DORA Chapter IV / Protection

Protection Assessment for ICT Assets.

Systematic assessment of protection requirements across 10 dimensions with assignment to 4 protection classes (kF 1-4) for risk-based test frequencies.

Hinweis: Diese Inhalte stellen keine vollständige Wiedergabe der DORA-Verordnung dar. Die Darstellung bietet eigene, praxisnahe Interpretationen der Anforderungen zur Unterstützung der Umsetzung. This content consists of implementation aids and curated guidance. It does not replace legal advice or binding supervisory interpretation.

Management-Zusammenfassung

Der Schutzbedarf aller IKT-Assets wird systematisch nach 10 Dimensionen mit maximal 100 Punkten bewertet.
4 Schutzbedarfsklassen (kF 1-4) ermöglichen risikobasierte Testfrequenzen und Ressourcenallokation.
Die Bewertung fließt direkt in DORA-Resilienztests, Incident-Klassifizierung und Drittparteiensteuerung ein.
Methodik ist auf DORA Kapitel IV und TIBER-EU Referenzszenarien abgestimmt.

Schutzbedarfsmodell

Additives Punktesystem über 10 Dimensionen mit Gewichtung nach kritischer Geschäftsfunktionalität und regulatorischer Relevanz.

10 Dimensionen

100 Max. Punkte

4 Schutzklassen

1.0 Version

4 Schutzbedarfsklassen

Kategorisierung aller IKT-Assets entsprechend ihres Schutzbedarfs.

kF1

Normal

Standard-Schutzbedarf mit Basis-Testanforderungen

0-25 Punkte

Testfrequenz-Multiplikator 1x

Min. Testtiefe Standard

TLPT erforderlich Nein

kF2

Hoch

Erhöhter Schutzbedarf mit intensivierten Testanforderungen

26-50 Punkte

Testfrequenz-Multiplikator 1.5x

Min. Testtiefe Erweitert

TLPT erforderlich Nein

kF3

Sehr Hoch

Kritischer Schutzbedarf mit umfassenden Testanforderungen

51-75 Punkte

Testfrequenz-Multiplikator 2x

Min. Testtiefe Intensiv

TLPT erforderlich Nein

kF4

Kritisch

Höchster Schutzbedarf mit maximalen Testanforderungen und regulatorischer Intensivierung

76-100 Punkte

Testfrequenz-Multiplikator 3x

Min. Testtiefe TLPT/Penetration

TLPT erforderlich Ja

10 Bewertungsdimensionen

Systematische Bewertung nach objektiven Kriterien.

Kritikalität der Geschäftsfunktion

Bewertung der Bedeutung der unterstützten Geschäftsfunktion für die operativen Ziele und regulatorischen Pflichten des Finanzunternehmens.

Bewertungskriterien:

Nicht kritisch (0 Punkte): Unterstützt interne Verwaltungsfunktionen ohne direkten Kundeneinfluss; kurzfristige Ausfalltoleranz > 7 Tage.
Wichtig (5 Punkte): Unterstützt interne Prozesse mit begrenztem operativen Impact; Ausfalltoleranz 2-7 Tage.
Kritisch (10 Punkte): Unterstützt wesentliche Kundengeschäfte oder regulatorische Meldeprozesse; Ausfalltoleranz < 48 Stunden.
Hochkritisch (15 Punkte): Unterstützt systemisch wichtige Funktionen (CRF), Zahlungsverkehrskritikalität oder anzeigepflichtige Vorfälle; Ausfalltoleranz < 4 Stunden.

Max. 15 Punkte

Systemische Relevanz

Einordnung gemäß DORA-Kategorien: Significant Entity, nicht-significant Entity oder spezielle Ausprägung (O-SII, CTPP-Bezug).

Bewertungskriterien:

Nicht signifikant (0 Punkte): Nicht-Significant Entity nach DORA Art. 2(18); einfache operative Struktur, begrenzte grenzüberschreitende Aktivitäten.
Signifikant (Standard) (5 Punkte): Significant Entity nach DORA; Standardanforderungen für größere Institute mit komplexerer IT-Landschaft.
Verstärkt signifikant (8 Punkte): O-SII (Other Systemically Important Institution) oder besonders komplexe Struktur; erhöhte Aufsichtsanforderungen.
Hochsystemisch (10 Punkte): Kritischer ICT-Drittdienstleister (CTPP)-Bezug oder Brutto-Leistungsbilanz > 100 Mrd. €; höchste regulatorische Aufmerksamkeit.

Max. 10 Punkte

Datenkritikalität und Volumen

Bewertung der verarbeiteten Datenarten (personenbezogen, vertraulich, kritisch) und des Datenvolumens gemäß DSGVO und interner Klassifizierung.

Bewertungskriterien:

Public/Internal (0 Punkte): Nur öffentliche oder allgemein interne Informationen; keine personenbezogenen Daten oder Geschäftsgeheimnisse.
Eingeschränkt vertraulich (3 Punkte): Interne Geschäftsdaten mit begrenztem Schutzbedarf; personenbezogene Daten in geringem Umfang.
Vertraulich (7 Punkte): Großvolumige personenbezogene Daten (Kundenstamm), Geschäftsgeheimnisse oder strategische Informationen.
Hochsensibel (10 Punkte): Besondere Kategorien nach DSGVO (Art. 9), Biometrie, Transaktionsdaten mit Systemrelevanz oder nationale Sicherheitsaspekte.

Max. 10 Punkte

Verfügbarkeitsanforderungen

Recovery Time Objective (RTO) und Recovery Point Objective (RPO) als quantifizierte Verfügbarkeitsanforderungen aus dem BCP.

Bewertungskriterien:

Standardverfügbarkeit (0 Punkte): RTO > 72h, RPO > 24h; keine Echtzeitanforderungen, manuelle Workarounds möglich.
Erhöhte Verfügbarkeit (3 Punkte): RTO 24-72h, RPO 4-24h; tägliche Batch-Verarbeitung mit begrenztem Datenverlust akzeptabel.
Hohe Verfügbarkeit (7 Punkte): RTO 4-24h, RPO 1-4h; Online-Systeme mit begrenztem Ausfallfenster, Hot-Standby erforderlich.
Kritische Verfügbarkeit (10 Punkte): RTO < 4h, RPO < 1h (near-zero); Echtzeitsysteme (Zahlungsverkehr, Trading) mit sofortigem Failover.

Max. 10 Punkte

Nutzung kritischer Drittanbieter

Einsatz von ICT-Drittdienstleistern, insbesondere solchen mit Kritikalitätsstatus (CTPP-Bezug, konzentrierte Abhängigkeiten).

Bewertungskriterien:

Keine/signifikante Dritte (0 Punkte): Keine oder nur nicht-signifikante ICT-Dritte; einfache interne IT mit begrenztem externen Bezug.
Signifikante Dritte (non-critical) (3 Punkte): Mehrere signifikante ICT-Dritte, aber keine Einzelabhängigkeit; substituierbare Services.
Kritische Dritte (CTPP-Bezug) (7 Punkte): Nutzung von ICT-Drittanbietern, die als kritisch (CTPP) eingestuft werden könnten; regulatorisches Oversight-Risiko.
Hohe Konzentration (10 Punkte): Kritische Abhängigkeit von einzelnem CTPP oder hohe Konzentration bei kritischen Services (Cloud, Zahlungsinfrastruktur).

Max. 10 Punkte

Auswirkung auf Finanzstabilität

Potenzielle Auswirkungen eines Ausfalls oder Vorfalls auf die Finanzstabilität (mikro- und makroprudentiell).

Bewertungskriterien:

Keine externe Auswirkung (0 Punkte): Ausfall betrifft nur interne Prozesse ohne Kunden- oder Marktimpact; isolierbares Risiko.
Begrenzte Kundenimpact (3 Punkte): Ausfall beeinträchtigt begrenzte Kundengruppen ohne Systemrelevanz; kein regulatorischer Meldezwang.
Signifikanter Kundenimpact (7 Punkte): Ausfall beeinträchtigt wesentliche Kundengruppen; mögliche regulatorische Meldung (significant cyber threat).
Systemischer Impact (10 Punkte): Ausfall könnte Finanzstabilität beeinträchtigen, Marktvertrauen untergraben oder dominoartige Effekte auslösen (Systemrelevanz).

Max. 10 Punkte

Technologische Komplexität

Komplexität der eingesetzten Technologien (Legacy, Cloud, Microservices, KI, Blockchain) und ihrer Interdependenzen.

Bewertungskriterien:

Standardisiert/Einfach (0 Punkte): Standard-IT mit etablierten Technologien (z.B. Standard-Datenbanken, Web-Apps); geringe Komplexität.
Moderate Komplexität (3 Punkte): Gemischte Landschaft mit einigen komplexen Komponenten; begrenzte Microservices-Architektur.
Hohe Komplexität (7 Punkte): Komplexe verteilte Architektur (Microservices, Multi-Cloud), Legacy-Integration, diverse Technologie-Stacks.
Extrem/Neuartig (10 Punkte): Hochkomplexe Architektur mit KI/ML, Blockchain, Edge-Computing; unklare Abhängigkeitsstrukturen; hohe Testanforderungen.

Max. 10 Punkte

Angriffsfläche und Bedrohungslage

Größe der Angriffsfläche (Internet-Exposition, APIs, Remote Access) und aktuelle Threat-Intelligence zur Bedrohungslage.

Bewertungskriterien:

Minimal/Intern (0 Punkte): Keine Internet-Exposition; interne Netze mit stark segmentiertem Zugriff; geringe Threat-Exposure.
Begrenzte Exposition (3 Punkte): Eingeschränkte Internet-Präsenz (z.B. Intranet, interne APIs); geringe APT-Relevanz.
Erweiterte Exposition (7 Punkte): Öffentliche Web-Services, Mobile-Apps, Cloud-APIs; aktive Bedrohung durch Cyberkriminalität; APT-Relevanz.
Hoch/State-Sponsored (10 Punkte): Große Angriffsfläche (Kunden-Portale, APIs, Remote Work); hohe APT-Aktivität; branchenspezifische Threat-Actors.

Max. 10 Punkte

Historische Vorfälle und Schwachstellen

Historische IKT-Vorfälle (intern oder bei Dritten), wiederkehrende Schwachstellen und Track-Record der Resilienz.

Bewertungskriterien:

Keine Vorfälle (0 Punkte): Keine signifikanten Vorfälle in den letzten 3 Jahren; geringe Schwachstellendichte in Scans.
Geringe Historie (3 Punkte): Wenige minor incidents; durchschnittliche Schwachstellendichte; keine wiederkehrenden Muster.
Mehrere Vorfälle (7 Punkte): Mehrere major incidents in den letzten 3 Jahren oder wiederkehrende Schwachstellenkategorien; erhöhtes Risikoprofil.
Kritische Historie (10 Punkte): Major-Extreme-Incidents, wiederholte Root-Cause-Failures oder systemische Schwachstellen; hohe Wahrscheinlichkeit erneuter Vorfälle.

Max. 10 Punkte

Regulatorische und rechtliche Anforderungen

Zusätzliche regulatorische Anforderungen durch Branchenaufsicht (BaFin, EBA), spezifische Gesetze (KWG, BSI-KritisV) oder internationale Standards.

Bewertungskriterien:

Basisebene (0 Punkte): Standard-DORA-Anforderungen; keine zusätzlichen spezifischen Regulierungen oder Gesetze.
Zusätzliche Aufsicht (3 Punkte): Zusätzliche Anforderungen durch Sektoraufsicht (z.B. VAIT für Versicherungen, ZAIT für Zahlungsdienste).
Kritische Infrastruktur (7 Punkte): BSI-KritisV-Betroffenheit oder zusätzliche nationale Meldeanforderungen; hohe Compliance-Anforderungen.
Multiregulatorisch (10 Punkte): Mehrfache regulatorische Rahmenbedingungen (DORA + Kritis + sektoral + international); höchste Compliance-Dichte.

Max. 10 Punkte

Bewertungsbeispiele

Typische Beispiele für die Zuordnung zu Schutzbedarfsklassen.

Internes Verwaltungssystem

kF1

Kein direkter Kundeneinfluss, Ausfalltoleranz > 7 Tage, keine regulatorische Meldepflicht.

Kundenportal (begrenzt)

kF2

Wichtige Kundenfunktion, aber begrenzter Umfang; Ausfalltoleranz 2-7 Tage.

Core-Banking-System

kF3

Kritische Kundengeschäfte, Ausfalltoleranz < 48 Stunden, regulatorische Meldepflicht.

Zahlungsverkehrssystem

kF4

Systemisch wichtige Funktion, Ausfalltoleranz < 4 Stunden, TLPT-Pflicht.