DORA-Dokumentationsanforderungen

DORA-Dokumentationsanforderungen

Die Verordnung über die digitale operationale Resilienz (DORA) stellt neue Anforderungen an Unternehmen im Finanzsektor. Eine der zentralen Herausforderungen besteht darin, die umfassenden Dokumentationsanforderungen zu erfüllen. Unsere Checkliste für DORA-Dokumentationsanforderungen hilft Ihnen, Ihren Fortschritt zu bewerten und Lücken zu schließen. Entdecken Sie, wie diese Checkliste Ihnen dabei hilft, die Compliance-Anforderungen effektiv zu erfüllen und Ihr Unternehmen auf die neue Ära der digitalen Resilienz vorzubereiten.

---

Warum ist die Checkliste für DORA-Dokumentationsanforderungen wichtig?

DORA zielt darauf ab, den Finanzsektor gegen Cyberrisiken zu wappnen und die operationale Resilienz zu stärken. Die Dokumentationsanforderungen sind dabei ein zentraler Bestandteil. Mit unserer Checkliste können Sie:

• Ihre Fortschritte bewerten
• Schwachstellen identifizieren
• Maßnahmen zur vollständigen Compliance planen

---

Was beinhaltet die Checkliste?

1. Strategien
   • DOR-Strategie
   • Kommunikationsstrategie für IKT-Vorfälle
   • IKT-Drittparteienrisiko-Strategie
   • (Optionale) Multi-Anbieter-Strategie
2. Leitlinien und Richtlinien
   • Informationssicherheitsleitlinie
   • Richtlinien für IKT-Risikomanagement, Netzwerksicherheit, und mehr
3. Spezifische Verfahren
   • Schwachstellenmanagement
   • Patch-Management
   • Schutz kryptografischer Schlüssel
4. Übergreifende Dokumente
   • Geschäftsstrategie
   • Geschäftsfortführungsleitlinie inkl. BIA
   • Resilienztestprogramme

---

Wie verwenden Sie die Checkliste?

Die Checkliste ist in einfache Kategorien unterteilt, sodass Sie gezielt prüfen können:

• Erstellt: Haben Sie das erforderliche Dokument?
• Aktuell: Ist es auf dem neuesten Stand?
• Umgesetzt: Wurden die Anforderungen vollständig umgesetzt?

---

Die Vorteile einer systematischen Prüfung

Eine strukturierte Herangehensweise an die Dokumentationsanforderungen hilft Ihnen:

• Risiken zu minimieren
• Audit-Anforderungen zu erfüllen
• Ihr Unternehmen zukunftssicher zu machen

---

Fazit

Nutzen Sie die Checkliste für DORA-Dokumentationsanforderungen als Tool, um Ihre Compliance sicherzustellen. Laden Sie sich die Checkliste hier kostenlos herunter, um Ihr Unternehmen optimal auf die neuen Anforderungen vorzubereiten.

Checkliste für DORA-Dokumentationsanforderungen

DORA-Dokumentationsanforderungen im Detail

Strategie

DOR-Strategie (Art. 6 Abs. 8 i.V.m. Art. 5 Abs. 2 lit. d DORA)

Kommunikationsstrategie für IKT-bezogene Vorfälle (Art. 14 Abs. 3 i.V.m. Art. 6 Abs. 8 lit. h DORA)

Strategie für das IKT-Drittparteienrisiko (Art. 28 Abs. 2 DORA)

(optionale) Strategie zur Nutzung mehrerer IKT-Anbieter (Art. 28 Abs. 2 i.V.m. Art. 6 Abs. 9 DORA)

Leit-/ Richtlinie

Informationssicherheitsleitlinie (Art. 9 Abs. 4 lit. a DORA)

Richtlinien für das IKT-Risikomanagement (Art. 3 RTS RMF)

Richtlinie für das Management von IKT-Assets (Art. 4 RTS RMF i.V.m. Art. 9 Abs. 2 und 4 lit. c DORA)

Richtlinie für Verschlüsselung und kryptografische Kontrollen (Art. 6 und 7 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Richtlinien für das Management der IKT-Vorgänge (Betrieb) (Art. 8 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Richtlinien für Patches und Updates (Art. 9 Abs. 4 lit. f DORA)

Richtlinien für das Management der Netzwerksicherheit (Art. 13 RTS RMF)

Richtlinien zum Schutz von Informationen bei der Übermittlung (Art. 14 RTS RMF)

Richtlinien für das IKT-Projektmanagement (inkl. IKT-Projektrisikobewertung) (Art. 15 RTS RMF)

Richtlinien für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen (Art. 16 Abs. 1 RTS RMF)

Richtlinien für das IKT-Änderungsmanagement (Art. 9 Abs. 4 lit. e DORA)

Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen (Art. 18 RTS RMF)

Richtlinien für Personalpolitik (Art. 19 RTS RMF)

Richtlinien für das Identitätsmanagement (Art. 20 RTS RMF)

Richtlinien im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte (Art. 21 RTS RMF i.V.m. Art. 9 Abs. 4 lit. c DORA)

IKT-Geschäftsfortführungsleitlinie (Art. 11 DORA i.V.m. Art. 5 Abs. 2 lit. e und Art. 8 DORA; Art. 24 RTS RMF)

Richtlinien für die Datensicherung (Backup) (Art. 12 Abs. 1 lit. a und Abs. 2 DORA)

Kommunikationsleitlinien für Mitarbeiter (in Bezug auf den IKT-Risikomanagementrahmen) (Art. 14 Abs. 2 DORA)

Richtlinien für die Behandlung IKT-bezogener Vorfälle (Art. 22 und 23 RTS RMF)

Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme (Art. 24 Abs. 5 DORA)

Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer o. wichtiger Funktionen (Art. 28 Abs. 2 und 10 DORA; Art. 1-11 RTS TPPol)

Weitere Dokumentationsanforderungen

Bericht über die Überprüfung des IKT-Risikomanagementrahmens (Art. 6 Abs. 5 DORA i.V.m. Art. 27 RTS RMF)

(IKT-)Revisionspläne inkl. Follow-up Verfahren bei kritischen Erkenntnissen (Art. 6 Abs. 6 und 7 i.V.m. Art. 5 Abs. 2 lit. f DORA)

Inventar aller IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten (Art. 8 Abs. 1 und 6 DORA)

Inventar aller (kritischen) Informations- und IKT-Assets (Art. 8 Abs. 1, 4 und 6 DORA)

Inventar aller Prozesse, die von IKT-Drittdienstleistern abhängen (Art. 8 Abs. 5 und 6 DORA)

Verfahren für das IKT-Risikomanagement (Art. 3 RTS RMF)

Verfahren für das Management von IKT-Assets (Art. 5 RTS RMF)

Schutzmaßnahmen für kryptografische Schlüssel (Art. 9 Abs. 4 lit. d DORA)

Register aller Zertifikate und Zertifikatspeicher für diejenigen IKT-Assets, die kritische o. wichtige Funktionen unterstützen (Art. 7 Abs. 4 RTS RMF)

Verfahren für das Management der IKT-Vorgänge (Betrieb) (Art. 8 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Verfahren für das Kapazitäts- und Leistungsmanagement (inkl. Überwachung) (Art. 9 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Verfahren für das Schwachstellen-Management (Art. 10 Abs. 1 und 2 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Verfahren für das Patch-Management (Art. 10 Abs. 3 und 4 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Verfahren für die Daten- und Systemsicherheit (Art. 11 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Verfahren, Protokolle und Tools für die Datenaufzeichnung (Logging) (Art. 12 RTS RMF)

Verfahren, Protokolle und Tools für das Management der Netzwerksicherheit (Art. 13 RTS RMF)

Verfahren, Protokolle und Tools zum Schutz von Informationen bei der Übermittlung (Art. 14 RTS RMF)

Verfahren für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen (Art. 16 Abs. 2 RTS RMF)

Verfahren und Kontrollen für das IKT-Änderungsmanagement (Art. 9 Abs. 4 lit. e DORA; Art. 17 RTS RMF)

Verfahren für das Identitätsmanagement (Art. 20 Abs. 1 RTS RMF)

Verfahren für Zugangs- und Zugriffsrechte (Art. 9 Abs. 4 lit. c DORA)

Erkennungsmechanismen von anomalen Aktivitäten (Art. 10 DORA i.V.m. Art. 23 RTS RMF)

IKT-Geschäftsfortführungspläne (IKT-GFP) (Art. 11 Abs. 6 lit. a DORA; Art. 24 und 25 RTS RMF)

Dokumentation der Tests der IKT-GFP (Art. 25 Abs. 5 RTS RMF)

IKT-Reaktions- und Wiederherstellungspläne (Art. 11 Abs. 3 DORA i.V.m. Art. 5 Abs. 2 lit. e DORA; Art. 24 u. 26 RTS RMF)

Aufzeichnungen über die Tätigkeiten vor und während Störungen bei Aktivierung der IKT-GFP oder der IKT-Reaktions- und Wiederherstellungspläne (Art. 11 Abs. 8 DORA)

Verfahren für die Datensicherung (Backup) (Art. 12 Abs. 1 lit. a und Abs. 2 DORA)

Verfahren, Protokolle und Tools zum Schutz von Informationen bei der Übermittlung (Art. 14 RTS RMF)

Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden (Art. 12 Abs. 1 lit. b und Abs. 2 DORA i.V.m. Art. 11 Abs. 2 lit. c DORA)

Programme zur Sensibilisierung für IKT-Sicherheit (Art. 13 Abs. 6 DORA i.V.m. Art. 5 Abs. 2 lit. g DORA)

Schulungen zur digitalen operationalen Resilienz (Art. 13 Abs. 6 DORA i.V.m. Art. 5 Abs. 2 lit. g DORA)

Kommunikationspläne (Art. 14 Abs. 1 DORA i.V.m. Art. 11 Abs. 2 lit. e, Abs. 6 lit. b und 7 DORA; Art. 24 RTS RMF)

Prozess für die Behandlung IKT-bezogener Vorfälle (Art. 17 DORA; Art. 23 RTS RMF)

Dokumentation IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen (Art. 17 Abs. 2 DORA)

Verfahren zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der

Tests zutage getretenen Probleme (Art. 24 Abs. 5 DORA)

Validierungsmethoden (Art. 24 Abs. 5 DORA)

Informationsregister (Art. 28 Abs. 3 DORA i.V.m. ITS RoI)

Ausstiegspläne (Art. 28 Abs. 8 DORA; Art. 10 RTS TPPol)

Übergreifendes Dokument

Geschäftsstrategie (Art. 6 Abs. 8 lit. a DORA)

(Allgemeine) Geschäftsfortführungsleitlinie (inkl. BIA) (Art. 11 Abs. 1 und 5 i.V.m. Art. 5 Abs. 2 lit. e DORA)

Programm für die Tests der digitalen operationalen Resilienz (Art. 25 Abs. 1 DORA i.V.m. Art. 24 Abs. 2 DORA)

Leitlinie für die Nutzung von IKT-Dienstleistungen (Art. 5 Abs. 2 lit. h DORA)

Quellen:

• Verordnung (EU) 2022/2554 – DORA

• RTS RMF = RTS ICT Risk Management Framework (IKT-Risikomanagementrahmen)

• RTS TPPol = RTS ICT Third-Party Policy (IKT-Drittdienstleister-Leitlinie)

• ITS RoI = ITS Register of Information (Informationsregister)

• https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2024/meldung_2024_12_17_Dokumentationsanforderungen_DORA.html