SREP-IT-01
IKT-Governance & Strategie
foundation
IKT-Governance und Organisationsstruktur
Typische Prüfungsfrage der Aufsicht
Wie ist die IKT-Governance im Institut organisiert? Welche Rolle hat der Vorstand?
Methodik/Erwartungshaltung
Prüfen Sie, ob eine IKT-Strategie vom Vorstand verabschiedet wurde, IKT-Risiken im Risk Appetite Statement verankert sind und ein IKT-Ausschuss des Leitungsorgans etabliert ist.
Typische Prüfungsfeststellungen
Fehlende IKT-Strategie, unklare Verantwortlichkeiten, keine regelmässige Befassung des Vorstands mit IKT-Risiken
Erwartete Nachweise
- IKT-Strategiepapier
- Risk Appetite Statement
- Vorstandsprotokolle zu IKT-Entscheidungen
- Gremienstruktur (IKT-Ausschuss)
DORA-Alignment: DORA Art. 4–6 (IKT-Governance, Risikomanagementrahmen)
SREP-IT-02
IKT-Governance & Strategie
foundation
IKT-Risikomanagementprozess
Typische Prüfungsfrage der Aufsicht
Wie werden IKT-Risiken identifiziert, bewertet, gesteuert und überwacht?
Methodik/Erwartungshaltung
Dokumentieren Sie den IKT-Risikomanagementprozess inkl. Risikoinventar, Risikobewertungsmethodik, Risikobehandlungsoptionen und Monitoring. Der Prozess muss in den Gesamtbank-Risikomanagementprozess integriert sein.
Typische Prüfungsfeststellungen
Unvollständiges Risikoinventar, fehlende regelmässige Aktualisierung, keine Integration in ICAAP
Erwartete Nachweise
- IKT-Risikoinventar
- Risikobewertungsmatrix
- Risikoberichte an den Vorstand
- Ergebnisse des IKT-Risikomonitorings
DORA-Alignment: DORA Art. 5–8 (IKT-Risikomanagement)
SREP-IT-03
Informationssicherheit
foundation
Informationssicherheitsmanagementsystem (ISMS)
Typische Prüfungsfrage der Aufsicht
Verfügt das Institut über ein angemessenes ISMS? Wie wird dessen Wirksamkeit gemessen?
Methodik/Erwartungshaltung
Prüfen Sie den ISMS-Umfang, die Informationssicherheitsrichtlinie, den Kontrollrahmen (z.B. ISO 27001, BAIT/DORA) und die regelmässige Wirksamkeitsmessung durch interne/externe Audits.
Typische Prüfungsfeststellungen
ISMS nicht vollständig implementiert, keine regelmässigen Audits, fehlende Wirksamkeitsmessung
Erwartete Nachweise
- ISMS-Richtlinie
- Kontrollmatrix
- Interne Auditberichte
- Management-Review-Berichte
- ISO 27001-Zertifikat (falls vorhanden)
DORA-Alignment: DORA Art. 9 (IKT-Schutz, Prevention), ISO 27001:2022
SREP-IT-04
IKT-Notfallmanagement & BCM
foundation
IKT-Notfallmanagement und Geschäftsfortführung
Typische Prüfungsfrage der Aufsicht
Wie stellt das Institut die Geschäftsfortführung bei IKT-Störungen sicher?
Methodik/Erwartungshaltung
Bewerten Sie die Business-Impact-Analyse (BIA), den IKT-Notfallplan, definierte RTO/RPO und die regelmässigen Tests der Notfallpläne (inkl. Alternativstandorte).
Typische Prüfungsfeststellungen
Keine aktuelle BIA, RTO/RPO nicht definiert oder nicht getestet, keine regelmässigen Notfallübungen
Erwartete Nachweise
- Business-Impact-Analyse (BIA)
- IKT-Notfallplan
- Testberichte (mindestens jährlich)
- RTO/RPO-Definitionen
DORA-Alignment: DORA Art. 11–14 (IKT-Notfallmanagement, BCM)
SREP-IT-05
IKT-Drittparteienrisiko
foundation
Auslagerungen und IKT-Drittparteienrisiko
Typische Prüfungsfrage der Aufsicht
Wie werden IKT-Auslagerungen und Drittparteienrisiken gesteuert?
Methodik/Erwartungshaltung
Prüfen Sie das Auslagerungsregister, Vertragsanforderungen nach DORA Art. 28–29, Dienstleister-Monitoring und die Regelungen für kritische IKT-Dienstleister (CTPP).
Typische Prüfungsfeststellungen
Unvollständiges Auslagerungsregister, fehlende DORA-Vertragsklauseln, kein regelmässiges Dienstleister-Monitoring
Erwartete Nachweise
- Auslagerungsregister
- Vertragsdokumentation (mit DORA-Klauseln)
- Dienstleister-Monitoring-Berichte
- CTPP-Liste
DORA-Alignment: DORA Art. 25–30 (IKT-Drittparteienrisiko, CTPP)
SREP-IT-06
IKT-Vorfallmanagement
foundation
IKT-Vorfallerkennung, -klassifizierung und -meldung
Typische Prüfungsfrage der Aufsicht
Wie erkennt, klassifiziert und meldet das Institut IKT-Vorfälle?
Methodik/Erwartungshaltung
Bewerten Sie die Prozesse zur Vorfallerkennung (SIEM/SOC), Klassifizierung nach Schweregrad, Meldeketten an BaFin/DORA-Aufsicht und die Vorfallnachbearbeitung (Lessons Learned).
Typische Prüfungsfeststellungen
Keine automatisierte Erkennung, Meldefristen nicht eingehalten, unzureichende Vorfallklassifizierung
Erwartete Nachweise
- Vorfallerkennungsverfahren
- Klassifizierungsmatrix
- Meldeprozess (DORA Art. 17–19)
- Lessons-Learned-Berichte
DORA-Alignment: DORA Art. 15–20 (IKT-Vorfallerkennung, -Meldewesen)
SREP-IT-07
Resilienztests & TLPT
foundation
Resilienztests und TLPT-Vorbereitung
Typische Prüfungsfrage der Aufsicht
Wie testet das Institut seine IKT-Resilienz? Besteht eine TLPT-Pflicht?
Methodik/Erwartungshaltung
Prüfen Sie die regelmässigen Schwachstellenscans, Penetrationstests und die TLPT-Pflicht nach DORA Art. 24–26 (abhängig von Institutseinordnung).
Typische Prüfungsfeststellungen
Keine regelmässigen Tests, keine dokumentierte Teststrategie, TLPT-Pflicht nicht geprüft
Erwartete Nachweise
- Schwachstellenscan-Berichte (quartalsweise)
- Penetrationstest-Berichte (jährlich)
- TLPT-Plan (falls anwendbar)
- Testkalender
DORA-Alignment: DORA Art. 21–26 (Resilienztests, TLPT)
SREP-IT-08
IKT-Personal & Sensibilisierung
foundation
IKT-Personal, Schulungen und Sensibilisierung
Typische Prüfungsfrage der Aufsicht
Verfügt das Institut über ausreichend qualifiziertes IKT-Personal? Wie werden Mitarbeiter sensibilisiert?
Methodik/Erwartungshaltung
Bewerten Sie die personelle Ausstattung der IKT-Abteilung, Qualifikationen, Stellvertreterregelungen und die regelmässige Sicherheitssensibilisierung aller Mitarbeiter.
Typische Prüfungsfeststellungen
Personelle Unterbesetzung in der IKT-Abteilung, keine regelmässigen Schulungen, fehlende Stellvertreterregelungen
Erwartete Nachweise
- Stellenbesetzungsplan IKT
- Qualifikationsmatrix
- Schulungsnachweise
- Sensibilisierungskampagnen
DORA-Alignment: DORA Art. 4 (Governance, Personal)
SREP-IT-09
IKT-Reporting & Kommunikation
foundation
IKT-Reporting an Vorstand und Aufsicht
Typische Prüfungsfrage der Aufsicht
Wie berichtet das Institut über IKT-Risiken, Vorfälle und Massnahmen an Vorstand und Aufsicht?
Methodik/Erwartungshaltung
Prüfen Sie die regelmässigen IKT-Risikoberichte, KPI/KRI-Definitionen, Eskalationswege und die Kommunikation mit der Aufsicht (BaFin, Bundesbank).
Typische Prüfungsfeststellungen
Kein standardisiertes IKT-Reporting, fehlende KRIs, unzureichende Aufsichtskommunikation
Erwartete Nachweise
- IKT-Risikobericht (monatlich/quartalsweise)
- KPI/KRI-Übersicht
- Eskalationsmatrix
- Aufsichtskorrespondenz
DORA-Alignment: DORA Art. 4 (Governance), Art. 19 (Reporting)
SREP-IT-10
DORA-Compliance & Nachweisreife
foundation
DORA-Compliance-Nachweise und Prüfungsvorbereitung
Typische Prüfungsfrage der Aufsicht
Wie dokumentiert das Institut seine DORA-Compliance? Sind die Nachweise revisionssicher?
Methodik/Erwartungshaltung
Bewerten Sie die Dokumentation der DORA-Compliance (Informationsregister, Risikoinventar, Verträge, Testberichte), die Nachweisführung und die Vorbereitung auf SREP-Prüfungen.
Typische Prüfungsfeststellungen
Unzureichende Dokumentation, Nachweise nicht revisionssicher, fehlende Vorbereitung auf SREP-Prüfungen
Erwartete Nachweise
- DORA-Compliance-Matrix
- Informationsregister
- Prüfungsvorbereitungsdokumentation
- Nachweiskatalog
DORA-Alignment: DORA Gesamt (insb. Art. 28–30 Register, Art. 11–14 BCM)
