung über Informationssicherheitsvorfälle, A.5.26 Reaktion auf Informationssicherheitsvorfälle, A.5.27 Lernen aus Informationssicherheitsvorfällen, A.8.15 Protokollierung, A.8.16 Überwachung von Aktivitäten.

Nachweise

Incident-Tickets mit Klassifizierungsentscheidung und Begründung.
Eskalationsprotokolle mit Zeitstempeln und Verantwortlichen.
Meldungen an Aufseher (Initial, Updates, Abschluss) mit Freigaben.
Ursachenanalyse (Root Cause Analysis) und Impact-Bewertung.
Remediation-Plan mit Fristen, Verantwortlichen und Status-Updates.
Lessons-Learned-Dokumentation und abgeleitete Kontrollverbesserungen.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen für Vorfallsplanung, -reaktion, -bewertung und kontinuierliches Lernen.

A.5.24 Planung und Vorbereitung auf Informationssicherheitsvorfälle
A.5.25 Bewertung und Entscheidung über Informationssicherheitsvorfälle
A.5.26 Reaktion auf Informationssicherheitsvorfälle
A.5.27 Lernen aus Informationssicherheitsvorfällen
A.8.15 Protokollierung
A.8.16 Überwachung von Aktivitäten

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA — IKT-bezogene Vorfälle Stand: Abruf 2026-05-04
EBA: ICT Incident Reporting Guidelines Stand: Abruf 2026-05-04
DORA Verordnung (EU) 2022/2554 — Kapitel III Stand: Abruf 2026-05-04

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.