Contents
DORA-Factory
DORA einfach, schnell und rechtssicher umsetzen.
Nach dem Vorbild des „modularen Produktion-Baukasten“ werden die vorgeschriebenen Dokumente in den sechs wesentlichen Bereichen der DORA produziert:
1) IKT-Risikomanagement
2) Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
3) Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT)
4) Management des IKT-Drittparteienrisikos, einschließlich Informationsregister und Anzeigepflichten
5) Überwachungsrahmen für kritische IKT-Drittdienstleister
6) Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen
Die modulare Dokumentenstruktur ermöglicht es
- den Planungs- und Konstruktionsaufwand zu verringern,
- das Investitionsvolumen stark zu reduzieren,
- Anlaufkurven durch standardisierte und erprobte Module zu verkürzen,
- die Umbaufähigkeit und damit die Weiterverwendbarkeit zu erhöhen,
- die Effizienz in der Instandhaltung zu erhöhen,
- einen hohen Qualitätsstandard zu gewährleisten und
- die Lernkurven der Mitarbeiter zu verkürzen.
DORA-Factory – Die modulare Lösung für die DORA-Umsetzung
Die DORA-Factory ist ein modularer Dokumentenbaukasten zur effizienten und rechtssicheren Umsetzung der Verordnung (EU) 2022/2554 – Digital Operational Resilience Act (DORA). Nach dem Vorbild eines modularen Produktionsbaukastens entwickelt, bietet die DORA-Factory vorgefertigte, standardisierte Dokumentenmodule für alle sechs DORA-Bereiche – sofort einsatzbereit, auditfest und skalierbar.
Unternehmen des Finanzsektors – von Kreditinstituten über Zahlungsdienstleister bis zu Kapitalverwaltungsgesellschaften – profitieren von einem durchdachten System, das den Aufwand für Planung, Erstellung und Pflege der regulatorisch geforderten Dokumentation signifikant reduziert.
Die 6 Module der DORA-Factory
- IKT-Risikomanagement
Risikoanalyse, Toleranzgrenzen, Governance-Rahmen, Kontrollpläne - Behandlung IKT-bezogener Vorfälle
Klassifizierungsschemata, Playbooks, Meldeformulare, Kommunikationsmatrix - Digitale Resilienztests inkl. TLPT
TLPT-Testpläne, Genehmigungsprozesse, Lessons-Learned-Vorlagen - Management des IKT-Drittparteienrisikos
Risikoprüfungen, Vertragsanalysen, Exit-Konzepte, Dienstleisterregister - Informationsregister & Anzeigepflichten
Registerstruktur, Änderungsprozesse, Meldefristen, ITS-konforme Umsetzung - Kritische IKT-Drittdienstleister & Cyberkrisenübungen
Kooperationsunterlagen, Krisenübungskonzepte, Kommunikations- und Reportingpläne
Ihre Vorteile mit der DORA-Factory
- Sofort nutzbare Standardmodule nach BaFin-Vorgaben
- Auditfähig und revisionssicher gemäß RTS/ITS
- Reduzierter Aufwand durch Wiederverwendbarkeit und Automatisierung
- Skalierbarkeit für Institute jeder Größe
- Integrierbar in bestehende GRC- und Dokumentationssysteme
Zielgruppe
- Kreditinstitute
- Zahlungs- und E-Geld-Institute
- Wertpapierinstitute
- Kapitalverwaltungsgesellschaften
- Versicherungen
- IT-Dienstleister im Finanzbereich
Kernelemente der DORA-Factory (Modularer Dokumentenbaukasten)
| Produktionsbaukasten | DORA-Factory Pendant |
|---|---|
| Module / MTP (Module Type Package) | DORA-Dokumentenmodule: Standardisierte Vorlagen je Themenfeld (z. B. TLPT-Testplan, IKT-Vorfallmeldung, Risikoanalyse). |
| Modulcontainer / Skid | Dokumentenpaket mit Metadaten (DORA-Bezug, Gültigkeit, verantwortliche Stelle, Freigabestatus). |
| Standardisierte Schnittstellen | Referenzverknüpfungen zwischen Modulen (z. B. IKT-Risikoanalyse ↔ Vorfallsbehandlung ↔ TTP-Abwehr). |
| Prozessleitsystem (PLS) | Governance- und Kontrollrahmen der DORA-Factory (z. B. Versionssteuerung, Genehmigungsprozesse, Verantwortungsmatrix). |
| Orchestrierung / Plug & Produce | DORA-Toolkit & Vorlagenbibliothek: Jedes Modul kann unabhängig aktiviert, ergänzt oder angepasst werden. |
| Automatisierungswerkzeuge | GRC-Systeme / DMS-Schnittstellen zur automatisierten Dokumentation, Auswertung, Versionierung und Reporting. |
Beispielhafte Module der DORA-Factory
| DORA-Bereich | Dokumentmodule (Beispiele) |
|---|---|
| 1. IKT-Risikomanagement | Risikoanalyse, Risiko-Toleranzmatrix, IKT-Policy, Risikobehandlungsplan |
| 2. Behandlung IKT-bezogener Vorfälle | Klassifizierungsschema, Vorfall-Playbook, Meldeprozess (ITS), Kommunikationsmatrix |
| 3. TLPT | TLPT-Testplan, TLPT-Genehmigungsdokument, Lessons-Learned-Vorlage, Anbieterfreigabeformular |
| 4. IKT-Drittparteienrisiko | Dienstleister-Risikoanalyse, Onboarding-Checkliste, Vertragsprüfprotokoll, Exit-Strategie |
| 5. Informationsregister & Anzeigepflichten | IKT-Registerstruktur, Änderungsformular, Meldeprozess-Leitlinie, Dokumentationshandbuch |
| 6. Kritische IKT-Drittdienstleister | Identifikationsmatrix, Risikoklassifizierung, EU-Meldestandard, Kooperationsdokumente |
| 7. Informationsaustausch & Krisenübungen | Notfallkommunikationsplan, Übungskonzept, Nachbereitungsbericht, Teilnahmeprotokoll |
Ziele des modularen Aufbaus – konkret auf DORA übertragen
| Produktionsprinzip | Übertragung auf die DORA-Factory |
|---|---|
| Planungsaufwand verringern | Vorgefertigte, regulatorisch abgestimmte Dokumentvorlagen (z. B. FAQs der BaFin) |
| Investitionsvolumen reduzieren | Nutzung standardisierter Komponenten statt Neuentwicklung |
| Anlaufzeit verkürzen | Plug-and-Play-Dokumente für jedes Institut (Skalierbarkeit je Größe und Komplexität) |
| Umbaufähigkeit erhöhen | Austausch einzelner Dokumentmodule ohne Gesamtstruktur zu gefährden |
| Effizienz in Instandhaltung erhöhen | Pflege pro Modul inkl. Versionierung, Review-Zyklen, Monitoring-Verantwortung |
| Qualitätsstandard sichern | Einheitliche Struktur, Compliance mit RTS/ITS und BaFin-Leitlinien |
| Lernkurven verkürzen | Klar definierte Templates, Kommentare, Nutzeranleitungen je Modul |