Zum Inhalt springen
Resilience Platform Resilience Platform

Practice

Implementation Guidance from Practice.

Experience-based guidance for operational DORA implementation.

Implementierungs-Prioritätsmatrix

Priorität und Dringlichkeit je DORA-Handlungsfeld bewerten – Action Score = Priorität × Dringlichkeit.

Rangfolge nach Action Score

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • Management und Fachbereiche verfolgen eine gemeinsame Priorisierung der DORA-Maßnahmen.
  • Verantwortlichkeiten, Fristen und Evidenzen sind verbindlich und auditierbar definiert.
  • Offene Risiken und wesentliche Abweichungen werden regelmaessig an Steuerungsgremien berichtet.
  • Maßnahmen werden risikobasiert umgesetzt und in den Reifegrad überfuehrt.

Umsetzungsreihenfolge

  • Gap-Analyse durchführen: IKT-Risikomanagement, Drittparteien, Vorfälle, Tests, Register.
  • Priorisierung basierend auf Risiko und Aufwand (High-Risk / Low-Effort zuerst).
  • Governance und Verantwortlichkeiten zwischen IT, ISMS, Einkauf und Compliance klaeren.
  • Nachweis- und Dokumentationslogik parallel aufbauen (Evidence Packs, Review-Protokolle).
  • Iterative Verbesserung etablieren: Quartals-Reviews, Reifegrad-Tracking, Management-Reporting.

Fokusbereiche

  • IKT-Risikomanagement als Basis aufbauen (DORA Art. 5–13): Inventar, Schutzbedarf, Kontrollen, Monitoring.
  • Drittparteienrisiken in bestehende Auslagerungsprozesse integrieren (DORA Art. 28–30): Vertraege, Due Diligence, Exit-Strategien.
  • Vorfallmanagement mit Meldepflichten verzahnen (DORA Art. 17–20): Klassifizierung, Meldeprozesse, Lessons Learned.
  • Testprogramm risikobasiert priorisieren (DORA Art. 24–26): 12 Testarten, 3-Jahres-Zyklus, TLPT bei kritischen Funktionen.

Phasenmodell der DORA-Umsetzung

  • Phase 1 — Analyse (Woche 1–4): Gap-Analyse, Reifegrad-Assessment, Stakeholder-Mapping, Budget-Planung.
  • Phase 2 — Design (Woche 5–8): Richtlinien-Update, Verantwortlichkeiten, Prozess-Integration, Tool-Auswahl.
  • Phase 3 — Implementierung (Woche 9–20): IKT-Inventar, Vertragsanpassungen, Testprogramm, Incident-Playbooks.
  • Phase 4 — Betrieb & Optimierung (ab Woche 21): Monitoring, quartalsweise Reviews, Management-Reporting, kontinuierliche Verbesserung.

Governance und Verantwortlichkeiten

  • Leitungsorgan (Vorstand/GF): Genehmigt DORA-Strategie, Budget und Risikoappetit; empfaengt quartalsweise Statusberichte.
  • IKT-Risikomanagementfunktion (CISO/Risikomanagement): Koordiniert Umsetzung, definiert Kontrollen, fuehrt Gap-Analyse durch.
  • Compliance & Recht: Prüft regulatorische Konformitaet, begleitet Vertragsverhandlungen mit Drittdienstleistern.
  • Einkauf & Auslagerungsmanagement: Integriert DORA-Anforderungen in Ausschreibungen, Vertraege und Due-Diligence-Prozesse.
  • Fachbereiche: Identifizieren kritische Funktionen (kwF), liefern Input für Schutzbedarfsfeststellung und Business-Impact-Analyse.

Cross-Reference: Vertiefende DORA-Themen

  • IKT-Risikomanagement: Detaillierte Anleitung zu Inventar, Schutzbedarf und Kontrollen → /dora/ikt-risikomanagement
  • Resilienztests: Methodik-Hub mit 12 Testarten, Frequenzmatrix und 3-Jahres-Zyklus → /dora/testprogramm
  • IKT-Drittparteien: Vertragsanforderungen, Exit-Strategien und CTPP-Oversight → /dora/ikt-drittparteienrisiko
  • Vorfallmanagement: Klassifizierung, Meldeprozesse und Lessons-Learned-Integration → /dora/ikt-vorfälle
  • Informationsregister: Datenqualität, Pflichtfelder und Einreichungsfristen → /dora/informationsregister
  • Sollmaßnahmenkatalog: Priorisierte Maßnahmen mit ISO-Ankern und Evidenzbeispielen → /dora/sollmaßnahmenkatalog

Typische Luecken

  • Unklare Ownership zwischen IT, ISMS, Einkauf und Compliance.
  • Uneinheitliche Datenstaende in Richtlinien, Registern und Nachweisen.
  • Fehlende End-to-End-Nachweise für Wirksamkeit und Managemententscheidungen.
  • Unzureichende Verknüpfung zwischen IKT-Risiko und Geschäftsrisiko (kwF-Identifikation).
  • Fehlende regelmaessige Review-Zyklen für Vertraege mit kritischen Drittdienstleistern.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen, um DORA-Anforderungen in ein wirksames ISMS zu integrieren.

  • A.5.1 Informationssicherheitsrichtlinien
  • A.5.2 Informationssicherheitsrollen und -verantwortlichkeiten
  • A.5.36 Richtlinien und Verfahren für das IKT-Kontinuitätsmanagement
  • A.5.37 Dokumentierte Betriebsverfahren

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung