Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
ae008d7d25634cef7d4668d00a40a1caa1c10dd7
breakpilot-compliance/ai-compliance-sdk/policies/obligations/v2/dora_v2.json
Benjamin Admin 38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 32s
Details
CI / test-python-backend-compliance (push) Successful in 29s
Details
CI / test-python-document-crawler (push) Successful in 20s
Details
CI / test-python-dsms-gateway (push) Successful in 18s
Details
feat(ucca): Pflichtendatenbank v2 (325 Obligations), Trigger-Engine, TOM-Control-Mapping 
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20)
- Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths)
- Generischer JSONRegulationModule-Loader mit YAML-Fallback
- Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation)
- Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown)
- ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling
- 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup)
- Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View
- 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-05 14:51:44 +01:00

569 lines
25 KiB
JSON
Raw Blame History

{
"regulation": "dora",
"name": "Digital Operational Resilience Act (EU) 2022/2554",
"description": "Verordnung (EU) 2022/2554 ueber die digitale operationale Resilienz im Finanzsektor — einheitliche Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienz-Tests und Drittparteienrisiko",
"version": "1.0",
"effective_date": "2025-01-17",
"obligations": [
{
"id": "DORA-OBL-001",
"title": "IKT-Risikomanagement-Rahmen einrichten",
"description": "Einrichtung eines umfassenden IKT-Risikomanagement-Rahmens mit Strategien, Leitlinien und Verfahren zum Schutz aller IKT-Assets. Der Rahmen muss jaehrlich ueberprueft und nach schwerwiegenden Vorfaellen aktualisiert werden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 5", "title": "Governance und Organisation"}
],
"sources": [
{"type": "article", "ref": "Art. 5 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": {"type": "recurring", "interval": "P1Y"},
"sanctions": {"max_fine": "Bussgeld nach nationalem Recht", "personal_liability": true},
"evidence": ["IKT-Risikomanagement-Rahmen", "Jaehrlicher Review-Bericht"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-002",
"title": "IKT-Governance durch Leitungsorgan",
"description": "Das Leitungsorgan traegt die Gesamtverantwortung fuer das IKT-Risikomanagement. Es muss IKT-Strategien genehmigen, Rollen definieren, Budget zuweisen und sich regelmaessig ueber IKT-Risiken informieren lassen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 5 Abs. 2", "title": "Verantwortung des Leitungsorgans"}
],
"sources": [
{"type": "article", "ref": "Art. 5 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Vorstand/Geschaeftsfuehrung",
"evidence": ["Vorstandsbeschluss IKT-Strategie", "Schulungsnachweise Leitungsorgan"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-003",
"title": "IKT-Risikomanagement-Funktion einrichten",
"description": "Einrichtung einer unabhaengigen IKT-Risikomanagement-Kontrollfunktion (oder Beauftragung eines externen Dienstleisters bei kleinen Instituten). Die Funktion muss ueber ausreichende Ressourcen und Befugnisse verfuegen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.is_regulated", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 6", "title": "IKT-Risikomanagement-Rahmen"}
],
"sources": [
{"type": "article", "ref": "Art. 6 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO/IKT-Risikomanager",
"evidence": ["Stellenbeschreibung IKT-Risikomanager", "Organigramm", "Ressourcenplan"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-004",
"title": "Identifikation aller IKT-Assets und -Risiken",
"description": "Vollstaendige Identifikation, Klassifizierung und Dokumentation aller IKT-gestuetzten Geschaeftsfunktionen, IKT-Assets, Informationsquellen und deren Abhaengigkeiten. Regelmnaessige Aktualisierung des IKT-Asset-Inventars.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 7", "title": "IKT-Systeme, -Protokolle und -Tools"}
],
"sources": [
{"type": "article", "ref": "Art. 7 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "IT-Leiter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["IKT-Asset-Inventar", "Abhaengigkeitsanalyse", "Klassifizierungsmatrix"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-005",
"title": "IKT-Schutzmassnahmen implementieren",
"description": "Implementierung von Schutz- und Praeventionsmassnahmen fuer IKT-Systeme: Sicherheitsrichtlinien, Zugriffskontrollen, Verschluesselung, Netzwerksicherheit, Patch-Management und sichere Konfiguration.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 8", "title": "Schutz und Praevention"},
{"norm": "DORA", "article": "Art. 9", "title": "Erkennung"}
],
"sources": [
{"type": "article", "ref": "Art. 8-9 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "CISO",
"evidence": ["Sicherheitsrichtlinien", "Zugriffsmatrix", "Patch-Management-Bericht"],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.ACC.01"],
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-006",
"title": "Anomalie-Erkennung und -Ueberwachung",
"description": "Einrichtung von Mechanismen zur Erkennung anomaler Aktivitaeten in IKT-Systemen einschliesslich Netzwerk-Performance, IKT-bezogener Vorfaelle und potenzieller Cyberbedrohungen. Mehrere Kontrollschichten implementieren.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 9", "title": "Erkennung"}
],
"sources": [
{"type": "article", "ref": "Art. 9 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "SOC-Leiter",
"evidence": ["SIEM-Konfiguration", "Anomalie-Erkennungs-Berichte", "Monitoring-Dashboard"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-007",
"title": "IKT-Vorfall-Reaktionsplaene",
"description": "Festlegung von Reaktions- und Wiederherstellungsplaenen fuer IKT-bezogene Vorfaelle mit klaren Rollen, Eskalationsverfahren und Kommunikationsplaenen. Regelmaessige Tests der Plaene durch Simulationen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 10", "title": "Reaktion und Wiederherstellung"}
],
"sources": [
{"type": "article", "ref": "Art. 10 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"deadline": {"type": "recurring", "interval": "P1Y", "event": "Jaehrlicher Test"},
"evidence": ["Incident-Response-Plan", "Testbericht Simulation", "Eskalationsmatrix"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-008",
"title": "Backup- und Wiederherstellungsrichtlinien",
"description": "Erstellung und Umsetzung von Backup-Richtlinien mit festgelegten Umfang, Haeufigkeit und Aufbewahrungsfristen. Regelmaessige Tests der Wiederherstellung einschliesslich Systemwiederanlauf und Datenintegritaetspruefung.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 11", "title": "Backup-Strategien und Wiederherstellung"}
],
"sources": [
{"type": "article", "ref": "Art. 11 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "IT-Leiter",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["Backup-Richtlinie", "Wiederherstellungstest-Protokoll", "RPO/RTO-Dokumentation"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-009",
"title": "Redundanz und Geschaeftskontinuitaet",
"description": "Sicherstellung der Geschaeftskontinuitaet durch redundante IKT-Kapazitaeten. Business-Continuity-Plaene muessen IKT-Ausfallszenarien abdecken und regelmaessig getestet werden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.has_critical_ict", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 12", "title": "Geschaeftskontinuitaetsmanagement"}
],
"sources": [
{"type": "article", "ref": "Art. 12 VO (EU) 2022/2554"}
],
"category": "Technisch",
"responsible": "IT-Leiter",
"evidence": ["BCP-Plan", "Redundanz-Architektur", "BCP-Testbericht"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-010",
"title": "Krisenkommunikation bei IKT-Vorfaellen",
"description": "Etablierung von Kommunikationsplaenen fuer IKT-bezogene Vorfaelle und Krisen: interne Kommunikation, Kommunikation mit Kunden und Gegenparteien, Medien und Aufsichtsbehoerden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 13", "title": "Kommunikation"}
],
"sources": [
{"type": "article", "ref": "Art. 13 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "Kommunikationsabteilung",
"evidence": ["Krisenkommunikationsplan", "Kontaktlisten Behoerden", "Vorlagen Kundeninformation"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-011",
"title": "Lessons Learned aus IKT-Vorfaellen",
"description": "Systematische Analyse und Aufarbeitung von IKT-bezogenen Vorfaellen. Erkenntnisse muessen dokumentiert und in die Verbesserung des IKT-Risikomanagement-Rahmens einfliessen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 14", "title": "Lernen und Weiterentwicklung"}
],
"sources": [
{"type": "article", "ref": "Art. 14 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"evidence": ["Post-Incident-Reviews", "Massnahmenplan", "Schulungsunterlagen"],
"priority": "mittel",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-012",
"title": "IKT-Vorfallmanagement-Prozess",
"description": "Einrichtung eines Prozesses zur Erkennung, Verwaltung und Meldung IKT-bezogener Vorfaelle mit Fruehwarnindikatoren, Klassifizierungskriterien und Eskalationsverfahren.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 15", "title": "IKT-bezogenes Vorfallmanagement"}
],
"sources": [
{"type": "article", "ref": "Art. 15 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"evidence": ["Vorfallmanagement-Prozess", "Klassifizierungsschema", "Eskalationsmatrix"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-013",
"title": "Klassifizierung von IKT-Vorfaellen",
"description": "Klassifizierung aller IKT-bezogenen Vorfaelle nach definierten Kriterien: betroffene Kunden, Dauer, geografische Ausbreitung, Datenverluste, Kritikalitaet der Dienste und wirtschaftliche Auswirkungen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 16", "title": "Klassifizierung IKT-bezogener Vorfaelle"}
],
"sources": [
{"type": "article", "ref": "Art. 16 VO (EU) 2022/2554"}
],
"category": "Organisatorisch",
"responsible": "CISO",
"evidence": ["Klassifizierungskriterien", "Vorfall-Register", "Schwellenwert-Dokumentation"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-014",
"title": "Schwerwiegende IKT-Vorfaelle melden",
"description": "Schwerwiegende IKT-bezogene Vorfaelle muessen der zustaendigen Aufsichtsbehoerde gemeldet werden: Erstmeldung, Zwischenmeldung und Abschlussbericht innerhalb der vorgegebenen Fristen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.is_regulated", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 17", "title": "Meldung schwerwiegender IKT-bezogener Vorfaelle"}
],
"sources": [
{"type": "article", "ref": "Art. 17 VO (EU) 2022/2554"}
],
"category": "Meldepflicht",
"responsible": "CISO",
"deadline": {"type": "on_event", "event": "Schwerwiegender IKT-Vorfall", "duration": "PT4H"},
"sanctions": {"max_fine": "Bussgeld nach nationalem Recht", "personal_liability": true},
"evidence": ["Erstmeldung", "Zwischenmeldung", "Abschlussbericht"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-015",
"title": "Freiwillige Meldung erheblicher Cyberbedrohungen",
"description": "Finanzunternehmen koennen erhebliche Cyberbedrohungen freiwillig der Aufsichtsbehoerde melden, wenn sie die Bedrohung als relevant fuer das Finanzsystem erachten. Standardisiertes Meldeformat verwenden.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 18", "title": "Freiwillige Meldung erheblicher Cyberbedrohungen"}
],
"sources": [
{"type": "article", "ref": "Art. 18 VO (EU) 2022/2554"}
],
"category": "Meldepflicht",
"responsible": "CISO",
"evidence": ["Meldeformular Cyberbedrohung", "Bedrohungsanalyse"],
"priority": "niedrig",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-016",
"title": "Programm fuer Tests der digitalen Resilienz",
"description": "Einrichtung eines umfassenden Programms fuer Tests der digitalen operationalen Resilienz: Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Penetrationstests und szenariobasierte Tests.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 19", "title": "Allgemeine Anforderungen an Tests"}
],
"sources": [
{"type": "article", "ref": "Art. 19 VO (EU) 2022/2554"}
],
"category": "Audit",
"responsible": "CISO",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["Testprogramm", "Schwachstellenscan-Berichte", "Penetrationstest-Bericht"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-017",
"title": "Bedrohungsorientierte Penetrationstests (TLPT)",
"description": "Durchfuehrung bedrohungsorientierter Penetrationstests (Threat-Led Penetration Testing) mindestens alle 3 Jahre fuer bedeutende Finanzunternehmen. Tests muessen von qualifizierten externen Pruefern durchgefuehrt werden.",
"applies_when": "significant_financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "financial.has_critical_ict", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 22", "title": "Bedrohungsorientierte Penetrationstests"}
],
"sources": [
{"type": "article", "ref": "Art. 22 VO (EU) 2022/2554"},
{"type": "eu_guidance", "ref": "TIBER-EU Framework"}
],
"category": "Audit",
"responsible": "CISO",
"deadline": {"type": "recurring", "interval": "P3Y"},
"evidence": ["TLPT-Bericht", "Qualifikationsnachweis Pruefer", "Massnahmenplan"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-018",
"title": "IKT-Drittparteienrisiko-Management",
"description": "Verwaltung der Risiken aus der Nutzung von IKT-Drittdienstleistern: Risikoanalyse vor Vertragsschluss, vertragliche Mindestanforderungen, laufende Ueberwachung und Exit-Strategien fuer kritische IKT-Dienste.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 28", "title": "Allgemeine Grundsaetze"}
],
"sources": [
{"type": "article", "ref": "Art. 28 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Einkauf/Vendor-Management",
"evidence": ["IKT-Drittanbieter-Register", "Risikoanalyse je Anbieter", "Exit-Strategie"],
"priority": "kritisch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-019",
"title": "Vertragliche Anforderungen an IKT-Drittanbieter",
"description": "IKT-Dienstleistungsvertraege muessen Mindestanforderungen enthalten: SLA-Definitionen, Zugriffsrechte, Datenlokalisierung, Unterstuetzung bei Vorfaellen, Kuendigungsrechte und Audit-Rechte.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 28 Abs. 7-8", "title": "Vertragliche Anforderungen"},
{"norm": "DORA", "article": "Art. 30", "title": "Wesentliche Vertragsbestimmungen"}
],
"sources": [
{"type": "article", "ref": "Art. 28, 30 VO (EU) 2022/2554"}
],
"category": "Governance",
"responsible": "Rechtsabteilung",
"evidence": ["Vertragsvorlage IKT-Dienste", "SLA-Dokumentation", "Audit-Klausel"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
},
{
"id": "DORA-OBL-020",
"title": "Register aller IKT-Drittanbieter-Vertraege",
"description": "Fuehrung eines vollstaendigen Registers aller vertraglichen Vereinbarungen ueber IKT-Dienstleistungen. Das Register muss auf Anfrage der Aufsichtsbehoerde bereitgestellt werden und kritische IKT-Drittanbieter kennzeichnen.",
"applies_when": "financial_institution",
"applies_when_condition": {
"all_of": [
{"field": "financial.dora_applies", "operator": "EQUALS", "value": true},
{"field": "sector.is_financial_institution", "operator": "EQUALS", "value": true}
]
},
"legal_basis": [
{"norm": "DORA", "article": "Art. 28 Abs. 3", "title": "Informationsregister"}
],
"sources": [
{"type": "article", "ref": "Art. 28 VO (EU) 2022/2554"}
],
"category": "Dokumentation",
"responsible": "Vendor-Management",
"deadline": {"type": "recurring", "interval": "P1Y"},
"evidence": ["IKT-Vertragsregister", "Kritikalitaetsbewertung Anbieter"],
"priority": "hoch",
"valid_from": "2025-01-17",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "DORA-CTRL-001",
"name": "IKT-Risikobewertung und -Ueberwachung",
"description": "Kontinuierliche Bewertung und Ueberwachung von IKT-Risiken mit automatisiertem Monitoring, regelmaessigen Schwachstellenscans und Risiko-Reporting an das Leitungsorgan.",
"category": "Governance",
"what_to_do": "SIEM/SOC einrichten, Risiko-Dashboard implementieren, quartalsweises Reporting an Vorstand etablieren.",
"iso27001_mapping": ["A.5.7", "A.8.8", "A.8.16"],
"priority": "kritisch"
},
{
"id": "DORA-CTRL-002",
"name": "IKT-Vorfallmelde-Prozess",
"description": "Standardisierter Prozess fuer die Klassifizierung und Meldung schwerwiegender IKT-Vorfaelle an die zustaendige Aufsichtsbehoerde innerhalb der vorgeschriebenen Fristen.",
"category": "Meldepflicht",
"what_to_do": "Meldevorlagen erstellen, Eskalationsketten definieren, Klassifizierungskriterien dokumentieren, Testmeldungen durchfuehren.",
"iso27001_mapping": ["A.5.24", "A.5.25", "A.5.26"],
"priority": "kritisch"
},
{
"id": "DORA-CTRL-003",
"name": "Resilienz-Testprogramm",
"description": "Jaehrliches Programm zur Pruefung der digitalen operationalen Resilienz: Vulnerability Assessments, Penetrationstests, Szenario-Tests und fuer bedeutende Institute TLPT alle 3 Jahre.",
"category": "Audit",
"what_to_do": "Testplan erstellen, qualifizierte Pruefer beauftragen, Ergebnisse dokumentieren und Massnahmen nachverfolgen.",
"iso27001_mapping": ["A.5.35", "A.5.36", "A.8.8"],
"priority": "hoch"
},
{
"id": "DORA-CTRL-004",
"name": "IKT-Drittanbieter-Due-Diligence",
"description": "Strukturierter Prozess zur Bewertung und laufenden Ueberwachung von IKT-Drittdienstleistern: Risikobewertung vor Vertragsschluss, SLA-Monitoring, Audit-Rechte und Exit-Planung.",
"category": "Governance",
"what_to_do": "Vendor-Assessment-Framework einrichten, Kritikalitaets-Klassifizierung durchfuehren, jaehrliche Reviews durchfuehren.",
"iso27001_mapping": ["A.5.19", "A.5.20", "A.5.21", "A.5.22"],
"priority": "hoch"
}
],
"incident_deadlines": [
{
"phase": "Erstmeldung",
"deadline": "4 Stunden nach Klassifizierung als schwerwiegend",
"content": "Erste Meldung mit grundlegenden Informationen: Art des Vorfalls, betroffene Dienste, erste Auswirkungseinschaetzung",
"recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)",
"legal_basis": [{"norm": "DORA", "article": "Art. 17"}]
},
{
"phase": "Zwischenmeldung",
"deadline": "72 Stunden nach Erstmeldung (oder bei wesentlicher Aenderung)",
"content": "Aktualisierte Informationen zu Ursache, Auswirkungen, ergriffenen Massnahmen und voraussichtlicher Wiederherstellung",
"recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)",
"legal_basis": [{"norm": "DORA", "article": "Art. 17"}]
},
{
"phase": "Abschlussbericht",
"deadline": "1 Monat nach Wiederherstellung des Normalbetriebs",
"content": "Vollstaendiger Bericht: Ursachenanalyse, Gesamtauswirkungen, ergriffene und geplante Massnahmen, Lessons Learned",
"recipient": "Zustaendige Aufsichtsbehoerde (BaFin/EZB)",
"legal_basis": [{"norm": "DORA", "article": "Art. 17"}]
}
]
}
Reference in New Issue View Git Blame Copy Permalink