DORA Chapter IV / Methodology Hub

Test Programme for Digital Operational Resilience.

A systematic test programme examines protection effectiveness, detection capability, response capability, and recovery in the context of critical ICT assets and business processes.

Note: This content does not constitute a complete reproduction of the DORA Regulation.

Methodik-Hub: Resilienz-Testing

Systematische Methodik für risikobasierte Resilienztests

12 Testarten Operative Testmethodik Frequenzmatrix Schutzbedarfsbasierte Zyklen 3-Jahres-Zyklus Rollierende Testabdeckung

Management-Zusammenfassung

12 operative Testarten decken alle IKT-Assets entsprechend ihres Schutzbedarfs ab.
Schutzbedarfsabhängige Frequenzregeln: Kontinuierlich (kritische Systeme) bis 3-jährig (TLPT).
Rollierender 3-Jahres-Zyklus gewährleistet vollständige Testabdeckung ohne Überlastung.
Findings- und Retest-Management mit nachweisbaren Remediation-Pfaden.
Management Reporting über Compliance-Status und Risikolage.

Sollzustand Testprogramm

Testinventar erfasst alle IKT-Assets mit Schutzbedarfsklassifikation (normal, hoch, sehr hoch).
12 Testarten sind den Assets entsprechend kwF-Status und Kritikalität zugeordnet.
Testkalender berücksichtigt Frequenzregeln: wöchentlich/kontinuierlich für kritische Systeme, jährliche Pflicht für kwF, 3-jähriger Zyklus für TLPT.
Testdurchführungen erzeugen Evidence Packs mit Nachweis der Wirksamkeit.
Findings werden priorisiert, remediiert und per Retest verifiziert.
Management erhält regelmäßiges Reporting über Testabdeckung und Risiken.

12 Operative Testarten

1. Vulnerability Assessment: Systematische Schwachstellenidentifikation (automatisiert + manuell).
2. Interner Penetrationstest: Simulierte Angriffe aus interner Perspektive.
3. Externer Penetrationstest: Perimeter- und externe Angriffsflächenprüfung.
4. Red Team Exercise: Komplexe zielgerichtete Angriffssimulationen ohne Vorabkenntnis.
5. Scenario-Based Resilience Testing: Geschäftsprozess- und Krisenmanagement-Übungen.
6. Backup & Recovery Testing: Wiederherstellbarkeit unter Zeitdruck validieren.
7. Failover & High Availability Testing: Prüfung automatischer Ausweichmechanismen.
8. Application Security Testing (SAST/DAST): Code- und Laufzeitanalysen.
9. Configuration & Hardening Review: Konfigurationsprüfung gegen Security-Baselines.
10. Log & Monitoring Effectiveness: Wirksamkeit von Detection und Alerting.
11. Third-Party & Supply Chain Testing: Resilienzprüfung kritischer Dienstleister.
12. Threat-Led Penetration Test (TLPT): Bedrohungsgeleitete Tests gemäß DORA Art. 26.

Frequenzmatrix

Systematische Festlegung von Testzyklen basierend auf Schutzbedarf und Systemkritikalität.

Testart	Normal	Hoch	Sehr hoch	Kritisch
Vulnerability Assessment	Quartalsweise	Monatlich	Wöchentlich	Kontinuierlich
Penetrationstest (intern)	24 Monate	12 Monate	6 Monate	3 Monate
Penetrationstest (extern)	24 Monate	12 Monate	6 Monate	3 Monate
Red Team Exercise	N/A	24 Monate	12 Monate	6 Monate
Backup & Recovery Test	12 Monate	12 Monate	6 Monate	3 Monate
Failover & HA Test	12 Monate	6 Monate	3 Monate	3 Monate
TLPT	N/A	36 Monate	36 Monate	36 Monate

Sehr hoher Schutzbedarf Kritisch (kwF)

Schutzbedarfsmodell

Normal: Standardschutz für nicht-kritische Assets, automatisierte Scans ausreichend.
Hoch: Erweiterter Schutz für wichtige Funktionen, manuelle Tests und Szenarien erforderlich.
Sehr hoch: Intensivschutz für kritische Funktionen (kwF), TLPT, Red Team, kontinuierliches Testing.
kwF (kritisch/wichtige Funktionen): Jährliche Testpflicht für alle relevanten Testarten.
Kontinuierlich: Technische Kontrollen für sehr hohen Schutzbedarf (wöchentlich/continuous).

3-Jahres-Zyklus (Rollierend)

Jahr 1: Infrastruktur & Netzwerk-Fokus (Vulnerability, Pentests, Hardening).
Jahr 2: Anwendungen & Daten-Fokus (AppSec, Backup, Failover, Szenarien).
Jahr 3: Drittparteien & Advanced Testing (TLPT, Red Team, Provider-Tests, Monitoring).
Überlappungsregel: Kritische Assets (sehr hoch) durchlaufen alle relevanten Testarten jährlich.
Retest-Regel: Findings hoher Kritikalität erfordern verbindlichen Retest vor Abschluss.

Findings- & Remediation-Management

Findings werden mit Severity (critical, high, medium, low, info) und Asset-Bezug erfasst.
Remediation-Zeiten: kritisch (7 Tage bei kwF), hoch (14 Tage), medium (30 Tage), low (60 Tage).
Überfaellige Findings triggern Eskalation und erhöhte Management-Aufmerksamkeit.
Retests verifizieren Wirksamkeit von Gegenmaßnahmen vor formalem Abschluss.
Evidence Packs dokumentieren Testdurchführung, Befunde und Remediation für Auditoren.

Management Reporting

Testabdeckungsquote: Prozent der mandatory Tests durchgeführt je Asset/Schutzbedarf.
Compliance-Status: Assets als compliant (>=100%), partial (80-99%), non_compliant (<80%).
Finding-Verteilung: Übersicht Schweregrade, Altersstruktur, Überfälligkeit.
Top Risks: Priorisierte Liste der höchsten Risiken aus offenen Findings.
Zyklus-Fortschritt: Status des rollierenden 3-Jahres-Testprogramms.

ISO/IEC 27001 & DORA-Verbindung

A.5.30: Informationstechnologie überprüfen — Vulnerability Assessments und Pentests.
A.5.31: Informationssicherheitsvorfälle bewerten und entscheiden — Finding-Management.
A.5.35: Sicherheitsprüfungen — Unabhängige Test- und Review-Prozesse.
A.5.37: Dokumentierte Betriebsverfahren — Testpläne und Evidence Packs.
A.8.8: Technische Sicherheitsüberprüfung — Konfigurations- und Hardening-Reviews.
DORA Kapitel IV Art. 26: TLPT und bedrohungsgeleitete Testverpflichtungen.

ISO 27001 Verbindung

DORA-Art. 26 verpflichtet zu bedrohungsgeleiteten Penetrationstests. ISO/IEC 27001:2022 bietet den Steuerungsrahmen für systematische Testprogramme und Finding-Management.

A.5.30: Sicherheitsprüfung der Informationstechnologie
A.5.31: Bewertung und Entscheidung zu Informationssicherheitsvorfällen
A.5.35: Unabhängige Überprüfung der Informationssicherheit
A.8.8: Technische Sicherheitsüberprüfung
DORA Art. 26: Bedrohungsgeleitete Penetrationstests (TLPT)

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-10

BaFin: DORA — Tests der digitalen operationalen Resilienz Stand: Abruf 2026-05-10
EBA: Guidelines on ICT and security risk management Stand: Abruf 2026-05-10
TIBER-EU Framework Stand: Referenz für TLPT-Methodik

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.