Mapping

DORA to MaRisk: Article-Level Mapping.

Which DORA article addresses which MaRisk AT/BT module? This mapping table shows cross-references between both regulatory frameworks for integrated compliance and risk management practice.

Mapping-Filter

Hinweis: Dieses Mapping basiert auf öffentlich zugänglichen Quellen und eigener Analyse. Die 10. MaRisk (9. Novelle) (Konsultation 2026) wird voraussichtlich zu Änderungen in AT 7.2 (IKT) führen, da DORA verstärkt als primäre Norm wirkt. Verbindlich sind die aktuellen Fassungen von DORA-Verordnung und MaRisk-Rundschreiben.

Management-Zusammenfassung

DORA und MaRisk adressieren sich überschneidende Themenfelder im IKT-Risikomanagement mit unterschiedlicher Regelungstiefe.
MaRisk AT 4.3 und AT 7 bilden die zentralen Anknüpfungspunkte für DORA-Kapitel II (IKT-Risikomanagement).
Auslagerungen (AT 9) und Informationsregister (AT 12) decken DORA-Drittparteienanforderungen ab.
Resilienztests und TLPT sind neuartige DORA-Anforderungen ohne direktes MaRisk-Äquivalent.

DORA	Titel	MaRisk-Module	Nachweisfokus	Priorität
Art. 5	Governance und Organisation Leitungsorganverantwortung für IKT-Risikomanagement mit klaren Rollen, Entscheidungswegen und Eskalationspfaden gemäß Three-Lines-Modell.	AT 4.3.1 AT 4.4.1 AT 4.4.4	Organigramm, RACI-Matrix, Geschäftsverteilungsplan, Sitzungsprotokolle	Basis
Art. 6	IKT-Risikomanagementrahmen Ganzheitliches Risikomanagementrahmenwerk für IKT-Risiken mit Identifikation, Bewertung, Steuerung und Überwachung inklusive Risikoappetit und -toleranzen.	AT 4.3.1 AT 4.3.2 AT 4.3.3 AT 7.2	Risikomanagementrichtlinie, Risikoinventar, Risikomatrix, Eskalationsprotokolle	Basis
Art. 7	Identifizierung Systematische Identifikation von IKT-Risiken einschließlich Schutzbedarfsfeststellung und Klassifizierung kritischer Prozesse und Ressourcen.	AT 4.3.2 AT 7.2	Risikoinventar, Schutzbedarfsfeststellung, Klassifizierungsmatrix	Basis
Art. 8	Schutz- und Präventionsmaßnahmen Implementierung technischer und organisatorischer Maßnahmen zum Schutz von Netzwerken, Systemen und Daten auf Basis der Schutzbedarfsklassifizierung.	AT 7.2 BT 3.1	Sicherheitskonzept, Maßnahmenkatalog, Konfigurationsstandards, Kontrollnachweise	Basis
Art. 9	Detektion Einrichtung von Überwachungs- und Frühwarnsystemen zur zeitnahen Erkennung anomaler Aktivitäten und Sicherheitsvorfälle.	AT 7.2	Monitoring-Konzept, SIEM-Dokumentation, Alarmierungsketten, Detektionszeit-Nachweise	Gestaltet
Art. 10	Reaktion und Wiederherstellung Notfallmanagement mit definierten Reaktions-, Wiederherstellungs- und Eskalationsprozessen für IKT-Vorfälle aller Schweregrade.	AT 7.3 BT 3.1	Notfallhandbuch, Wiederherstellungspläne, Business-Impact-Analyse, Übungsnachweise	Basis
Art. 11	BCM – Business Continuity Management Business Continuity Management für IKT-Ausfallszenarien mit definierten Wiederherstellungszeiten (RTO/RPO) und regelmäßigen Übungen.	AT 7.3	BCM-Richtlinie, BIA-Dokumentation, Übungspläne und -ergebnisse, RTO-RPO-Matrix	Basis
Art. 12	Lessons Learned Systematische Aufbereitung von Vorfällen und Tests mit Ursachenanalyse, Maßnahmenableitung und Nachverfolgung bis zur Wirksamkeit.	AT 4.5	Lessons-Learned-Berichte, Maßnahmentracker, Wirksamkeitsnachweise	Gestaltet
Art. 13	Statistische Auswertung Erfassung und Auswertung von IKT-Vorfallsdaten für Trendanalysen, Risikoberichterstattung und Steuerungsinformationen.	BT 3.1	Vorfallsstatistik, Trendberichte, KRI-Monitoring	Fortgeschritten
Art. 14	Vorfallsklassifizierung Standardisierte Klassifizierung von IKT-Vorfällen nach Schweregrad, Auswirkung und Meldefristen mit festgelegten Eskalationsstufen.	AT 7.3	Klassifizierungsmatrix, Eskalationsrichtlinie, Vorfallsprotokolle	Basis
Art. 15–16	Meldepflichten für IKT-Vorfälle Meldepflicht schwerwiegender IKT-Vorfälle an die zuständige Aufsicht mit definierten Fristen (Erstmeldung, Zwischenmeldung, Abschlussmeldung).	AT 7.3	Meldeformulare, Meldeberichte, Fristenkontrollen, Meldehub-Zugang	Basis
Art. 18	Zentrale Anlaufstelle Einrichtung einer zentralen Kontaktstelle für aufsichtliche Meldungen von IKT-Vorfällen mit definierten Vertretungsregelungen.	BT 1.4	Kontaktstellendokumentation, Vertretungsregelung, Erreichbarkeitsnachweise	Gestaltet
Art. 24–25	Resilienztestprogramm Risikobasiertes Testprogramm mit 12 Testarten in rollierendem 3-Jahres-Rhythmus. MaRisk 9. Novelle streicht AT 7.2 weitgehend – IKT-Tests primär durch DORA geregelt.	AT 7.2 (eingeschränkt) neu in 9. Novelle	Testprogramm, Testkalender, Testberichte, Abdeckungsmatrix	Fortgeschritten
Art. 26	TLPT – Threat-Led Penetration Testing Bedrohungsgeleiteter Penetrationstest für bedeutende Institute auf Basis TIBER-EU. Kein direktes MaRisk-Äquivalent – ergänzende Anforderung unter DORA.	neu (kein Vorbild in MaRisk AT 7)	TLPT-Scope-Dokument, RoE, Tester-CV, Testergebnisse, Abstellungsplan	Fortgeschritten
Art. 27	Vertragspflichten für IKT-Drittdienstleister Vertragliche Mindestanforderungen für IKT-Drittparteien: Sicherheitsziele, Leistungsniveaus, Prüfrechte, Kündigungsrechte und Standortbeschränkungen.	AT 9 (Auslagerung) BT 2 (Auslagerung)	Vertragsvorlage, SLA-Dokumentation, Prüfrechteklauseln, Auslagerungsverzeichnis	Basis
Art. 28	Informationsregister Jährliche Registermeldung aller IKT-Drittparteienbeziehungen mit Vertragsinformationen, Schutzbedarf und Unterauftragnehmern.	AT 12	Registerdaten, Datenqualitätsnachweise, Einreichungsbestätigung, Verantwortlichkeitsmatrix	Basis
Art. 29	Prüfrechte Prüfrechte und Zugangsrechte für interne und externe Prüfer zu IKT-Drittdienstleistern inklusive Vor-Ort-Prüfungen und Remedy-Fristen.	AT 9	Prüfberichte, Remedy-Nachweise, Zugangsdokumentation	Gestaltet
Art. 30	Konzentrationsrisiko Identifikation und Steuerung von Klumpenrisiken bei IKT-Drittdienstleistern auf Einzelinstituts- und Gruppenebene.	AT 9	Konzentrationsanalyse, Exit-Pläne, Diversifikationsstrategie	Gestaltet
Art. 31	Unterauftragnehmer Vertragliche Regelungen für Unterauftragnehmerketten einschließlich Zustimmungspflichten, Informationsrechten und durchgängiger Sicherheitsstandards.	AT 9	Unterauftragnehmerverzeichnis, Vertragsklauseln, Genehmigungsnachweise	Gestaltet
Art. 32–35	Verwaltungspraxis und Überwachung Interne Kontrollen, regelmäßige Wirksamkeitsprüfungen und Berichterstattung an das Leitungsorgan für das gesamte IKT-Risikomanagement.	AT 4.4.2 AT 4.4.4	Kontrollkatalog, Prüfungsberichte, Management-Reports, Wirksamkeitsnachweise	Gestaltet

Legende

Basis: Fundamentale Anforderungen — sofort umsetzungsrelevant für alle Institute.
Gestaltet: Strukturierte Prozesse mit dokumentierten Verfahren und Wirksamkeitskontrollen.
Fortgeschritten: Erweiterte Anforderungen für bedeutende Institute oder spezifische Risikoprofile.

Auswirkungen der 10. MaRisk (9. Novelle)

Die 10. MaRisk (9. Novelle) (Konsultationsentwurf 2026) sieht eine grundlegende Überarbeitung des AT 7.2 (IKT-Risiken) vor. Kernänderung: IKT-Risikomanagement wird primär durch DORA adressiert, MaRisk AT 7.2 wird deutlich gestrafft. Institute sollten ihre DORA-Compliance als primären Referenzrahmen aufbauen und MaRisk-Mappings als sekundäre Zuordnung führen. Die finale Novelle wird für H2 2026 erwartet.