DORA Übergreifend

Dokumentation als Prüfgrundlage.

DORA verlangt nachvollziehbare, aktuelle und vollständige Dokumentation aller Resilienzmaßnahmen.

Management-Zusammenfassung

Dokumentation ist die Pruefgrundlage fuer DORA-Compliance und muss vollstaendig, aktuell und nachvollziehbar sein.
Jeder DORA-Artikel hat spezifische Dokumentationspflichten: IKT-Risikomanagement, Drittparteien, Vorfaelle, Tests, Register.
Dokumentenlenkung sichert Versionierung, Freigabe, Verteilung und regelmaessige Review — analog zu ISO 27001 A.5.37.
Pruefer und Aufseher erwarten strukturierte Evidence Packs, die Anforderung, Massnahme, Nachweis und Review verbinden.

Sollzustand Dokumentation

Dokumentationsinventar: Alle DORA-relevanten Dokumente sind erfasst, kategorisiert und einem Owner zugeordnet.
Versionslenkung: Jede Dokumentation hat eindeutige Versionsnummer, Freigabestatus, Gueltigkeitszeitraum und Aenderungsprotokoll.
Review-Zyklen: Dokumente werden regelmaessig reviewed (mindestens jaehrlich, bei Aenderungen ad-hoc).
Pruefzugriff: Dokumentation ist fuer interne und externe Pruefer strukturiert verfuegbar (Evidence Packs).
Retention: Aufbewahrungsfristen sind definiert (mind. 5 Jahre fuer regulatorisch relevante Dokumente).

Umsetzungsschritte

Dokumentationsinventar erstellen: Alle existierenden Richtlinien, Prozesse, Register und Nachweise katalogisieren.
Gap-Analyse zu DORA-Artikeln: Fehlende Dokumentation fuer IKT-Risiko (Art. 5–13), Drittparteien (Art. 28–30), Vorfaelle (Art. 17–20), Tests (Art. 24–26), Register (Art. 35) identifizieren.
Dokumentenlenkung einfuehren: Freigabe, Versionierung, Verteilung, Review, Archivierung nach ISO 27001 A.5.37.
Verantwortliche benennen: Pro Dokument ein Owner (Erstellung), ein Reviewer (Qualitaet) und ein Approver (Freigabe).
Evidence Packs definieren: Zusammenstellung von Dokumentation je DORA-Artikel fuer Pruefungszwecke.
Aktualisierungsprozesse etablieren: Trigger (Aenderung, Incident, Review-Zyklus), Workflow, Eskalation bei Ueberfaelligkeit.

DORA-Dokumentationspflichten nach Artikel

Art. 5–13 (IKT-Risikomanagement): Risikostrategie, Inventar, Schutzbedarfsfeststellung, Kontrollkatalog, Monitoring-Berichte.
Art. 17–20 (Vorfallmanagement): Incident-Response-Plaene, Klassifizierungskriterien, Meldeprotokolle, Lessons-Learned-Dokumentation.
Art. 24–26 (Tests): Testprogramm, Testpläne, Testberichte, Findings-Management, Retest-Nachweise, TLPT-Berichte.
Art. 28–30 (Drittparteien): Due-Diligence-Berichte, Vertraege, Exit-Strategien, CTPP-Oversight-Dokumentation.
Art. 35 (Informationsregister): Datenqualitaetsnachweise, Fehlerprotokolle, Einreichungsbestaetigungen, Aktualisierungslogs.

Typische Luecken in der Dokumentation

Fehlende Verknuepfung zwischen DORA-Artikel und interner Dokumentation (kein Mapping).
Unvollstaendige Versionierung: Aenderungen nicht nachvollziehbar, alte Versionen nicht archiviert.
Fehlende regelmaessige Reviews: Dokumente veralten, keine aktualisierte Risikobewertung.
Evidence Packs unstrukturiert: Pruefer muessen Dokumente aus verschiedenen Systemen zusammensuchen.
Fehlende Retention-Policy: Nicht klar, welche Dokumente wie lange aufbewahrt werden muessen.

Sollzustand

Alle wesentlichen Prozesse sind dokumentiert.
Dokumentation ist aktuell und versioniert.
Verantwortlichkeiten fuer Pflege sind zugeordnet.
Prüfzugriff ist sichergestellt.

Umsetzungsschritte

Dokumentationslandschaft analysieren.
Lücken zu DORA-Anforderungen identifizieren.
Dokumentationsverantwortliche benennen.
Aktualisierungsprozesse definieren.

Management Summary

Governance und Verantwortlichkeiten sind klar auf Management-Ebene verankert.
Risikobasierte Umsetzung und Nachweislogik sind verbindlich definiert.
Wesentliche Feststellungen werden regelmaessig in Steuerungsgremien berichtet.
Abweichungen werden mit Fristen, Ownern und Reifegradwirkung nachverfolgt.

Typische Lücken & ISO/IEC 27001-Verbindung

Typische Lücken: unklare Ownership, uneinheitliche Datenstaende, fehlende End-to-End-Nachweise.
ISO/IEC 27001:2022 Bezug auf Rollen, Kontrollen, Lieferantensteuerung und kontinuierliche Verbesserung herstellen.
Kontrollmapping zwischen DORA-Anforderung, interner Richtlinie und Evidenz prozessual absichern.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Dokumentationsrahmen, der DORA-Nachweispflichten operationalisiert.

A.5.1: Management-Richtlinie fuer Informationssicherheit — DORA-Strategie-Dokumentation
A.5.37: Dokumentierte Betriebsverfahren — Lenkung, Freigabe, Verteilung und Review
A.5.33: Schutz von Aufzeichnungen — Aufbewahrung, Zugriffsschutz, Integritaet von Nachweisen
A.5.34: Datenschutz und Privatsphaere — Datenschutzdokumentation bei Meldeprozessen
A.7.5: Authentifizierungsinformationen — Dokumentation von Zugriffsrechten und Berechtigungskonzepten
A.8.8: Technische Sicherheitsueberpruefung — Dokumentation von Testergebnissen und Remediation

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: DORA — Dokumentationspflichten Stand: Abruf 2026-05-13
BaFin: DORA — Informationsregister und Datenqualitaet Stand: Abruf 2026-05-13
EBA: Guidelines on ICT and security risk management Stand: Abruf 2026-05-13

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.