ISGroup Cybersicherheitsberatung

DORA-Test-Checkliste für Audit und Compliance 2026

Die DORA-Verordnung ist seit dem 17. Januar 2025 offiziell in Kraft. Für Finanzunternehmen stellt das Jahr 2026 das Jahr der operativen Reife dar, in dem es nicht mehr ausreicht, Prozesse nur konzipiert zu haben – ihre Wirksamkeit muss nun durch solide dokumentarische Nachweise belegt werden. Compliance ist kein statisches Ziel: Die Aufsichtsbehörden fordern einen kontinuierlichen Zyklus aus Tests, Behebungsmaßnahmen (Remediation) und Governance-Überprüfungen. Dieser Leitfaden bietet eine umfassende DORA-Test-Checkliste, um zu prüfen, ob Ihr Unternehmen für ein internes Audit oder eine behördliche Inspektion bereit ist.

Governance-Checkliste

  • Das Leitungsorgan hat den Rahmen für das IKT-Risikomanagement und die Strategie für Drittanbieterrisiken formell genehmigt.
  • Der jährliche Bericht zur Überprüfung des IKT-Risikomanagementrahmens wurde erstellt und an die Behörden übermittelt.
  • Klare IKT-Risikotoleranzschwellen wurden definiert und genehmigt.
  • Es existiert ein Verfahren zur Überprüfung des Rahmens, das bei wesentlichen Änderungen der Bedrohungslage oder der IKT-Assets ausgelöst wird.

Asset- und Scoping-Checkliste

  • Ein Register of Information (RoI) mit allen vertraglichen Vereinbarungen mit IKT-Drittanbietern ist vorhanden.
  • Alle kritischen oder wichtigen Funktionen (CIF) wurden identifiziert und den entsprechenden IKT-Assets und Anbietern zugeordnet.
  • Jedes IKT-Asset hat einen klar identifizierten “Eigentümer” (Owner) und eine dokumentierte Kritikalitätsklassifizierung.
  • Die Abhängigkeiten zwischen Assets, Funktionen und Anbietern (einschließlich wesentlicher Unterauftragnehmer) wurden abgebildet.

Vulnerability-Management-Checkliste

  • Schwachstellenscans auf Assets, die kritische Funktionen (CIF) unterstützen, finden mindestens wöchentlich statt.
  • Es gibt ein automatisiertes Verfahren zur Erkennung von Schwachstellen auf allen IKT-Assets.
  • Die Nutzung von Drittanbieter-Bibliotheken (einschließlich Open Source) wird nachverfolgt und auf Updates und Patches überwacht.
  • Patches werden basierend auf der Kritikalität der Schwachstelle und dem Risikoprofil des Assets priorisiert.
  • Es existiert ein dokumentiertes Register, das den gesamten Lebenszyklus von Schwachstellen von der Entdeckung bis zur Überprüfung der Schließung nachverfolgt.

Penetration-Testing-Checkliste

  • Das Testprogramm umfasst angemessene Sicherheitsüberprüfungen für internetexponierte Systeme.
  • Für Unternehmen, die TLPT unterliegen, werden die Tests auf realen Produktionssystemen (“live production systems”) durchgeführt.
  • Die Tester (intern oder extern) erfüllen die Anforderungen an Eignung, Reputation, Zertifizierung und Versicherungsschutz.
  • Die Testergebnisse enthalten eine Ursachenanalyse (Root Cause Analysis) und einen detaillierten Remediation-Plan.

Business-Continuity-Checkliste

  • IKT-Betriebskontinuitätspläne werden mindestens jährlich oder nach wesentlichen Änderungen getestet.
  • Die Tests basieren auf strengen, aber plausiblen Szenarien, einschließlich Cyberangriffen und dem Ausfall kritischer Anbieter.
  • Die Tests belegen das Erreichen der definierten Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO).
  • Das Programm umfasst Switchover-Tests auf sekundäre Standorte oder Disaster-Recovery-Umgebungen für einen repräsentativen Zeitraum.

Drittanbieter-Checkliste

  • Vor Vertragsabschluss wurde eine Due Diligence für alle IKT-Anbieter durchgeführt, die kritische Funktionen unterstützen.
  • Verträge mit IKT-Anbietern enthalten explizite Klauseln zu Audit-Rechten und zur Teilnahme an Sicherheitstests.
  • Anbieter melden kritische Schwachstellen und Risikostatistiken bezüglich der erbrachten Dienstleistungen zeitnah.
  • Das Unternehmen hat Transparenz über die wesentlichen Unterauftragnehmer in der Lieferkette der CIF.

Evidence-Pack-Checkliste für Audits

  • Richtlinien und Verfahren: Asset-Management, Schwachstellen, Vorfälle und Business Continuity.
  • Testberichte: Protokolle der wöchentlichen Scans, Pentest-Berichte und TLPT-Unterlagen.
  • Behebungspläne: Dokumentation der Korrekturmaßnahmen, Fristen und Überprüfungen der Schließung (Retest).
  • Zertifizierungen und Lebensläufe: Nachweise über die Kompetenz und Unabhängigkeit der beteiligten Tester.
  • Informationsregister: Vorlage gemäß ITS-Standards aktualisiert.
  • Incident-Management-Berichte: Erstbenachrichtigungen, Zwischenberichte und Abschlussberichte zu wesentlichen IKT-Vorfällen.

FAQ

  • Welche Dokumente muss das Unternehmen vorlegen können?
  • Neben den genehmigten Richtlinien sind technische Testberichte, unterzeichnete Remediation-Pläne, Schwachstellenregister und Nachweise über die Überwachung von Drittanbietern unerlässlich.
  • Wie weist man nach, dass das Testen risikobasiert ist?
  • Durch die Dokumentation der Business Impact Analysis (BIA) und der Asset-Klassifizierung, die begründen, warum bestimmte Systeme häufiger oder mit invasiveren Methoden getestet werden.
  • Was fehlt in DORA-Programmen am häufigsten?
  • Die häufigsten Mängel betreffen die fehlende Überprüfung der Behebung (Retest), mangelnde Transparenz bei wesentlichen Unterauftragnehmern und eine unzureichende Frequenz (nicht wöchentlich) bei Scans kritischer Systeme.

Sichern Sie Ihre Compliance für 2026: Fordern Sie noch heute ein DORA-Audit-Readiness-Assessment an, um Lücken in Ihrem Testprogramm zu identifizieren und Ihre Cybersicherheitsnachweise abzusichern.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *