Zum Inhalt springen
Resilience Platform Resilience Platform

DORA

ICT Policies as a Controllable Governance Instrument.

A structured policy workbench helps consistently manage, review, and provide evidence for ICT security policies and DORA-related policies.

Policy Review Calculator

Status der 8 Richtlinienbereiche verwalten und Review-Score berechnen.

Review Score

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • IKT-Richtlinien durchlaufen einen standardisierten Dokumentenlenkungsprozess von Erstellung über Freigabe bis zur Archivierung.
  • Wesentliche Richtlinien werden durch das Leitungsorgan freigegeben.
  • Review-Trigger stellen die regelmäßige und anlassbezogene Überprüfung aller Richtlinien sicher.
  • Jede Richtlinie enthält eine Kontroll- und Nachweislogik, die die Einhaltung belegbar macht.

Richtlinienlandschaft

  • IKT-Sicherheitsrichtlinie (ISMS-Rahmen)
  • IKT-Risikomanagement-Richtlinie
  • Richtlinie zum IKT-Drittparteienrisiko
  • Richtlinie zum IKT-Vorfallmanagement
  • Richtlinie zu Resilienztests
  • BCM-Richtlinie (Business Continuity Management)
  • Richtlinie Informationsregister
  • Richtlinie zur IKT-Vertragssteuerung

Dokumentenlenkung

  • Phasen: Entwurf, Abstimmung, Freigabe, Veröffentlichung, Review, Archivierung.
  • Rollen: Autor, Prüfer, Freigeber, Archivverantwortlicher.
  • Jede Richtlinie hat eindeutige Version, Änderungshistorie und Gültigkeitsdauer.
  • Abgelöste Richtlinien werden archiviert und sind revisionssicher nachweisbar.

Review-Trigger

  • Mindestens jährlich
  • Nach wesentlichen IKT-Vorfällen
  • Nach Resilienztests
  • Nach Audits (intern oder extern)
  • Nach behördlichen Hinweisen oder Prüfungsfeststellungen
  • Bei wesentlichen Änderungen an Aktivitäten, Prozessen, Bedrohungslage oder rechtlichen Anforderungen

Maßnahmen: IKT-Richtlinien

DORA-POL-001 reviewed initial

Richtlinieninventar für IKT-Sicherheits- und DORA-Richtlinien aufbauen

Das Institut verfügt über ein vollständiges und aktuelles Inventar aller IKT-Sicherheitsrichtlinien und DORA-relevanten Richtlinien.

Themenbereich
IKT-Richtlinien
Sollzustand
Ein zentrales Richtlinieninventar erfasst alle IKT-Richtlinien mit Zweck, Geltungsbereich, Version, Freigabedatum, verantwortlicher Rolle, Review-Zyklus und Verknüpfung zu DORA-, MaRisk- und ISO-Anforderungen.
DORA / MaRisk
DORA Art. 6 Abs. 4 (Dokumentation), Art. 8 (Schutzmaßnahmen) | MaRisk AT 4.4.2 (Dokumentation)

Umsetzungsschritte

  • Richtlinienkategorien (Sicherheit, IKT-Risiko, BCM, Auslagerungen etc.) definieren.
  • Bestehende Richtlinien inventarisieren und kategorisieren.
  • Richtlinienlücken gegen DORA- und MaRisk-Anforderungen identifizieren.
  • Inventar regelmässig aktualisieren und mit Richtlinien-Review synchronisieren.

Beispielnachweise

  • Richtlinieninventar (vollständig, aktuell)
  • Lückenanalyse Richtlinien vs. DORA/MaRisk
  • Kategorisierungsmatrix
  • Aktualisierungsprotokoll

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.33 A.5.36
ID: DORA-POL-001
DORA-POL-002 reviewed initial

Dokumentenlenkung für IKT-Richtlinien etablieren

IKT-Richtlinien durchlaufen einen standardisierten Dokumentenlenkungsprozess von Erstellung über Freigabe bis zur Archivierung.

Themenbereich
IKT-Richtlinien
Sollzustand
Ein dokumentierter Dokumentenlenkungsprozess definiert Phasen (Entwurf, Abstimmung, Freigabe, Veröffentlichung, Review, Archivierung), Rollen (Autor, Prüfer, Freigeber) und Fristen. Jede Richtlinie hat eine eindeutige Version, Änderungshistorie und Gültigkeitsdauer.
DORA / MaRisk
DORA Art. 6 Abs. 4 (Dokumentation) | MaRisk AT 4.4.2

Umsetzungsschritte

  • Dokumentenlenkungsprozess mit Phasen und Rollen definieren.
  • Richtlinienvorlage mit Pflichtfeldern entwickeln.
  • Versionierung und Änderungshistorie sicherstellen.
  • Archivierungsregeln für abgelöste Richtlinien festlegen.

Beispielnachweise

  • Dokumentenlenkungsprozess (Dokument)
  • Richtlinienvorlage mit Metadaten
  • Änderungshistorie je Richtlinie
  • Archivierungsnachweis

ISO/IEC 27001 Anker

A.5.1 A.5.33 A.5.34 A.5.36
ID: DORA-POL-002
DORA-POL-003 reviewed initial

Leitungsorganfreigabe für IKT-Richtlinien sicherstellen

Wesentliche IKT-Richtlinien werden durch das Leitungsorgan oder die dafür bestimmte Management-Ebene freigegeben.

Themenbereich
IKT-Richtlinien
Sollzustand
Eine Freigabematrix definiert, welche Richtlinien durch das Leitungsorgan, welche durch die Geschäftsleitung und welche durch Fachbereichsleitungen freigegeben werden. Der Freigabeprozess ist dokumentiert und nachvollziehbar.
DORA / MaRisk
DORA Art. 5 Abs. 1 (Leitungsorgan) | MaRisk AT 4.3.1 (Gesamtverantwortung)

Umsetzungsschritte

  • Freigabematrix für IKT-Richtlinien definieren.
  • Freigabeprozess mit Vorlagen und Fristen standardisieren.
  • Freigaben dokumentieren und in der Richtlinie vermerken.
  • Freigabe bei Richtlinienänderungen erneut einholen.

Beispielnachweise

  • Freigabematrix IKT-Richtlinien
  • Freigabevermerk in jeder Richtlinie
  • Sitzungsprotokolle bei Leitungsorgan-Freigabe
  • Änderungsdokumentation mit erneuter Freigabe

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.3 A.5.36
ID: DORA-POL-003
DORA-POL-004 reviewed initial

Review-Trigger für IKT-Richtlinien definieren

IKT-Richtlinien werden anlassbezogen und mindestens jährlich auf Aktualität und Angemessenheit überprüft.

Themenbereich
IKT-Richtlinien
Sollzustand
Ein dokumentierter Review-Prozess definiert verbindliche Trigger für die Überprüfung von IKT-Richtlinien: mindestens jährlich, nach wesentlichen IKT-Vorfällen, nach Resilienztests, nach Audits, nach behördlichen Hinweisen und bei wesentlichen Änderungen der Geschäftstätigkeit, Bedrohungslage oder rechtlichen Anforderungen.
DORA / MaRisk
DORA Art. 6 Abs. 5 (Review), Art. 12 (Tests) | MaRisk AT 4.4.2 (Review)

Umsetzungsschritte

  • Review-Trigger-Katalog für IKT-Richtlinien definieren.
  • Jährlichen Review-Plan für alle Richtlinien erstellen.
  • Anlassbezogene Reviews bei Trigger-Ereignissen auslösen.
  • Review-Ergebnisse dokumentieren und bei Bedarf Richtlinien anpassen.

Beispielnachweise

  • Review-Trigger-Katalog
  • Jährlicher Review-Plan
  • Durchgeführte Reviews mit Ergebnissen
  • Richtlinienänderungen aus Reviews

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.9.1 A.10.1
ID: DORA-POL-004
DORA-POL-005 reviewed initial

Kontroll- und Nachweislogik in IKT-Richtlinien integrieren

IKT-Richtlinien enthalten eine dokumentierte Kontroll- und Nachweislogik, die die Einhaltung der Richtlinienanforderungen belegbar macht.

Themenbereich
IKT-Richtlinien
Sollzustand
Jede IKT-Richtlinie enthält einen Abschnitt zur Kontroll- und Nachweislogik, der die zugehörigen Kontrollen, Nachweise, Verantwortlichkeiten und Prüffrequenzen beschreibt. Die Kontroll- und Nachweislogik ist mit dem IKT-Kontrollsystem der Plattform abgestimmt.
DORA / MaRisk
DORA Art. 8 (Schutzmaßnahmen), Art. 10 (Wirksamkeit) | MaRisk AT 4.4.2 (Kontrollsystem)

Umsetzungsschritte

  • Kontroll- und Nachweisanforderungen je Richtlinie definieren.
  • Nachweisartefakte und Aufbewahrungsfristen festlegen.
  • Verknüpfung mit dem plattformweiten Evidenzmodell herstellen.
  • Kontroll- und Nachweislogik regelmässig auf Vollständigkeit prüfen.

Beispielnachweise

  • Kontroll- und Nachweislogik je Richtlinie
  • Verknüpfungstabelle Richtlinien–Kontrollen–Nachweise
  • Prüfprotokoll der Kontroll- und Nachweislogik
  • Abweichungsbericht

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.8.8 A.9.1
ID: DORA-POL-005

Hinweis

Note: This page is an implementation aid and does not replace legal advice or binding supervisory interpretation.

ISO 27001 Verbindung

  • A.5.1
  • A.5.2
  • A.5.36
  • A.5.37

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung