Was DORA regelt
DORA adressiert fuenf operative Kernbereiche: ICT Risk Management, ICT Incident Reporting, Digital Operational Resilience Testing, ICT Third-Party Risk Management und Information Sharing. Seit dem 17. Januar 2025 ist DORA anwendbar.
DORA als Managementsystem verstehen
DORA ist kein einzelnes Security-Projekt. Die Anforderungen muessen in Governance, Policies, Prozessen, Risikoentscheidungen, Vertraegen, Testplaenen und Nachweisen sichtbar werden.
ICT Risk Management
Kritische Funktionen, ICT Assets, Risiken, Massnahmen und Verantwortlichkeiten strukturiert erfassen.
Incident Reporting
Major ICT Incidents erkennen, klassifizieren, intern eskalieren und regulatorische Meldewege vorbereiten.
Third-Party Risk
ICT-Drittparteien, kritische Services, Vertragsanforderungen, Exit-Strategien und Nachweise steuern.
DORA Gap Assessment
Ein pragmatisches Assessment prueft Anwendungsbereich, Governance, ICT Asset Management, kritische Funktionen, Incident Management, Resilience Testing, Drittparteienregister, Vertragskontrollen und Management Reporting.
Verbindung zu NIS2, ISO 27001 und Cyber Security
Viele DORA-Anforderungen ueberschneiden sich mit ISO 27001 Controls und Cyber Security Compliance. Transperio sollte diese Ueberschneidungen in einer Control Mapping Engine abbilden, damit Unternehmen Nachweise nicht mehrfach pflegen muessen.
Spaetere SaaS-Produkte
- DORA Readiness Check.
- ICT Third-Party Register und Vertragsanforderungs-Tracker.
- Incident Reporting Workflow.
- Resilience Testing Kalender.
- DORA-zu-ISO-27001 Control Mapping.
FAQ
Seit wann gilt DORA?
DORA ist seit dem 17. Januar 2025 anwendbar.
Betrifft DORA nur Banken?
Nein. DORA gilt fuer zahlreiche Finanzunternehmen und adressiert auch ICT-Drittanbieter, die fuer den Finanzsektor relevant sind.
Welche Nachweise sind besonders wichtig?
Relevant sind ICT-Risikobewertungen, Incident-Prozesse, Resilienztests, Register zu ICT-Drittparteien, Vertragskontrollen und Managementberichte.