IKT-Risikomanagement
IKT-Risiken steuerbar, nachweisbar und reviewfähig machen.
Strukturierte Zielbilder für Risikoidentifikation, Schutzbedarf, Kontrollen, Akzeptanz, Reporting und Nachweise.
Management-Zusammenfassung
- DORA Kapitel II (Art. 5–8) verlangt ein durchgängiges IKT-Risikomanagement, das Governance, Identifikation, Bewertung, Behandlung, Monitoring und kontinuierliche Verbesserung umfasst.
- Das Leitungsorgan trägt die Gesamtverantwortung und genehmigt Strategie, Risikoappetit und Budget für IKT-Resilienz.
- Die acht Handlungsfelder auf dieser Seite bilden einen vollständigen Umsetzungsrahmen ab.
- Abstimmung mit MaRisk (AT 4.3) und ISO/IEC 27001:2022 vermeidet Doppelarbeit und schafft Prüffähigkeit.
Hub: IKT-Risikomanagement
DORA Kapitel II verlangt von Finanzinstituten ein durchgängiges IKT-Risikomanagement, das Governance, Risikoanalyse, Schutzmaßnahmen, Überwachung, Berichterstattung und kontinuierliche Verbesserung umfasst. Diese Seite bündelt alle Teilaspekte des IKT-Risikomanagements als umsetzungsorientierte Zielbilder.
8
Handlungsfelder
15
Evidenzkategorien
Art. 5–8
DORA-Kapitel II
ISO 27001
Operativer Rahmen
Überblick
Gesamtübersicht über das IKT-Risikomanagement nach DORA Kapitel II.
Zum IKT-RisikomanagementGovernance
Rahmenwerk, Rollen, Strategie und Risikoappetit für IKT-Risikosteuerung.
Zum IKT-RisikomanagementRisikoinventar
Systematische Erfassung, Klassifikation und Bewertung aller IKT-Risiken.
Zum IKT-RisikomanagementSchutzbedarf
Schutzbedarfsfeststellung für IKT-Assets nach Vertraulichkeit, Integrität und Verfügbarkeit.
Zum IKT-RisikomanagementKontrollsystem
Kontrollziele, Kontrollen, Wirksamkeitsprüfung und Nachweise.
Zum IKT-RisikomanagementMonitoring & Reporting
Frühwarnindikatoren, Management-Reporting und Eskalationsprozesse.
Zum IKT-RisikomanagementNachweise
Evidenzmodell und Nachweisverzeichnis für das IKT-Risikomanagement.
Zum IKT-RisikomanagementReifegrad
Reifegradmodell, Bewertung und kontinuierliche Verbesserung.
Zum IKT-RisikomanagementHinweis
Die Inhalte dienen der fachlichen Orientierung und strukturierten Umsetzungsvorbereitung. Maßgeblich sind die Originalquellen der Aufsicht (insb. DORA, MaRisk, BAIT) sowie die institutsspezifische rechtliche, fachliche und prüferische Bewertung.
Keine Rechtsberatung — verbindlich sind die aktuellen Fassungen der EU-Verordnungen und BaFin-Vorgaben.