Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel IV — Art. 24/25

Testing Framework fuer digitale operationale Resilienz.

Art. 24 definiert das risikobasierte Testprogramm fuer alle kritischen Funktionen. Art. 25 spezifiziert Testarten von Schwachstellenbewertung bis Threat-Led Penetration Testing.

Disclaimer: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA Resilienztests dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Art. 24 — Tests der digitalen operationalen Resilienz

Finanzunternehmen muessen ein Testprogramm fuer die digitale operationale Resilienz einrichten, das auf den wichtigsten und kritischen Funktionen basiert.

Management-Zusammenfassung

  • Art. 24 Abs. 1: Risikobasiertes Testprogramm fuer digitale operationale Resilienz etablieren.
  • Art. 24 Abs. 2: Alle kritischen oder wichtigen Funktionen und Systeme abdecken.
  • Art. 24 Abs. 3: IKT-Drittparteien in das Testprogramm einbeziehen.
  • Art. 24 Abs. 4: Testergebnisse unverzueglich dem Management berichten.
  • Art. 24 Abs. 5: Testprogramm bei wesentlichen Risikoaenderungen aktualisieren.

ART24-001 — Risikobasiertes Testprogramm (Abs. 1)

  • Testrahmen und Governance-Struktur definieren
  • Risikobasierte Teststrategie fuer kwF entwickeln
  • Testplanung mit Geschaeftsrisiko und Kritikalitaet verknuepfen
  • Testumfang und -frequenz risikobasiert festlegen

ART24-002 — Umfassende Abdeckung aller kritischen Funktionen (Abs. 2)

  • Inventar aller kwF und unterstuetzenden IKT-Systeme erstellen
  • Abhaengigkeiten zwischen kwF, Systemen und Dritten analysieren
  • Testabdeckung fuer jede kwF definieren und dokumentieren
  • Luecken in der Testabdeckung identifizieren und schliessen

ART24-003 — Integration von IKT-Drittparteien (Abs. 3)

  • Kritische IKT-Drittparteien identifizieren
  • Testpflichten in Vertraege aufnehmen
  • Koordinationsprozesse fuer gemeinsame Tests etablieren
  • Testergebnisse von Dritten integrieren und bewerten

ART24-004 — Management-Berichterstattung (Abs. 4)

  • Berichtswege und -frequenz definieren
  • Kriterien fuer Befundschwere und Eskalation festlegen
  • Management-Reporting zu Teststatus und Befunden etablieren
  • Nachverfolgung von Massnahmen sicherstellen

ART24-005 — Aktualisierung bei Aenderungen (Abs. 5)

  • Trigger fuer Testprogramm-Review definieren
  • Aenderungsmanagement-Prozess fuer Testprogramm etablieren
  • Aenderungen von kwF, Systemen oder Risiken ueberwachen
  • Testprogramm bei Bedarf anpassen und freigeben

Art. 25 — Spezifische Anforderungen an Tests

Das Testprogramm umfasst spezifische Testarten wie Schwachstellenbewertung, Penetrationstests und Szenariotests.

ART25-001 — Vulnerability Assessments (Schwachstellenbewertung) (Abs. 1 - a))

  • Haeufigkeit: Mindestens vierteljaehrlich fuer kritische Systeme, halbjaehrlich fuer wichtige
  • Automatisierte Schwachstellenscanner einsetzen
  • Scan-Berichte analysieren und priorisieren
  • Kritische Schwachstellen zeitnah beheben
  • Trendanalyse ueber Schwachstellenentwicklung

ART25-002 — Penetrationstests (Abs. 1 - b))

  • Haeufigkeit: Jaehrlich fuer kritische/wichtige Systeme, bei wesentlichen Aenderungen zusaetzlich
  • Penetrationstest-Provider auswaehlen und qualifizieren
  • Scope und Rules of Engagement definieren
  • Test durchfuehren und Dokumentation sicherstellen
  • Befunde bewerten und Massnahmen ableiten

ART25-003 — Uebungen fuer IKT-Vorfaelle (Abs. 1 - c))

  • Haeufigkeit: Mindestens jaehrlich fuer alle kritischen Funktionen
  • Uebungsszenarien risikobasiert entwickeln
  • Uebungen mit Fachbereichen und IT durchfuehren
  • Nachbesprechung und Lessons Learned dokumentieren
  • Massnahmen aus Uebungen umsetzen und nachverfolgen

ART25-004 — Uebungen fuer Wechsel auf Backup-Systeme (Abs. 1 - d))

  • Haeufigkeit: Mindestens jaehrlich, fuer kritische Systeme hauefiger
  • Failover-Szenarien definieren und priorisieren
  • Recovery-Zeitobjektive (RTO) pruefen
  • Uebungen mit echtem Failover durchfuehren
  • Wiederanlauf-Prozesse validieren

ART25-005 — Uebungen fuer Geschaeftsfortsetzung (Abs. 1 - e))

  • Haeufigkeit: Jaehrlich fuer kritische Geschaeftsprozesse
  • Szenarien fuer Geschaeftsunterbrechung entwickeln
  • Alternative Prozesse dokumentieren und testen
  • Uebungen mit Fachbereichsteams durchfuehren
  • Vollstaendigkeit der Wiederherstellungsplaene pruefen

ART25-006 — Threat-Led Penetration Testing (TLPT) (Abs. 1 - f))

  • Haeufigkeit: Alle 3 Jahre fuer kritische ICT-Drittparteien (DORA Art. 26)
  • TLPT-Rahmenwerk auf Basis DORA-RTS etablieren
  • Testanbieter und Bedrohungsintelligenz beschaffen
  • Scope und Szenarien mit Bedrohungslage abstimmen
  • Test durchfuehren und Ergebnisse in Verbesserungen umsetzen

ART25-007 — Angemessene Tiefe und Intensitaet (Abs. 2)

  • Haeufigkeit: Bei jeder Testdurchfuehrung
  • Testtiefen-Levels definieren (Basis, Standard, Intensiv)
  • Kriterien fuer Testintensitaet festlegen
  • Testtiefe risikobasiert auswaehlen
  • Erhoehung der Testintensitaet bei wiederholten Befunden

ART25-008 — Beruecksichtigung von Bedrohungen (Abs. 3)

  • Haeufigkeit: Kontinuierlich
  • Bedrohungsintelligenz-Quellen etablieren
  • Bedrohungslage regelmaessig analysieren
  • Testszenarien an aktuellen Bedrohungen ausrichten
  • Red-Team-Szenarien mit aktuellen TTPs entwickeln

Reifegrad-Entwicklung

1

Initial

Ad-hoc Tests, keine systematische Planung

2

Definiert

Dokumentiertes Testprogramm mit definierten Prozessen

3

Verwaltet

Risikobasierte Testplanung und systematische Durchfuehrung

4

Quantitativ gemanagt

Messbare Testeffektivitaet und SLA-Einhaltung

5

Optimierend

Kontinuierliche Verbesserung und automatisierter Testzyklus

ISO/IEC 27001:2022 Control Mapping

  • A.5.7: Threat Intelligence — Basis fuer Bedrohungsbasierte Tests (Art. 25 Abs. 3)
  • A.5.24: Planung und Vorbereitung auf Informationssicherheitskontinuitaet — BCP-Tests (Art. 25 Abs. 1 d, e)
  • A.5.30: Kontinuitaet waehrend und nach Vorfaellen — Incident-Uebungen (Art. 25 Abs. 1 c)
  • A.5.37: Dokumentation zu Informationssicherheitsereignissen — Testdokumentation
  • A.7.14: Geraete sicher ausser Betrieb nehmen — Testumgebungssicherheit
  • A.8.7: Schutz gegen Malware — Malware-Test-Szenarien
  • A.8.8: Management technischer Schwachstellen — Vulnerability Assessments (Art. 25 Abs. 1 a)
  • A.8.9: Konfigurationsmanagement — Grundlage fuer Penetrationstests
  • A.8.11: Informationssicherheit in Testumgebungen — Test-Daten- und Umgebungssicherheit
  • A.8.15: Authentifizierung — Penetrationstests fuer Auth-Mechanismen
  • A.8.16: Management technischer Schwachstellen — Schwachstellenbehebung nach Tests
  • A.8.20: Netzwerksicherheit — Netzwerk-Penetrationstests (Art. 25 Abs. 1 b)
  • A.8.21: Sicherheit von Netzwerkdiensten — Service-Tests
  • A.8.31: Trennung von Entwicklungs-, Test- und Produktivumgebungen — Testisolation

Testprogramm umsetzen

Das vollständige Testprogramm mit detaillierten Umsetzungsschritten, Testarten, TLPT-Anforderungen und der Verknüpfung zu ISO 27001.

Testprogramm ansehen

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen, um DORA-Anforderungen in ein wirksames ISMS zu integrieren.

  • A.5 Informationssicherheitsrichtlinien und Governance
  • A.5.19 bis A.5.23 Lieferantenbeziehungen und Cloud-/Dienstleistersteuerung
  • A.5.24 bis A.5.27 Incident-, Continuity- und Lernprozesse
  • A.8 Technologische Kontrollen für Resilienz, Überwachung und Wiederherstellung

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung