Objektmodell
Resilience Graph
Das zentrale Objektmodell vernetzt alle Module — von regulatorischen Anforderungen über Controls und Maßnahmen bis zu Evidence, Findings und Management-Entscheidungen.
Management-Zusammenfassung
- 16 Anforderungen, 10 Controls, 379 Maßnahmen — vernetzt über ein gemeinsames Objektmodell
- Verknüpfungstypen: Requirement → Control → Measure → Evidence → Finding → Decision
- Der Resilience Graph dient als Referenzmodell für die Abbildung regulatorischer Pflichten und deren Umsetzung in Maßnahmen und Nachweise.
Anforderungen
| ID | Framework | Artikel | Titel | Beschreibung |
|---|---|---|---|---|
| REQ-DORA-ART5 | DORA | Art. 5 | Governance-Regelungen | Das Leitungsorgan muss den IKT-Risikomanagementrahmen festlegen, billigen und überwachen. |
| REQ-DORA-ART6 | DORA | Art. 6 | IKT-Risikomanagementrahmen | Finanzunternehmen müssen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen verfügen. |
| REQ-DORA-ART8 | DORA | Art. 8 | Identifikation und Klassifizierung | IKT-gestützte Funktionen, Informations- und IKT-Assets sowie Abhängigkeiten identifizieren und dokumentieren. |
| REQ-DORA-ART9 | DORA | Art. 9 | Schutz und Prävention | Maßnahmen zum Schutz von IKT-Systemen und zur Prävention von Cyberbedrohungen. |
| REQ-DORA-ART10 | DORA | Art. 10 | Erkennung anomaler Aktivitäten | Mechanismen zur prompten Erkennung anomaler Aktivitäten, einschließlich Netzdatenverkehr. |
| REQ-DORA-ART11 | DORA | Art. 11 | Reaktion und Wiederherstellung | Business-Continuity- und Disaster-Recovery-Pläne für IKT-Systeme. |
| REQ-DORA-ART12 | DORA | Art. 12 | Backup-Policies und Wiederherstellungsverfahren | Regelmäßige Backups und getestete Wiederherstellungsverfahren. |
| REQ-DORA-ART19 | DORA | Art. 19 | Meldung schwerwiegender IKT-Vorfälle | Meldepflicht an zuständige Behörde bei schwerwiegenden IKT-bezogenen Vorfällen. |
| REQ-DORA-ART24 | DORA | Art. 24 | Testprogramm | Robustes und umfassendes Testen der digitalen operationalen Resilienz. |
| REQ-DORA-ART28 | DORA | Art. 28 | IKT-Drittparteienrisiko | IKT-Drittparteienrisiken als integralen Bestandteil des IKT-Risikomanagements steuern. |
| REQ-NIS2-ART20 | NIS2 | Art. 20 | Management-Verantwortung | Leitungsorgan muss Cybersicherheitsrisikomanagement-Maßnahmen billigen und beaufsichtigen. |
| REQ-NIS2-ART21 | NIS2 | Art. 21 | Risikomanagement-Maßnahmen | Technische, operative und organisatorische Maßnahmen für Netz- und Informationssysteme. |
| REQ-NIS2-ART23 | NIS2 | Art. 23 | Meldepflichten | Frühwarnung (24h), Incident-Notification (72h), Abschlussbericht (1M). |
| REQ-ISO-A51 | ISO27001 | A.5.1 | Führung und Verpflichtung | Management-Leitlinien für Informationssicherheit. |
| REQ-ISO-A537 | ISO27001 | A.5.37 | Dokumentierte Information | Betriebsregeln für Informationsverarbeitung dokumentieren. |
| REQ-MARISK-AT43 | MaRisk | AT 4.3.1 | Risikosteuerung | Angemessene Risikosteuerungs- und -controllingprozesse. |
Controls
CTRL-GOV
IKT-Governance-Rahmenwerk
Verantwortlich: Geschäftsleitung / CISO
CTRL-RISK
IKT-Risikomanagementprozess
Verantwortlich: IKT-Risikomanager
CTRL-ASSET
Asset-Klassifizierung & Inventar
Verantwortlich: IT-Asset-Management
CTRL-PROTECT
Schutzmaßnahmen & Prävention
Verantwortlich: IT-Sicherheit
CTRL-DETECT
Anomalie-Erkennung (SIEM/SOC)
Verantwortlich: SOC / IT-Sicherheit
CTRL-RESPOND
Incident Response & Recovery
Verantwortlich: Incident-Manager
CTRL-TEST
Resilienz-Testprogramm
Verantwortlich: Test-Manager
CTRL-TPR
IKT-Drittparteiensteuerung
Verantwortlich: Third-Party Risk Manager
CTRL-REPORT
Meldepflichten & Reporting
Verantwortlich: Compliance
CTRL-DOC
Dokumentation & Nachweisführung
Verantwortlich: Qualitätsmanagement
Verknüpfungen
8 Verknüpfungen zwischen Anforderungen, Controls, Maßnahmen und Evidence
control_to_measure
CTRL-GOV → DORA-GOV-001, DORA-GOV-002
control_to_measure
CTRL-RISK → DORA-ICT-001, DORA-ICT-015
control_to_measure
CTRL-DETECT → OSS-003, OFS-001
control_to_measure
CTRL-TEST → DORA-TPR-001, DORA-TPR-015
control_to_measure
CTRL-TPR → DORA-ICT-019, OSS-005
measure_to_evidence
measure_to_evidence
finding_to_decision
Critical OSS Vulnerability → risk_acceptance (HG-RISK-001)