Zum Inhalt springen

Evidence Composer

Monthly Evidence Composer

Strukturierte monatliche Zusammenstellung aller Kontrollnachweise für das Provider-Schwachstellenmanagement mit DORA-konformem Titelformat.

Note: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine technische Sicherheitsprüfung und keine institutsspezifische Prüfung.

1

Titelvorlage

14

Erfassungsfelder

2

Beispiel-Zusammenstellungen

13

Pflichtfelder

DORA-Titelformat

DORA_Schwachstellen_Überwachung_[MONAT_JAHR]

Standard-Titel für den monatlichen Evidence Composer. [MONAT_JAHR] wird durch den tatsächlichen Berichtszeitraum ersetzt.

Beispiel: DORA_Schwachstellen_Überwachung_Juli_2026

DORA_Schwachstellen_Überwachung_Juli_2026

Berichtszeitraum: Juli 2026

Keine Eskalation
Monatliche Kontrolle der Provider-Schwachstellenüberwachung gemäss PVG-Governance-Modell. Durchgeführt: Dashboard-Review (wöchentlich), Scan-Report-Review, SLA-Compliance-Prüfung, Exception-Register-Abgleich, Asset-Synchronisation.

145 von 148 Assets synchronisiert (98,0 %), 3 Assets mit Shadow-ICT-Verdacht in Klärung

Asset-Abdeckung

97.5%

SLA-Erfüllung

2

P1-Findings

3

Offene Ausnahmen

Alle P1-Findings wurden fristgerecht behoben. Eine offene Ausnahme (PVG-EX-2026-001) wird wöchentlich auf Wirksamkeit der Kompensationsmassnahmen geprüft. Shadow-ICT-Verdacht auf 3 Assets wird mit Provider geklärt.

DORA_Schwachstellen_Überwachung_Juni_2026

Berichtszeitraum: Juni 2026

Eskalation erforderlich
Monatliche Kontrolle der Provider-Schwachstellenüberwachung. Durchgeführt: Right-to-Test-Stichprobe (Asset-Validierung), SAST/SCA-Report-Review, Mainframe-Legacy-Review, SLA-Breach-Monitoring, First-Party-Audit-Vorbereitung.

142 von 148 Assets synchronisiert (95,9 %), 6 Assets mit fehlender CIF-Zuordnung

Asset-Abdeckung

91.3%

SLA-Erfüllung

3

P1-Findings

4

Offene Ausnahmen

Ein P1-Finding (CVE-2026-01234, Kernbanken-Datenbank) konnte nicht fristgerecht behoben werden. Temporäre Massnahmen wurden umgesetzt, Ausnahme wurde beantragt. Management-Eskalation erfolgte am 28.06.2026. CISO hat Risikoakzeptanz erklärt.

Evidenz-Workflow

1

Daten sammeln

2

Felder befüllen

3

Evidenz anfügen

4

Prüfung auslösen

5

Ablage & Reporting

Evidenzführung automatisieren?

Vereinbaren Sie ein Pilotgespräch für den Monthly Evidence Composer.

Pilotgespräch anfragen