{ "regulation": "dora", "name": "Digital Operational Resilience Act (EU) 2022/2554", "description": "Verordnung (EU) 2022/2554 ueber die digitale operationale Resilienz im Finanzsektor — einheitliche Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienz-Tests und Drittparteienrisiko", "version": "1.0", "effective_date": "2025-01-17", "obligations": [ { "id": "DORA-OBL-001", "title": "IKT-Risikomanagement-Rahmen einrichten", "description": "Einrichtung eines umfassenden IKT-Risikomanagement-Rahmens mit Strategien, Leitlinien und Verfahren zum Schutz aller IKT-Assets. Der Rahmen muss jaehrlich ueberprueft und nach schwerwiegenden Vorfaellen aktualisiert werden.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 5", "title": "Governance und Organisation"} ], "sources": [ {"type": "article", "ref": "Art. 5 VO (EU) 2022/2554"} ], "category": "Governance", "responsible": "Geschaeftsfuehrung", "deadline": {"type": "recurring", "interval": "P1Y"}, "sanctions": {"max_fine": "Bussgeld nach nationalem Recht", "personal_liability": true}, "evidence": ["IKT-Risikomanagement-Rahmen", "Jaehrlicher Review-Bericht"], "priority": "kritisch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-002", "title": "IKT-Governance durch Leitungsorgan", "description": "Das Leitungsorgan traegt die Gesamtverantwortung fuer das IKT-Risikomanagement. Es muss IKT-Strategien genehmigen, Rollen definieren, Budget zuweisen und sich regelmaessig ueber IKT-Risiken informieren lassen.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 5 Abs. 2", "title": "Verantwortung des Leitungsorgans"} ], "sources": [ {"type": "article", "ref": "Art. 5 VO (EU) 2022/2554"} ], "category": "Governance", "responsible": "Vorstand/Geschaeftsfuehrung", "evidence": ["Vorstandsbeschluss IKT-Strategie", "Schulungsnachweise Leitungsorgan"], "priority": "kritisch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-003", "title": "IKT-Risikomanagement-Funktion einrichten", "description": "Einrichtung einer unabhaengigen IKT-Risikomanagement-Kontrollfunktion (oder Beauftragung eines externen Dienstleisters bei kleinen Instituten). Die Funktion muss ueber ausreichende Ressourcen und Befugnisse verfuegen.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true}, {"field": "financial.is_regulated", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 6", "title": "IKT-Risikomanagement-Rahmen"} ], "sources": [ {"type": "article", "ref": "Art. 6 VO (EU) 2022/2554"} ], "category": "Organisatorisch", "responsible": "CISO/IKT-Risikomanager", "evidence": ["Stellenbeschreibung IKT-Risikomanager", "Organigramm", "Ressourcenplan"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-004", "title": "Identifikation aller IKT-Assets und -Risiken", "description": "Vollstaendige Identifikation, Klassifizierung und Dokumentation aller IKT-gestuetzten Geschaeftsfunktionen, IKT-Assets, Informationsquellen und deren Abhaengigkeiten. Regelmnaessige Aktualisierung des IKT-Asset-Inventars.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 7", "title": "IKT-Systeme, -Protokolle und -Tools"} ], "sources": [ {"type": "article", "ref": "Art. 7 VO (EU) 2022/2554"} ], "category": "Technisch", "responsible": "IT-Leiter", "deadline": {"type": "recurring", "interval": "P1Y"}, "evidence": ["IKT-Asset-Inventar", "Abhaengigkeitsanalyse", "Klassifizierungsmatrix"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-005", "title": "IKT-Schutzmassnahmen implementieren", "description": "Implementierung von Schutz- und Praeventionsmassnahmen fuer IKT-Systeme: Sicherheitsrichtlinien, Zugriffskontrollen, Verschluesselung, Netzwerksicherheit, Patch-Management und sichere Konfiguration.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 8", "title": "Schutz und Praevention"}, {"norm": "DORA", "article": "Art. 9", "title": "Erkennung"} ], "sources": [ {"type": "article", "ref": "Art. 8-9 VO (EU) 2022/2554"} ], "category": "Technisch", "responsible": "CISO", "evidence": ["Sicherheitsrichtlinien", "Zugriffsmatrix", "Patch-Management-Bericht"], "priority": "kritisch", "tom_control_ids": ["TOM.CRY.01", "TOM.ACC.01"], "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-006", "title": "Anomalie-Erkennung und -Ueberwachung", "description": "Einrichtung von Mechanismen zur Erkennung anomaler Aktivitaeten in IKT-Systemen einschliesslich Netzwerk-Performance, IKT-bezogener Vorfaelle und potenzieller Cyberbedrohungen. Mehrere Kontrollschichten implementieren.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 9", "title": "Erkennung"} ], "sources": [ {"type": "article", "ref": "Art. 9 VO (EU) 2022/2554"} ], "category": "Technisch", "responsible": "SOC-Leiter", "evidence": ["SIEM-Konfiguration", "Anomalie-Erkennungs-Berichte", "Monitoring-Dashboard"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-007", "title": "IKT-Vorfall-Reaktionsplaene", "description": "Festlegung von Reaktions- und Wiederherstellungsplaenen fuer IKT-bezogene Vorfaelle mit klaren Rollen, Eskalationsverfahren und Kommunikationsplaenen. Regelmaessige Tests der Plaene durch Simulationen.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 10", "title": "Reaktion und Wiederherstellung"} ], "sources": [ {"type": "article", "ref": "Art. 10 VO (EU) 2022/2554"} ], "category": "Organisatorisch", "responsible": "CISO", "deadline": {"type": "recurring", "interval": "P1Y", "event": "Jaehrlicher Test"}, "evidence": ["Incident-Response-Plan", "Testbericht Simulation", "Eskalationsmatrix"], "priority": "kritisch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-008", "title": "Backup- und Wiederherstellungsrichtlinien", "description": "Erstellung und Umsetzung von Backup-Richtlinien mit festgelegten Umfang, Haeufigkeit und Aufbewahrungsfristen. Regelmaessige Tests der Wiederherstellung einschliesslich Systemwiederanlauf und Datenintegritaetspruefung.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 11", "title": "Backup-Strategien und Wiederherstellung"} ], "sources": [ {"type": "article", "ref": "Art. 11 VO (EU) 2022/2554"} ], "category": "Technisch", "responsible": "IT-Leiter", "deadline": {"type": "recurring", "interval": "P1Y"}, "evidence": ["Backup-Richtlinie", "Wiederherstellungstest-Protokoll", "RPO/RTO-Dokumentation"], "priority": "kritisch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-009", "title": "Redundanz und Geschaeftskontinuitaet", "description": "Sicherstellung der Geschaeftskontinuitaet durch redundante IKT-Kapazitaeten. Business-Continuity-Plaene muessen IKT-Ausfallszenarien abdecken und regelmaessig getestet werden.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true}, {"field": "financial.has_critical_ict", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 12", "title": "Geschaeftskontinuitaetsmanagement"} ], "sources": [ {"type": "article", "ref": "Art. 12 VO (EU) 2022/2554"} ], "category": "Technisch", "responsible": "IT-Leiter", "evidence": ["BCP-Plan", "Redundanz-Architektur", "BCP-Testbericht"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-010", "title": "Krisenkommunikation bei IKT-Vorfaellen", "description": "Etablierung von Kommunikationsplaenen fuer IKT-bezogene Vorfaelle und Krisen: interne Kommunikation, Kommunikation mit Kunden und Gegenparteien, Medien und Aufsichtsbehoerden.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 13", "title": "Kommunikation"} ], "sources": [ {"type": "article", "ref": "Art. 13 VO (EU) 2022/2554"} ], "category": "Organisatorisch", "responsible": "Kommunikationsabteilung", "evidence": ["Krisenkommunikationsplan", "Kontaktlisten Behoerden", "Vorlagen Kundeninformation"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-011", "title": "Lessons Learned aus IKT-Vorfaellen", "description": "Systematische Analyse und Aufarbeitung von IKT-bezogenen Vorfaellen. Erkenntnisse muessen dokumentiert und in die Verbesserung des IKT-Risikomanagement-Rahmens einfliessen.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 14", "title": "Lernen und Weiterentwicklung"} ], "sources": [ {"type": "article", "ref": "Art. 14 VO (EU) 2022/2554"} ], "category": "Organisatorisch", "responsible": "CISO", "evidence": ["Post-Incident-Reviews", "Massnahmenplan", "Schulungsunterlagen"], "priority": "mittel", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-012", "title": "IKT-Vorfallmanagement-Prozess", "description": "Einrichtung eines Prozesses zur Erkennung, Verwaltung und Meldung IKT-bezogener Vorfaelle mit Fruehwarnindikatoren, Klassifizierungskriterien und Eskalationsverfahren.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 15", "title": "IKT-bezogenes Vorfallmanagement"} ], "sources": [ {"type": "article", "ref": "Art. 15 VO (EU) 2022/2554"} ], "category": "Organisatorisch", "responsible": "CISO", "evidence": ["Vorfallmanagement-Prozess", "Klassifizierungsschema", "Eskalationsmatrix"], "priority": "kritisch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-013", "title": "Klassifizierung von IKT-Vorfaellen", "description": "Klassifizierung aller IKT-bezogenen Vorfaelle nach definierten Kriterien: betroffene Kunden, Dauer, geografische Ausbreitung, Datenverluste, Kritikalitaet der Dienste und wirtschaftliche Auswirkungen.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 16", "title": "Klassifizierung IKT-bezogener Vorfaelle"} ], "sources": [ {"type": "article", "ref": "Art. 16 VO (EU) 2022/2554"} ], "category": "Organisatorisch", "responsible": "CISO", "evidence": ["Klassifizierungskriterien", "Vorfall-Register", "Schwellenwert-Dokumentation"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-014", "title": "Schwerwiegende IKT-Vorfaelle melden", "description": "Schwerwiegende IKT-bezogene Vorfaelle muessen der zustaendigen Aufsichtsbehoerde gemeldet werden: Erstmeldung, Zwischenmeldung und Abschlussbericht innerhalb der vorgegebenen Fristen.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true}, {"field": "financial.is_regulated", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 17", "title": "Meldung schwerwiegender IKT-bezogener Vorfaelle"} ], "sources": [ {"type": "article", "ref": "Art. 17 VO (EU) 2022/2554"} ], "category": "Meldepflicht", "responsible": "CISO", "deadline": {"type": "on_event", "event": "Schwerwiegender IKT-Vorfall", "duration": "PT4H"}, "sanctions": {"max_fine": "Bussgeld nach nationalem Recht", "personal_liability": true}, "evidence": ["Erstmeldung", "Zwischenmeldung", "Abschlussbericht"], "priority": "kritisch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-015", "title": "Freiwillige Meldung erheblicher Cyberbedrohungen", "description": "Finanzunternehmen koennen erhebliche Cyberbedrohungen freiwillig der Aufsichtsbehoerde melden, wenn sie die Bedrohung als relevant fuer das Finanzsystem erachten. Standardisiertes Meldeformat verwenden.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 18", "title": "Freiwillige Meldung erheblicher Cyberbedrohungen"} ], "sources": [ {"type": "article", "ref": "Art. 18 VO (EU) 2022/2554"} ], "category": "Meldepflicht", "responsible": "CISO", "evidence": ["Meldeformular Cyberbedrohung", "Bedrohungsanalyse"], "priority": "niedrig", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-016", "title": "Programm fuer Tests der digitalen Resilienz", "description": "Einrichtung eines umfassenden Programms fuer Tests der digitalen operationalen Resilienz: Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Penetrationstests und szenariobasierte Tests.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 19", "title": "Allgemeine Anforderungen an Tests"} ], "sources": [ {"type": "article", "ref": "Art. 19 VO (EU) 2022/2554"} ], "category": "Audit", "responsible": "CISO", "deadline": {"type": "recurring", "interval": "P1Y"}, "evidence": ["Testprogramm", "Schwachstellenscan-Berichte", "Penetrationstest-Bericht"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-017", "title": "Bedrohungsorientierte Penetrationstests (TLPT)", "description": "Durchfuehrung bedrohungsorientierter Penetrationstests (Threat-Led Penetration Testing) mindestens alle 3 Jahre fuer bedeutende Finanzunternehmen. Tests muessen von qualifizierten externen Pruefern durchgefuehrt werden.", "applies_when": "significant_financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true}, {"field": "financial.has_critical_ict", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 22", "title": "Bedrohungsorientierte Penetrationstests"} ], "sources": [ {"type": "article", "ref": "Art. 22 VO (EU) 2022/2554"}, {"type": "eu_guidance", "ref": "TIBER-EU Framework"} ], "category": "Audit", "responsible": "CISO", "deadline": {"type": "recurring", "interval": "P3Y"}, "evidence": ["TLPT-Bericht", "Qualifikationsnachweis Pruefer", "Massnahmenplan"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-018", "title": "IKT-Drittparteienrisiko-Management", "description": "Verwaltung der Risiken aus der Nutzung von IKT-Drittdienstleistern: Risikoanalyse vor Vertragsschluss, vertragliche Mindestanforderungen, laufende Ueberwachung und Exit-Strategien fuer kritische IKT-Dienste.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 28", "title": "Allgemeine Grundsaetze"} ], "sources": [ {"type": "article", "ref": "Art. 28 VO (EU) 2022/2554"} ], "category": "Governance", "responsible": "Einkauf/Vendor-Management", "evidence": ["IKT-Drittanbieter-Register", "Risikoanalyse je Anbieter", "Exit-Strategie"], "priority": "kritisch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-019", "title": "Vertragliche Anforderungen an IKT-Drittanbieter", "description": "IKT-Dienstleistungsvertraege muessen Mindestanforderungen enthalten: SLA-Definitionen, Zugriffsrechte, Datenlokalisierung, Unterstuetzung bei Vorfaellen, Kuendigungsrechte und Audit-Rechte.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 28 Abs. 7-8", "title": "Vertragliche Anforderungen"}, {"norm": "DORA", "article": "Art. 30", "title": "Wesentliche Vertragsbestimmungen"} ], "sources": [ {"type": "article", "ref": "Art. 28, 30 VO (EU) 2022/2554"} ], "category": "Governance", "responsible": "Rechtsabteilung", "evidence": ["Vertragsvorlage IKT-Dienste", "SLA-Dokumentation", "Audit-Klausel"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" }, { "id": "DORA-OBL-020", "title": "Register aller IKT-Drittanbieter-Vertraege", "description": "Fuehrung eines vollstaendigen Registers aller vertraglichen Vereinbarungen ueber IKT-Dienstleistungen. Das Register muss auf Anfrage der Aufsichtsbehoerde bereitgestellt werden und kritische IKT-Drittanbieter kennzeichnen.", "applies_when": "financial_institution", "applies_when_condition": { "all_of": [ {"field": "financial.dora_applies", "operator": "EQUALS", "value": true}, {"field": "sector.is_financial_institution", "operator": "EQUALS", "value": true} ] }, "legal_basis": [ {"norm": "DORA", "article": "Art. 28 Abs. 3", "title": "Informationsregister"} ], "sources": [ {"type": "article", "ref": "Art. 28 VO (EU) 2022/2554"} ], "category": "Dokumentation", "responsible": "Vendor-Management", "deadline": {"type": "recurring", "interval": "P1Y"}, "evidence": ["IKT-Vertragsregister", "Kritikalitaetsbewertung Anbieter"], "priority": "hoch", "valid_from": "2025-01-17", "valid_until": null, "version": "1.0" } ], "controls": [ { "id": "DORA-CTRL-001", "name": "IKT-Risikobewertung und -Ueberwachung", "description": "Kontinuierliche Bewertung und Ueberwachung von IKT-Risiken mit automatisiertem Monitoring, regelmaessigen Schwachstellenscans und Risiko-Reporting an das Leitungsorgan.", "category": "Governance", "what_to_do": "SIEM/SOC einrichten, Risiko-Dashboard implementieren, quartalsweises Reporting an Vorstand etablieren.", "iso27001_mapping": ["A.5.7", "A.8.8", "A.8.16"], "priority": "kritisch" }, { "id": "DORA-CTRL-002", "name": "IKT-Vorfallmelde-Prozess", "description": "Standardisierter Prozess fuer die Klassifizierung und Meldung schwerwiegender IKT-Vorfaelle an die zustaendige Aufsichtsbehoerde innerhalb der vorgeschriebenen Fristen.", "category": "Meldepflicht", "what_to_do": "Meldevorlagen erstellen, Eskalationsketten definieren, Klassifizierungskriterien dokumentieren, Testmeldungen durchfuehren.", "iso27001_mapping": ["A.5.24", "A.5.25", "A.5.26"], "priority": "kritisch" }, { "id": "DORA-CTRL-003", "name": "Resilienz-Testprogramm", "description": "Jaehrliches Programm zur Pruefung der digitalen operationalen Resilienz: Vulnerability Assessments, Penetrationstests, Szenario-Tests und fuer bedeutende Institute TLPT alle 3 Jahre.", "category": "Audit", "what_to_do": "Testplan erstellen, qualifizierte Pruefer beauftragen, Ergebnisse dokumentieren und Massnahmen nachverfolgen.", "iso27001_mapping": ["A.5.35", "A.5.36", "A.8.8"], "priority": "hoch" }, { "id": "DORA-CTRL-004", "name": "IKT-Drittanbieter-Due-Diligence", "description": "Strukturierter Prozess zur Bewertung und laufenden Ueberwachung von IKT-Drittdienstleistern: Risikobewertung vor Vertragsschluss, SLA-Monitoring, Audit-Rechte und Exit-Planung.", "category": "Governance", "what_to_do": "Vendor-Assessment-Framework einrichten, Kritikalitaets-Klassifizierung durchfuehren, jaehrliche Reviews durchfuehren.", "iso27001_mapping": ["A.5.19", "A.5.20", "A.5.21", "A.5.22"], "priority": "hoch" } ], "incident_deadlines": [ { "phase": "Erstmeldung", "deadline": "4 Stunden nach Klassifizierung als schwerwiegend", "content": "Erste Meldung mit grundlegenden Informationen: Art des Vorfalls, betroffene Dienste, erste Auswirkungseinschaetzung", "recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)", "legal_basis": [{"norm": "DORA", "article": "Art. 17"}] }, { "phase": "Zwischenmeldung", "deadline": "72 Stunden nach Erstmeldung (oder bei wesentlicher Aenderung)", "content": "Aktualisierte Informationen zu Ursache, Auswirkungen, ergriffenen Massnahmen und voraussichtlicher Wiederherstellung", "recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)", "legal_basis": [{"norm": "DORA", "article": "Art. 17"}] }, { "phase": "Abschlussbericht", "deadline": "1 Monat nach Wiederherstellung des Normalbetriebs", "content": "Vollstaendiger Bericht: Ursachenanalyse, Gesamtauswirkungen, ergriffene und geplante Massnahmen, Lessons Learned", "recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)", "legal_basis": [{"norm": "DORA", "article": "Art. 17"}] } ] }