DORA Art. 24/25
Resilience Testing Cockpit
Operationalize risk-based testing programmes under DORA Art. 24/25 — test types, frequencies, protection needs and decision logic in a single cockpit.
Testarten
12 Testarten nach DORA Art. 25
Übersicht aller spezifischen Resilienz-Testarten mit Beschreibung, Frequenz und Scope.
Vulnerability Assessment & Scan
Identifikation von Schwachstellen in IKT-Systemen durch automatisierte Scans und manuelle Validierung zur proaktiven Risikominderung.
Open Source & Exposure Analysis
Analyse von Open-Source-Komponenten und externer Angriffsfläche zur Identifikation von bekannten Schwachstellen und Fehlkonfigurationen.
Network Security Assessment
Bewertung der Netzwerksicherheit einschließlich Firewall-Konfigurationen, Segmentierung und Zugriffskontrollen.
Gap Analysis & Control Review
Vergleich bestehender Kontrollen mit regulatorischen Anforderungen und Best Practices zur Identifikation von Lücken und Verbesserungsbedarf.
Physical & Environmental Security Review
Bewertung der physischen Sicherheit von Rechenzentren, Bürogebäuden und kritischen Infrastruktureinrichtungen.
Questionnaire & Control Self-Assessment
Standardisierte Fragebögen und Selbstbewertungen zur Erfassung des Controllestatus und der Risikowahrnehmung durch Fachbereiche.
Source Code & Configuration Review
Manuelle Überprüfung von Quellcode und Systemkonfigurationen auf Sicherheitslücken, Qualitätsmängel und Abweichungen von Standards.
Scenario-Based Resilience Test
Simulation von Geschäftsunterbrechungsszenarien und Krisenmanagementübungen zur Validierung von Notfallplänen und Wiederherstellungsfähigkeiten.
Compatibility & Change Resilience Test
Testen der Kompatibilität und Widerstandsfähigkeit gegenüber Änderungen, Updates und Migrationen in IKT-Umgebungen.
Performance, Capacity & Availability Test
Belastungstests zur Validierung von Leistungsfähigkeit, Kapazitätsgrenzen und Verfügbarkeitszusagen unter verschiedener Last.
End-to-End Process & Service Test
Ganzheitliche Tests von Geschäftsprozessen und Dienstleistungen über alle Systemkomponenten hinweg zur Validierung der Gesamtfunktionalität.
Penetration Test & Adversarial Simulation
Simulierte Angriffe durch externe Red Teams zur Identifikation von ausnutzbaren Schwachstellen und Validierung der Verteidigungskräfte.
Threat-Led Penetration Testing (TLPT) Readiness
Vorbereitung und Durchführung von Threat-Led Penetration Tests gemäß Art. 26 DORA für signifikante Institute.
Frequenzmatrix
Testfrequenz-Matrix
Frequenzvorgaben nach Testtyp und kwF-Klassifizierung gemäß DORA Art. 24-25.
| Testtyp | Kritische Funktionen | Wichtige Funktionen | Standard-Funktionen |
|---|---|---|---|
| Vulnerability Assessment | wöchentlich oder kontinuierlich | monatlich | vierteljährlich |
| Scenario Testing | jährlich | jährlich | alle 18 Monate |
| Penetration Testing | jährlich | alle 18 Monate | alle 24 Monate |
| Tlpt | alle 36 Monate | alle 36 Monate (oder öfter bei Risiko) | ereignisgesteuert oder alle 36 Monate |
| Tabletop Exercises | halbjährlich | jährlich | jährlich |
| Gap Analysis | jährlich | alle 18 Monate | alle 24 Monate |
| Control Testing | monatlich | vierteljährlich | halbjährlich |
| Network Security | vierteljährlich | halbjährlich | jährlich |
| Application Security | bei jeder Major-Release | halbjährlich | jährlich |
| Physical Security | jährlich | alle 18 Monate | alle 24 Monate |
| Social Engineering | halbjährlich | jährlich | alle 18 Monate |
| Disaster Recovery | halbjährlich | jährlich | jährlich |
Ereignisgesteuerte Auslöser
- → Major-Änderungen in der IKT-Infrastruktur
- → Neue kritische oder wichtige Funktionen
- → Signifikante Änderungen im Bedrohungsbild
- → Nach IKT-Vorfällen oder Near-Misses
- → Bei Integration neuer kritischer Drittanbieter
- → Nach Unternehmenszusammenschlüssen oder -abspaltungen
- → Bei Änderungen der regulatorischen Anforderungen
Besondere Bestimmungen
- → Signifikante Institute müssen mindestens alle 12 Monate Penetrationstests durchführen
- → TLPT-Tests sind für signifikante Institute alle 36 Monate verpflichtend
- → Ergebnisse müssen an Aufseher und Leitungsorgan berichtet werden
- → Tests müssen von qualifizierten internen oder externen Testern durchgeführt werden
Schutzbedarf
Schutzbedarfsmodell
Wählen Sie Asset-Kritikalität und Testtyp — das Modell zeigt empfohlene Frequenz und nächsten Testtermin.
Empfohlene Frequenz
Nächster Testtermin
Letzter Test
Zyklus
36-Monats-Testzyklus
Der DORA-Testzyklus erstreckt sich über 36 Monate mit definierten Intervallen und Meilensteinen.
Basis-Tests
Vulnerability Assessments, Netzwerk-Scans, Control Self-Assessments
Fortgeschrittene Tests
Penetrationstests, Gap-Analysen, Source-Code-Reviews
Szenario-Tests
Business Continuity Tests, Incident Response Übungen, Failover-Tests
Wiederholung & Tiefe
Erneute Penetrationstests, erweiterte Schwachstellenanalysen
Integration & Dritte
TLPT-Vorbereitung, Drittparteien-Tests, Lieferketten-Validierung
TLPT & Abschluss
Threat-Led Penetration Testing, Management-Review, neuer Zyklus
Wizard
Entscheidungs-Wizard
Schritt-für-Schritt zur optimalen Teststrategie — basierend auf Asset-Typ, Kritikalität und Risikofaktoren.
Schritt 1: Asset-Typ wählen
Welcher Asset-Typ soll getestet werden?
Schritt 2: Kritikalität festlegen
Schutzbedarfsklasse (kF) des Assets
Schritt 3: Empfohlene Testarten
Basierend auf Ihrer Auswahl werden folgende Testarten empfohlen:
Schritt 4: Testfrequenz & Testplan
Zusammenfassung Ihres risikobasierten Testplans.
Empfohlene Testfrequenz:
Nächster Test:
Empfohlene Testarten: