Quick-Check DORA für das Leitungsorgan
Zentrale Fragen, um schwerwiegende Feststellungen von interner Revision, Wirtschaftsprüfer & BaFin zu vermeiden
Governance & DOR-Strategie
Liegt eine klar formulierte, vom Leitungsorgan genehmigte DOR-Strategie vor, die Ziele, Verantwortlichkeiten und Risikotoleranzen messbar definiert?
Wenn NEIN → Häufigste Feststellung: „Strategie unscharf“, „Board-Accountability nicht umgesetzt“.
Erhält die Geschäftsleitung quartalsweise ein konsistentes, KPI-basiertes DORA-Reporting (Resilienz, Risiken, Incident-Daten, Drittparteien, Tests, kwF)?
Wenn NEIN → Risiko: fehlende Steuerung, DORA-Verstoß.
Kritische oder wichtige Funktionen (kwF)
Ist die Methode zur Identifikation kritischer und wichtiger Funktionen nachvollziehbar dokumentiert, prozessbasiert und vom Board freigegeben?
Wenn NEIN → Häufigste Feststellung: „kwF nicht plausibel / unvollständig“.
Liegt ein vollständiges, aktuelles kwF-Inventar vor, inklusive aller unterstützenden Systeme, Daten, Schnittstellen und Drittparteien?
Wenn NEIN → Risiko: falscher Scope für BCM, SIEM, Incident-Meldepflichten, Outsourcing.
Inventare & Abhängigkeiten
Ist ein vollständiges, regelmäßig abgeglichenes Inventar aller Funktionen, Prozesse, IKT-Assets und Daten vorhanden – inklusive Abhängigkeiten zu Dienstleistern?
Wenn NEIN → Häufigste Feststellung: „Inventare lückenhaft“, „Abhängigkeiten nicht abgebildet“.
Gibt es Data-Quality-Kontrollen (DQ-Checks) für Inventare?
Wenn NEIN → Risiko: inkonsistente Risikobewertung, fehlerhafte Incident-Klassifikation.
Drittparteien-Lifecycle & Risikoanalysen
Werden vor Vertragsabschluss systematische Risikoanalysen durchgeführt, die ICT-, operationelle, rechtliche, geopolitische und Resilienzrisiken 360° berücksichtigen?
Wenn NEIN → Häufigste Feststellung: „Due-Diligence formal, nicht substanziell“.
Gibt es ein laufendes Monitoring mit klaren KPIs, Auditrechten, Testpflichten und jährlicher Neubewertung?
Wenn NEIN → Risiko: BaFin-Fund „Monitoring unzureichend“.
Unterauftragnehmerketten
Liegt vollständige Transparenz über Unterauftragnehmerketten der Dienstleister vor (Level 1 bis n)?
Wenn NEIN → Häufigste Feststellung: „Unterauftragnehmerdaten unvollständig“.
Sind Vertragsmechanismen etabliert, die Änderungen der Kette rechtzeitig melden?
Wenn NEIN → Risiko: fehlender Kontrollpfad, DORA-Verstoß.
CTPPs, Ersetzbarkeit & Exit-Pläne
Sind alle Leistungen der 19 CTPPs identifiziert und hinsichtlich Ersetzbarkeit, Abhängigkeit und kwF-Relevanz bewertet?
Wenn NEIN → Risiko: „CTPP-Risiken nicht vollständig bewertet“.
Existiert für jede kwF-relevante CTPP-Leistung ein realistisch getesteter Exit-Plan?
Wenn NEIN → Großes Delta zu DORA, hohes Prüfrisiko.
Schutz & Prävention (Cyber-Hygiene)
Ist das Schwachstellen- und Patch-Management vollständig automatisiert, mit klar definierten Fristen und nachweisbarer Einhaltung?
Wenn NEIN → Häufigste Feststellung: „Patch-Management nicht wirksam“.
Sind Segmentierung, Verschlüsselung und Privileged-Access-Management dokumentiert und getestet?
Wenn NEIN → Risiko: schwerwiegende Cyber-Feststellungen im Prüfbericht.
Detection & SIEM / Incident Response
Sind alle kwF-relevanten Systeme vollständig am SIEM angebunden, inkl. Logschutz und Use-Case-Framework?
Wenn NEIN → Häufigste Feststellung im Bereich Detection.
Gibt es eine nachweisbare 24/7-Incident-Response-Fähigkeit mit definierten Eskalationswegen?
Wenn NEIN → Risiko: verspätete Incident-Meldungen, DORA-Verstoß.
IKT-Geschäftsfortführung (BCM), RTO/RPO & Resilienztests
Sind BIA-Ergebnisse (RTO/RPO) vollständig in Notfallplänen abgebildet und durch realitätsnahe Tests nachweislich erfüllbar?
Wenn NEIN → Häufigste Feststellung: „BIA nicht operationalisiert“.
Werden Resilienztests (inkl. Dienstleister) jährlich durchgeführt und dokumentiert?
Wenn NEIN → Risiko: fehlende Nachweise, DORA-Verstoß..
Incident-Reporting-Qualität & Meldewesen
Werden DORA-Incidents korrekt klassifiziert, fristgerecht gemeldet und vorab durch eine interne Qualitätssicherung geprüft?
Wenn NEIN → Häufigste Feststellung: „Meldequalität unzureichend“.
Nutzt das Institut bereits die neuen Standardformate/API-Kanäle (ESA JSON) für automatisiertes Meldewesen?
Wenn NEIN → erhöhte Fehlerquote, Risiko für Aufsichtsbemängelungen.
Zusammenfassung für das Leitungsorgan
Wenn in 3 oder mehr dieser 10 Themen mit „NEIN“ geantwortet wurde, besteht ein hohes Risiko für:
- Feststellungen durch die interne Revision
- Schwerwiegende Feststellungen des Jahresabschlussprüfers
- Prüfungsfeststellungen der BaFin im Rahmen von DORA-Inspektionen und ggf. aufsichtsrechtliche Maßnahmen (Nachschau, Anordnung, Berichtspflichten)