DORA Annex I / Transitional Provisions

Structured Introduction of MVP Procedures.

Implementation guide for transitional provisions on MVP procedures (Minimum Viable Product). Timely compliance within limited budget through prioritized implementation.

Reifegrad-Check: MVP-Fachverfahren

Bewerten Sie den Umsetzungsstand der MVP-Vorbereitung in Ihrem Unternehmen

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

MVP-Fachverfahren nach DORA-Anhang I sind identifiziert und mit Konformitätslücken abgeglichen.
Übergangsplan mit Phasen, Meilensteinen und Budget ist vom Management genehmigt und wird monatlich reportet.
Risikobasierte Priorisierung stellt sicher, dass regulatorisch relevante und kundennahe Prozesse zuerst abgedeckt werden.
Ersatz- oder Migrationsstrategie existiert für jedes MVP-Verfahren; Rückfalloptionen sind dokumentiert.

Sollzustand

MVP-Verfahren im Bestand sind vollständig erfasst; Zuordnung zu DORA-Anforderungen (Art. 5–13, 17, 24–26) ist dokumentiert.
Konformitätslücken pro MVP-Verfahren sind quantifiziert ( regulatorisches Risiko, technisches Risiko, Betriebsrisiko).
Übergangsplan mit Phasen: Stabilisierung (Sicherstellung des Betriebs), Erweiterung (Funktionale Lücken schließen), Abschaltung/Ersatz (Migration auf permanente Lösung).
Budget und Ressourcen sind alloziert; Projektorganisation mit Steuerkreis, Projektleitung und Fachverantwortlichen ist definiert.
Fortschrittskontrolle: Monatliche Statusreports an Management und Aufseher (bei Anforderung); Ampel-System (grün/gelb/rot) pro MVP-Verfahren.

Umsetzungsschritte

1. MVP-Verfahren inventarisieren: Liste aller Systeme, die als Übergangslösung betrieben werden; Klassifizierung nach regulatorischer Relevanz und Kritikalität.
2. Lückenanalyse durchführen: Gegen jede DORA-Anforderung prüfen, welche MVP-Verfahren nicht vollständig konform sind; Risikobewertung mit quantitativen und qualitativen Faktoren.
3. Übergangsplan erstellen: Phasen mit Meilensteinen, Verantwortlichen, Budget, Ressourcen; Genehmigung durch Management und Aufseher einholen.
4. Stabilisierungsphase: Betriebssicherheit gewährleisten, dokumentierte Workarounds, Eskalationswege, Incident-Response für MVP-Verfahren.
5. Erweiterungsphase: Funktionale Lücken schließen, Integration in bestehende ICT-Risikomanagement-, Test- und Meldeprozesse.
6. Abschaltung oder Migration: Dauerhafte Lösung implementieren, Datenmigration, Parallelbetrieb, Go-Live-Entscheidung, Altsystem-Deaktivierung.
7. Dokumentation und Audit: Jede Phase mit Nachweisen (Testprotokolle, Genehmigungen, Risikoakzeptanzen) dokumentiert; revisionssichere Archivierung.

Typische Lücken & ISO/IEC 27001-Verbindung

MVP-Verfahren nicht vollständig erfasst: Schatten-IT, vergessene Legacy-Systeme; Abhilfe: automatisierte Asset-Discovery und manuelle Nachverfolgung.
Kein zeitlicher Plan: unklare Verantwortlichkeiten, fehlende Meilensteine; Abhilfe: Projektplan mit Gantt-Diagramm, Ressourcenplan und Budget.
Mangelnde Risikoakzeptanz: Management akzeptiert Risiken ohne formale Dokumentation; Abhilfe: Risikoakzeptanz-Workflow mit Begründung, Frist und Review.
ISO/IEC 27001:2022: A.5.1 Policies for Information Security (Richtlinien für Informationssicherheit), A.5.37 Documented Operating Procedures (Dokumentierte Betriebsverfahren), A.7.5 Secure Configuration (Sichere Konfiguration), A.8.8 Management of Technical Vulnerabilities (Management technischer Schwachstellen), A.8.30 ICT Readiness for Business Continuity (ICT-Bereitschaft für Geschäftskontinuität).

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Rahmen für Informationssicherheitsrichtlinien, Rollen und Verantwortlichkeiten sowie dokumentierte Betriebsverfahren — essenziell für die Steuerung von MVP-Lösungen.

A.5.1 Policies for Information Security
A.5.2 Information Security Roles and Responsibilities
A.5.37 Documented Operating Procedures

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA — Übergangsbestimmungen Stand: Abruf 2026-05-04
EBA: DORA — Transitional Provisions Stand: Abruf 2026-05-04
DORA Verordnung (EU) 2022/2554 — Anhang I Stand: Abruf 2026-05-04

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.