Kostenloses Compliance-Tool
Cybersicherheits-Tool | Resiliently
Kostenloses Cybersicherheits-Tool von Resiliently zur Bewertung und Verbesserung Ihrer Sicherheits posture.
🏛️
5-Säulen-Bewertung
Risikomanagement, Incident-Reporting, Tests, Drittanbieter-Risiken, Informationsaustausch
📊
Lückenanalyse
Säulenweise Bewertung mit spezifischen DORA-Artikellinks und Remediation-Empfehlungen
📄
PDF-Bericht
Laden Sie einen umfassenden Compliance-Bericht für Ihre Unterlagen und Stakeholder herunter
Share this tool
Help colleagues assess their cyber risk
Über die DORA IKT-Risiko-Checkliste
Der Digital Operational Resilience Act (DORA) — Verordnung (EU) 2022/2554 — ist am 17. Januar 2025 anwendbar geworden. Er erfordert, dass alle EU-Finanzinstitute ein umfassendes IKT-Risikomanagement über fünf Säulen hinweg implementieren: Risikomanagement-Governance, Incident-Reporting, Resilienz-Tests, Drittanbieter- Risikomanagement und Informationsaustausch über Bedrohungen.
Diese interaktive Checkliste hilft Cyber-Versicherungs-Underwritern, Risikoingieuren und Compliance-Teams die DORA-Bereitschaft eines Instituts zu bewerten. Sie deckt alle fünf Säulen mit Fragen ab, die spezifischen DORA-Artikeln zugeordnet sind, bietet eine säulenweise Bewertung, identifiziert Compliance-Lücken und erstellt einen herunterladbaren PDF-Bericht zur Dokumentation.
Wer sollte dieses Tool verwenden
- Cyber-Versicherungs-Underwriter, die DORA-Compliance als Teil der Risikobewertung für EU-Finanzinstitute bewerten
- Risikoingenieure, die Due-Diligence vor der Platzierung bei versicherten Finanzinstituten durchführen
- Compliance-Beauftragte bei Banken, Versicherern, Investmentgesellschaften und Zahlungsinstituten, die ihre DORA-Position benchmarken
- Audit-Teams, die sich auf Aufsichtsprüfungen nach DORA vorbereiten
- IKT-Drittanbieter von Finanzinstituten, die ihre Ausrichtung an DORA-Anforderungen bewerten
Die fünf Säulen von DORA erklärt
Säule 1: IKT-Risikomanagement (Artikel 5–16)
Das Rückgrat von DORA — erfordert einen umfassenden, vom Vorstand genehmigten IKT-Risikomanagement-Rahmen covering identification, protection, detection, response, and learning. Muss jährlich überprüft werden und in das allgemeine Enterprise-Risikomanagement integriert werden.
Säule 2: IKT-Incident-Reporting (Artikel 17–23)
Gestaffeltes Incident-Reporting-Regime mit 4-Stunden-Erstmeldung, 72-Stunden-Zwischenbericht, und 1-Monat-Abschlussbericht. Verwendet standardisierte ESA-ITS-Vorlagen für harmonisiertes grenzüberschreitendes Reporting.
Säule 3: Digital Operational Resilience Testing (Artikel 24–27)
Jährliche Schwachstellenbewertungen, szenariobasierte Tests und risikobasierte Penetrationstests. Bedeutende Institute müssen alle 3 Jahre Threat-Led Penetration Testing (TLPT) auf Live-Produktionssystemen mit unabhängigen externen Parteien durchführen.
Säule 4: IKT-Drittanbieter-Risikomanagement (Artikel 28–44)
Umfassende Drittanbieter-Überwachung einschließlich Informationsregister, vertraglicher Anforderungen (Audit-Rechte, Exit-Strategien), Konzentrationsrisikobewertung und direkte Überwachung kritischer IKT-Anbieter durch ESAs über das Joint Examinations Network.
Säule 5: Informationsaustausch (Artikel 45)
Ermöglicht — aber verpflichtet nicht — den Austausch von Cyber-Bedrohungsinformationen durch Informationsvereinbarungen (ISAs) mit Haftungsschutz für gutgläubige Teilnehmer.
DORA und NIS2: Das Zusammenspiel verstehen
DORA fungiert als lex specialis zu NIS2 für Finanzinstitute — es hat Vorrang bei Angelegenheiten, die es abdeckt. Finanzinstitute müssen jedoch möglicherweise weiterhin NIS2 für bestimmte Incident-Reporting- Verpflichtungen einhalten (insbesondere CSIRT-Benachrichtigung). IKT-Drittanbieter von Finanzinstituten, die keine Finanzinstitute selbst sind, können hauptsächlich unter NIS2 fallen statt unter DORA.
Für ein vollständiges regulatorisches Bild verwenden Sie auch unseren NIS2-Compliance-Prüfer.