DORA-Sollmaßnahmenkatalog

Umsetzungsschritte

• Resilienzstrategie als festen Tagesordnungspunkt im Leitungsorgan verankern.
• Jahresziele mit Risikoindikatoren und Budgetpositionen verknuepfen.
• Quartalsweise Zielerreichung inklusive Abweichungsbehandlung berichten.

Beispielnachweise

• Beschlussprotokoll des Leitungsorgans mit Zielkatalog.
• Budgetfreigabe mit Zuordnung zu Resilienzinitiativen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• RACI-Matrix fuer Business, IT, Compliance und Revision erstellen.
• Eskalationsschwellen und Entscheidungswege je Kontrollprozess festlegen.
• Rollenmodell in Richtlinie und Schulung verbindlich machen.

Beispielnachweise

• Freigegebene RACI-Matrix mit Versionshistorie.
• Schulungsnachweise fuer Rolleninhaber.

ISO/IEC 27001 Anker

Umsetzungsschritte

• KRI-Katalog mit Ampellogik und Datenquellen definieren.
• Datenqualitaetspruefung fuer Kennzahlen automatisieren.
• Management-Deck mit Risiken, Ursachen und Gegenmassnahmen standardisieren.

Beispielnachweise

• Monatsreport mit KRI-Entwicklung.
• Nachweis ueber Schwellwertverletzungen und Eskalationen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kompetenzlueckenanalyse fuer relevante Rollen durchfuehren.
• Pflichttrainings mit Fallbeispielen aus dem Institut aufsetzen.
• Wirksamkeit per Wissenscheck und Entscheidungsqualitaet nachhalten.

Beispielnachweise

• Trainingsplan mit Teilnahmequote.
• Auswertung der Kompetenzchecks je Rolle.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikokategorien fuer Verfuegbarkeit, Integritaet, Vertraulichkeit und Lieferketten definieren.
• Einheitliche Bewertungsskala fuer Eintritt, Auswirkung und Restrestrisiko festlegen.
• Taxonomie in Risiko-Tool und Kontrollprozesse integrieren.

Beispielnachweise

• Freigegebene Risikotaxonomie mit Definitionen.
• Beispielbewertung inkl. Begruendung je Kategorie.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kritische Services mit maximaler tolerierbarer Ausfallzeit bestimmen.
• Abhaengigkeiten zu Anwendungen, Daten und Providern erfassen.
• Massnahmen nach Risikoauswirkung priorisieren und terminieren.

Beispielnachweise

• Servicekritikalitaetsliste mit Schwellenwerten.
• Massnahmenbacklog mit Prioritaet und Verantwortlichen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Top-Kontrollen je Risiko mit erwarteter Wirkung definieren.
• Regeltest mit klaren Pass/Fail-Kriterien einfuehren.
• Defizite in einen verbindlichen Verbesserungsprozess ueberfuehren.

Beispielnachweise

• Kontrollkatalog mit Wirksamkeitskennzahl.
• Abweichungsprotokoll mit Korrekturmassnahmen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Triggerkriterien fuer risikorelevante Changes definieren.
• Risikopruefung als Pflichtschritt im Freigabeworkflow hinterlegen.
• Post-Implementation-Review mit Soll-Ist-Abgleich durchfuehren.

Beispielnachweise

• Change-Tickets mit Risiko-Checkliste.
• Freigabeprotokolle inklusive Restrestrisiko.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Systemklassen und zugehoerige Hardening-Standards definieren.
• Automatisierte Baseline-Pruefung in den Betriebsprozess integrieren.
• Ausnahmen zeitlich befristen und aktiv nachverfolgen.

Beispielnachweise

• Hardening-Standard pro Systemklasse.
• Compliance-Report mit offenen Abweichungen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Top-Risikoszenarien in ueberwachte Detection-Use-Cases ueberfuehren.
• Alarmqualitaet ueber False-Positive-Rate und Erkennungszeit messen.
• Use-Cases quartalsweise anhand neuer Bedrohungen aktualisieren.

Beispielnachweise

• Use-Case-Backlog mit Priorisierung.
• SOC-Kennzahlenreport zu MTTD und Alarmqualitaet.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Playbooks fuer Ransomware, Datenabfluss und Lieferantenausfall entwickeln.
• Freigabe durch Technik, Fachbereich und Kommunikation einholen.
• Halbjaehrliche Uebungen mit Lessons Learned durchfuehren.

Beispielnachweise

• Versionierte Incident-Playbooks.
• Uebungsprotokolle mit Nachverfolgung der Findings.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Recovery-Ziele je Service verbindlich festlegen.
• Abhaengigkeiten fuer Daten, Infrastruktur und externe Dienste dokumentieren.
• Wiederherstellungstests nach priorisierten Szenarien durchfuehren.

Beispielnachweise

• Service-Recovery-Blueprints mit RTO/RPO.
• Testberichte mit Ist-Zeiten und Massnahmenplan.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kriterien fuer signifkante Vorfaelle und Beinahevorfaelle definieren.
• Meldepflichtlogik in den Incident-Prozess integrieren.
• Eskalationszeiten je Schweregrad verbindlich machen.

Beispielnachweise

• Incident-Klassifikationsschema mit Entscheidungshilfe.
• Historie eskalierter Vorfaelle.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Pflichtfelder fuer Incident-Tickets definieren.
• Post-Incident-Review mit Root-Cause-Methodik standardisieren.
• Abschlussfreigabe an Nachweis der Gegenmassnahmen koppeln.

Beispielnachweise

• Abgeschlossene Incident-Tickets mit Vollstaendigkeitsscore.
• Root-Cause-Reports mit Verantwortlichen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Meldekalender und Trigger fuer Meldephaasen definieren.
• Freigabeprozess zwischen Technik, Recht und Compliance abstimmen.
• Qualitaetskontrolle fuer meldepflichtige Inhalte einfuehren.

Beispielnachweise

• Meldeprozessdiagramm mit Rollen.
• Archiv fristgerechter Meldungen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Vorfallcluster nach Ursache und Wirkung analysieren.
• Top-Ursachen in ein institutweites Verbesserungsprogramm ueberfuehren.
• Wirksamkeit ueber Trend-KPI und Revisionsfeedback messen.

Beispielnachweise

• Lessons-Learned-Backlog mit Reifegradstatus.
• Trendbericht wiederkehrender Ursachen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Testinventar nach Szenario, Tiefe und Frequenz strukturieren.
• Priorisierung anhand Kritikalitaet, Bedrohung und Veraenderungsdynamik durchfuehren.
• Abweichungen und Verschiebungen mit Managementfreigabe dokumentieren.

Beispielnachweise

• Freigegebener Resilienz-Testplan.
• Priorisierungsmatrix mit Bewertungslogik.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Szenarien mit institutsspezifischen Angriffspfaden entwickeln.
• Uebungsteam und Beobachterrollen verbindlich benennen.
• Ergebnisse mit klaren Umsetzungsfristen nachverfolgen.

Beispielnachweise

• Uebungsdrehbuch und Teilnehmerliste.
• Massnahmenprotokoll aus der Uebungsnachbereitung.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kritische Assets und Testgrenzen mit Fachbereich abstimmen.
• Rules of Engagement mit internen und externen Parteien fixieren.
• Notfallstopp und Entscheidungswege vor Teststart verifizieren.

Beispielnachweise

• TLPT-Scope-Dokument und RoE.
• Freigabeprotokoll des Steuerungsgremiums.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Findings nach Kritikalitaet, Aufwand und Risikoabbau priorisieren.
• Massnahmen in Portfolio- und Budgetsteuerung uebernehmen.
• Retests fuer kritische Findings verbindlich terminieren.

Beispielnachweise

• Finding-Register mit Status und Fristen.
• Retest-Berichte mit Closure-Entscheid.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Dienstleisterdaten aus Einkauf, IT und Fachbereich zusammenfuehren.
• Kritikalitaetsmodell fuer Servicebeitrag und Substituierbarkeit anwenden.
• Pflegeprozess mit Fristen und Kontrollpunkten etablieren.

Beispielnachweise

• Drittparteieninventar mit Aktualisierungsdatum.
• Qualitaetsreport zur Datenvollstaendigkeit.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Pruefbausteine je Kritikalitaetsstufe definieren.
• Mindestanforderungen fuer Sicherheitsnachweise festlegen.
• Freigabeentscheidung mit dokumentiertem Restrestrisiko treffen.

Beispielnachweise

• Due-Diligence-Checklisten mit Bewertungsresultat.
• Freigabevermerk inkl. Risikoauflagen.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Musterklauseln mit Recht, Einkauf und IT abstimmen.
• Klausel-Compliance im Vertragsprozess technisch pruefbar machen.
• Abweichungen nur mit dokumentierter Genehmigung zulassen.

Beispielnachweise

• Vertragsbausteinkatalog mit Pflichtklauseln.
• Abweichungsregister mit Freigabestatus.

ISO/IEC 27001 Anker

Umsetzungsschritte

• KPI-Set fuer Verfuegbarkeit, Sicherheit und Eskalationen festlegen.
• Quartalsreviews mit Provider und internen Stakeholdern durchfuehren.
• Exit- und Substitutionsszenarien regelmaessig pruefen.

Beispielnachweise

• Provider-Scorecards mit Trendanalyse.
• Exit-Playbook mit Testhistorie.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Pflichtdatenfelder und Datenherkunft je Registerobjekt definieren.
• Datenverantwortliche in Fachbereichen verbindlich benennen.
• Abgleichregeln zwischen Quellsystemen und Register etablieren.

Beispielnachweise

• Datenmodell mit Felddefinitionen.
• Owner-Liste fuer Registerobjekte.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Prozessereignisse mit Register-Update-Pflichten verknuepfen.
• Pflichtkontrolle vor Vertragsfreigabe und Produktivsetzung einfuehren.
• SLA fuer Registeraktualisierung und Eskalation definieren.

Beispielnachweise

• Workflow-Regelwerk fuer Update-Trigger.
• SLA-Report zur Aktualisierungsfrist.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Qualitaetskriterien fuer Vollstaendigkeit, Konsistenz und Plausibilitaet festlegen.
• Regelmaessige Datenqualitaetsjobs mit Fehlerklassifikation einfuehren.
• Abweichungen mit Fristen an Datenowner zurueckspielen.

Beispielnachweise

• Datenqualitaetsdashboard fuer Registerobjekte.
• Fehler- und Korrekturprotokoll.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Standardexporte fuer wiederkehrende Aufsichtsanfragen bereitstellen.
• Freigabe- und Vier-Augen-Prinzip vor Versand implementieren.
• Versand- und Inhaltsnachweise revisionssicher archivieren.

Beispielnachweise

• Exportvorlagen mit Feldmapping.
• Archivierte Auskunftsfaelle mit Freigabevermerk.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Nachweiskategorien fuer Kontrollen, Tests, Vorfaelle und Freigaben definieren.
• Ablageorte mit Zugriffsschutz und Aufbewahrungsfristen standardisieren.
• Verlinkung zwischen Nachweis und zugrunde liegendem Prozess sicherstellen.

Beispielnachweise

• Nachweiskatalog mit Klassifikationsregeln.
• Ablagestruktur mit Berechtigungsmatrix.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Standardtemplate fuer Entscheidungsprotokolle definieren.
• Verknuepfung zu Risiko, Kontrolltest und Budgetmassnahme herstellen.
• Regelmaessige Stichprobenpruefung auf Nachvollziehbarkeit durchfuehren.

Beispielnachweise

• Entscheidungsprotokolle mit Referenzobjekten.
• Stichprobenbericht der Quality Assurance.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Auditrelevante Themenfelder in standardisierte Evidence-Pakete ueberfuehren.
• Verantwortliche fuer jedes Paket und Vertretungen benennen.
• Halbjaehrliche Readiness-Checks mit Gap-Liste durchfuehren.

Beispielnachweise

• Evidence-Pakete pro Themenfeld.
• Readiness-Protokoll mit Massnahmenfortschritt.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reviewkalender fuer alle kernrelevanten Dokumente aufsetzen.
• Aenderungen mit Impact-Bewertung und Freigabeprozess koppeln.
• Ueberfaellige Reviews automatisiert eskalieren.

Beispielnachweise

• Reviewkalender mit Status je Dokument.
• Aenderungsnachweise mit Freigabekette.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Konzentrationsmetriken je Provider, Servicefamilie und Kritikalitaet definieren.
• Szenarioanalysen fuer Provider-Ausfall und Leistungseinschraenkung halbjaehrlich durchfuehren.
• Massnahmenplan fuer Diversifizierung, Architekturhaertung und Exit-Readiness priorisieren.

Beispielnachweise

• Konzentrationsreport mit Schwellenwerten und Trendanalyse.
• Szenario- und Massnahmenprotokolle fuer CTPP-Ausfaelle.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Szenario-Templates mit RTO/RPO-, Entscheidungs- und Kommunikationskriterien erweitern.
• Testdurchfuehrung mit Business, IT, Compliance und Kommunikation gemeinsam planen.
• Findings mit Fristen und Wirksamkeitsnachtest in den Verbesserungszyklus ueberfuehren.

Beispielnachweise

• Testkatalog mit kombinierten Erfolgsmetriken.
• Abnahmeprotokolle und Nachtest-Nachweise zu kritischen Findings.

ISO/IEC 27001 Anker

Umsetzungsschritte

• Datenquellen für Dienstleister, Verträge und IKT-Dienstleistungen identifizieren.
• IKT-Dienstleistungen von sonstigen Leistungen abgrenzen.
• Verantwortliche Rollen für Datenpflege und Review festlegen.
• Kritikalität, Funktionsbezug und Registerrelevanz ergänzen.
• Regelmässigen Abgleich mit Vertragsbestand und Informationsregister etablieren.

Beispielnachweise

• IKT-Dienstleisterinventar (vollständig)
• Vertragsliste mit IKT-Bezug
• Dienstleistungsklassifikation
• Datenqualitätsbericht
• Review-Protokoll
• Informationsregisterauszug

ISO/IEC 27001 Anker

Umsetzungsschritte

• Abgrenzungskriterien basierend auf DORA-Definitionen (Art. 3) entwickeln.
• Richtlinie zur Abgrenzung von IKT-Dienstleistungen verabschieden.
• Bestandsverträge auf IKT-Dienstleistungscharakter prüfen.
• Neubewertung bei wesentlichen Vertragsänderungen institutionalisieren.

Beispielnachweise

• Abgrenzungsrichtlinie für IKT-Dienstleistungen
• Bewertungsmatrix je Vertrag
• Protokoll der Bestandsprüfung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kriterien für kritische oder wichtige Funktionen institutsspezifisch definieren.
• IKT-Dienstleistungen den Funktionen zuordnen.
• Kritikalitätsbewertung dokumentieren und regelmässig aktualisieren.
• Verstärkte Anforderungen für kritische Funktionen umsetzen.

Beispielnachweise

• Funktionslandkarte mit IKT-Dienstleistungszuordnung
• Kritikalitätsbewertung je Dienstleistung
• Übersicht der kritischen IKT-Drittdienstleistungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikobewertungsmatrix für IKT-Drittdienstleister entwickeln.
• Bewertung vor Vertragsabschluss (Due Diligence) durchführen.
• Laufende Risikobewertung mindestens jährlich wiederholen.
• Ergebnisse mit Massnahmen und Fristen dokumentieren.

Beispielnachweise

• Risikobewertungsmatrix je Dienstleister
• Due-Diligence-Bericht
• Jährliche Risikobewertung mit Aktualisierung
• Massnahmenübersicht aus Risikobewertungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• DORA-Mindestklauselkatalog aus Art. 28 Abs. 2 ableiten.
• Vertragsprüfprozess mit Checkliste und Freigabestufen etablieren.
• Bestandsverträge auf Klausellücken prüfen und nachbessern.
• Abweichungen dokumentieren und managementseitig freigeben.

Beispielnachweise

• Klauselkatalog mit DORA-Mindestanforderungen
• Vertragsprüf-Checkliste
• Abweichungsregister mit Freigabevermerk
• Nachgebesserte Verträge

ISO/IEC 27001 Anker

Umsetzungsschritte

• Audit-, Kontroll- und Zugangsrechte als Pflichtklauseln definieren.
• Ausübungskonzept für Kontrollrechte (Häufigkeit, Umfang, Eskalation) erstellen.
• Kontrollrechte regelmässig ausüben und Ergebnisse dokumentieren.
• Verweigerung von Kontrollrechten als Risikoindikator eskalieren.

Beispielnachweise

• Vertragsklauseln zu Audit- und Kontrollrechten
• Jährlicher Kontrollplan
• Durchgeführte Audits und Prüfberichte
• Eskalationsvermerk bei verweigerten Rechten

ISO/IEC 27001 Anker

Umsetzungsschritte

• Vertragliche Verpflichtung zur Offenlegung von Unterauftragnehmern aufnehmen.
• Leistungsketten für kritische IKT-Dienstleistungen erfassen.
• Unterauftragnehmer auf Konzentrationsrisiken prüfen.
• Änderungen im Unterauftragnehmerverhältnis meldepflichtig machen.

Beispielnachweise

• Leistungskettenübersicht je kritischer Dienstleistung
• Vertragsklauseln zu Unterauftragnehmern
• Konzentrationsrisikoanalyse
• Änderungsmeldungen und Freigaben

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kritische oder wichtige IKT-Drittdienstleistungen identifizieren.
• Exit-Szenarien und Auslöser definieren.
• Technische, vertragliche und operative Abhängigkeiten dokumentieren.
• Ersatz- oder Übergangsoptionen bewerten.
• Exit-Strategien regelmässig prüfen und, wenn angemessen, testen.
• Ergebnisse und offene Risiken managementfähig berichten.

Beispielnachweise

• Exit-Strategie je kritischer Dienstleistung
• Exit-Testprotokoll
• Abhängigkeitsanalyse
• Gremienfreigabe
• Massnahmenverfolgung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Test-Szenarien für Exit-Fälle definieren (Datenrückgabe, Migration, Löschung).
• Jährlichen Testplan für Exit-Übungen erstellen.
• Testergebnisse dokumentieren und Verbesserungen ableiten.
• Nicht bestandene Tests mit Massnahmen und Fristen versehen.

Beispielnachweise

• Exit-Testplan für das laufende Jahr
• Durchgeführte Exit-Tests mit Ergebnissen
• Verbesserungsmassnahmen aus Tests
• Management-Freigabe der Testergebnisse

ISO/IEC 27001 Anker

Umsetzungsschritte

• Konzentrationsdimensionen definieren (Dienstleister, Region, Technologie, Branche).
• Konzentrationsrisikoanalyse mindestens jährlich durchführen.
• Kritische Konzentrationen mit Massnahmenplänen versehen.
• Ergebnisse in das gesamtinstitutische Risikomanagement einsteuern.

Beispielnachweise

• Konzentrationsrisikoanalyse (aktuell)
• Massnahmenplan für identifizierte Konzentrationsrisiken
• Reporting an das Leitungsorgan
• Monitoring kritischer Konzentrationen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Überwachungskennzahlen je Dienstleister (Verfügbarkeit, Sicherheitsvorfälle, SLA-Einhaltung) definieren.
• Regelmässige Leistungs- und Risikoberichte von Dienstleistern einfordern.
• Abweichungen systematisch erfassen, eskalieren und nachverfolgen.
• Steuerungsgespräche mit kritischen Dienstleistern institutionalisieren.

Beispielnachweise

• Überwachungskonzept mit Kennzahlen
• Dienstleister-Scorecards mit Trend
• Abweichungsprotokoll mit Eskalation
• Steuerungsgesprächsprotokolle

ISO/IEC 27001 Anker

Umsetzungsschritte

• Registerdatenmodell mit allen DORA-Pflichtfeldern definieren.
• Datenquellen mit automatisierten Schnittstellen anbinden.
• Datenqualitätsregeln und Korrekturprozesse etablieren.
• Register periodisch auf Vollständigkeit und Aktualität prüfen.

Beispielnachweise

• Informationsregisterauszug (vollständig)
• Datenqualitätsbericht
• Schnittstellendokumentation
• Review-Protokoll der Registerdaten

ISO/IEC 27001 Anker

Umsetzungsschritte

• Meldepflichten und -fristen für Sicherheitsvorfälle vertraglich regeln.
• Kommunikationsschnittstellen und Ansprechpartner benennen.
• Eingehende Dienstleister-Meldungen in den Incident-Prozess integrieren.
• Regelmässige Kommunikationsübungen mit kritischen Dienstleistern durchführen.

Beispielnachweise

• Vertragsklauseln zu Meldefristen
• Kommunikationsmatrix je Dienstleister
• Eingegangene Meldungen und Bearbeitungsnachweise
• Übungsprotokolle zur Incident-Kommunikation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reporting-Kennzahlen für IKT-Drittparteienrisiko definieren.
• Standardisiertes Reporting-Template entwickeln.
• Reporting-Rhythmus (quartalsweise) und Eskalationsschwellen festlegen.
• Reporting mit dem gesamtinstitutischen Risikobericht abstimmen.

Beispielnachweise

• Quarterly TPR-Report an das Leitungsorgan
• Kennzahlen-Dashboard (Dienstleister, Risiken, Massnahmen)
• Eskalationsnachweise bei Schwellwertverletzungen
• Sitzungsprotokolle mit TPR-Tagesordnungspunkt

ISO/IEC 27001 Anker

Umsetzungsschritte

• Massnahmenkategorien für TPR-spezifische Befunde definieren.
• Tracking-System mit Fristen, Verantwortlichen und Status aufsetzen.
• Regelmässige Review-Termine zur Massnahmenverfolgung institutionalisieren.
• Überfällige Massnahmen eskalieren und managementseitig nachsteuern.

Beispielnachweise

• Massnahmen- und Befundtracking (aktuell)
• Review-Protokolle mit Status je Massnahme
• Eskalationsnachweise bei überfälligen Massnahmen
• Wirksamkeitsnachweise abgeschlossener Massnahmen

ISO/IEC 27001 Anker

Umsetzungsschritte

• IST-Governance für IKT-Risikomanagement aufnehmen und gegen DORA-Anforderungen mappen.
• Governance-Rahmen mit Leitungsorgan-Verantwortung, Ausschüssen, Rollen und Entscheidungswegen entwerfen.
• Eskalationsschwellen für IKT-Risiken in Zusammenarbeit mit Risikocontrolling festlegen.
• Rahmen durch Leitungsorgan freigeben und in der Organisation kommunizieren.
• Jährlichen Review-Prozess für den Governance-Rahmen institutionalisieren.

Beispielnachweise

• Freigegebener Governance-Rahmen (aktuell)
• Gremienbeschluss zur Verabschiedung
• Eskalationsmatrix für IKT-Risiken
• Review-Protokoll mit Änderungshistorie

ISO/IEC 27001 Anker

Umsetzungsschritte

• RACI-Matrix für IKT-Risikomanagement mit Fachbereichen, IT, Risikocontrolling, Informationssicherheit und Revision erstellen.
• Stellvertretungsregelungen für jede Schlüsselrolle festlegen.
• Rollen in Stellenbeschreibungen und Zielvereinbarungen integrieren.
• Rollenverständnis durch Schulungen und Kommunikation sicherstellen.

Beispielnachweise

• Rollen- und Verantwortungsmatrix (RACI)
• Stellenbeschreibungen mit IKT-Risikobezug
• Schulungsnachweise für Rolleninhaber
• Review-Protokoll der Rollenverteilung

ISO/IEC 27001 Anker

Umsetzungsschritte

• IKT-Risikoappetit aus gesamtnstitutischem Risikoappetit ableiten und operationalisieren.
• IKT-Risikostrategie mit Zielen, Schwellenwerten und Überwachungskennzahlen formulieren.
• Strategie durch Leitungsorgan freigeben und jährlich überprüfen.
• Abweichungen von der Strategie als Eskalationsereignis definieren.

Beispielnachweise

• Freigegebene IKT-Risikostrategie (aktuell)
• Risikoappetit-Erklärung mit Schwellenwerten
• Jährlicher Strategie-Review mit Beschluss
• Abweichungsbericht bei Strategieverletzung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikokategorien für IKT-Risiken definieren (strategisch, operativ, Compliance, Reputation).
• Risikoinventar-Vorlage mit Pflichtfeldern entwickeln.
• Ersterfassung durch Fachbereiche, IT und Informationssicherheit durchführen.
• Regelmässige Aktualisierung (quartalsweise) und Konsolidierung institutionalisieren.
• Inventar mit Kontrollsystem und Massnahmentracking verknüpfen.

Beispielnachweise

• IKT-Risikoinventar (vollständig, aktuell)
• Risikoklassifikation und -kategorien
• Aktualisierungsprotokolle je Quartal
• Abgleich mit Kontroll- und Massnahmensystem

ISO/IEC 27001 Anker

Umsetzungsschritte

• Schutzbedarfskategorien (normal, hoch, sehr hoch) für Vertraulichkeit, Integrität und Verfügbarkeit definieren.
• Bewertungsmatrix mit Kriterien je Kategorie entwickeln.
• IKT-Assets identifizieren und Schutzbedarf je Asset bestimmen.
• Ergebnisse dokumentieren und regelmässig (mindestens jährlich) aktualisieren.

Beispielnachweise

• Schutzbedarfsfeststellung für alle IKT-Assets
• Bewertungsmatrix und Kriterienkatalog
• Aktualisierungsprotokoll
• Abweichungsanalyse bei geändertem Schutzbedarf

ISO/IEC 27001 Anker

Umsetzungsschritte

• Risikoanalyse-Methodik (quantitativ/qualitativ) institutsspezifisch festlegen.
• Risikomatrix mit Eintrittswahrscheinlichkeit, Schadenshöhe und Risikoklassen definieren.
• Risikoanalyse für alle erfassten IKT-Risiken durchführen.
• Ergebnisse priorisieren und in Risikobericht aufnehmen.

Beispielnachweise

• Risikoanalysebericht (aktuell)
• Risikomatrix mit Bewertung aller IKT-Risiken
• Priorisierungsliste mit Behandlungskategorien
• Risikobericht an Leitungsorgan

ISO/IEC 27001 Anker

Umsetzungsschritte

• Behandlungsoptionen institutsweit verbindlich definieren.
• Risikobehandlungsplan mit Massnahmen, Verantwortlichen und Fristen erstellen.
• Akzeptanzkriterien und Genehmigungsstufen für Risikoakzeptanz festlegen.
• Umsetzung der Massnahmen verfolgen und Wirksamkeit nachweisen.
• Restrisiken dokumentieren und managementseitig freigeben.

Beispielnachweise

• Risikobehandlungsplan (aktuell)
• Massnahmenübersicht mit Status und Fristen
• Risikoakzeptanzdokumentation mit Genehmigung
• Wirksamkeitsnachweise umgesetzter Massnahmen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kontrollziele aus IKT-Risikoinventar und Schutzbedarf ableiten.
• Kontrolltypen (präventiv/detektiv/korrektiv) und -frequenzen festlegen.
• Kontrollen in Verantwortung der Fachbereiche, IT und Informationssicherheit betreiben.
• Kontrollergebnisse dokumentieren und bei Abweichungen Massnahmen einleiten.

Beispielnachweise

• Kontrollsystem-Dokumentation mit Kontrollmatrix
• Durchgeführte Kontrollen mit Ergebnissen
• Abweichungsberichte und Massnahmen
• Kontroll-Review-Protokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Prüfmethodik für Design-Wirksamkeit und operative Wirksamkeit festlegen.
• Prüfplan mit Priorisierung (risikobasiert) und Frequenzen erstellen.
• Wirksamkeitsprüfungen durchführen und Ergebnisse dokumentieren.
• Massnahmen bei nicht wirksamen Kontrollen ableiten und nachverfolgen.

Beispielnachweise

• Prüfplan für Wirksamkeitsnachweise (jährlich)
• Durchgeführte Wirksamkeitsprüfungen mit Ergebnissen
• Massnahmenplan bei nicht wirksamen Kontrollen
• Management-Freigabe der Prüfergebnisse

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kriterien für kritische IKT-Dienstleistungen definieren.
• IKT-Dienstleistungen identifizieren und Kritikalität bewerten.
• Schutzbedarf je kritischer Dienstleistung feststellen.
• Ergebnisse mit IKT-Risikoinventar und Kontrollsystem verknüpfen.

Beispielnachweise

• Kriterienkatalog für kritische IKT-Dienstleistungen
• Bewertung der Kritikalität je Dienstleistung
• Schutzbedarfsfeststellung für kritische Dienstleistungen
• Verknüpfung mit Risikoinventar und Kontrollen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Frühwarnindikatoren für IKT-Risiken identifizieren und definieren.
• Schwellenwerte (Grün/Gelb/Rot) für jeden Indikator festlegen.
• Automatisierte Datenerhebung und Berichterstattung aufbauen.
• Regelmässige Überprüfung der Indikatoren auf Aussagekraft und Aktualität.

Beispielnachweise

• Frühwarnindikatoren-Übersicht mit aktuellen Werten
• Schwellwert-Definition und Eskalationsregeln
• Monitoring-Bericht mit Trendanalyse
• Eskalationsnachweise bei Schwellwertverletzung

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reporting-Kennzahlen und Berichtsvorlage für IKT-Risiken definieren.
• Berichtsrhythmus (quartalsweise) und Ad-hoc-Berichtsanlässe festlegen.
• Reporting in das gesamtinstitutische Risikoberichtswesen integrieren.
• Reporting regelmässig auf Aussagekraft und Entscheidungsrelevanz prüfen.

Beispielnachweise

• Quartalsbericht IKT-Risikomanagement
• Kennzahlen-Dashboard (Risiken, Kontrollen, Massnahmen)
• Ad-hoc-Bericht bei wesentlicher Veränderung
• Review-Protokoll zur Reporting-Qualität

ISO/IEC 27001 Anker

Umsetzungsschritte

• Berichtsanforderungen des Leitungsorgans für IKT-Risiken erheben.
• Jährlichen IKT-Risikobericht mit Standardvorlage erstellen.
• Berichtstermin mit Jahresplanung des Leitungsorgans abstimmen.
• Berichtsergebnisse in strategische Planung und Budgetierung einsteuern.

Beispielnachweise

• IKT-Risikobericht an Leitungsorgan (jährlich)
• Sitzungsprotokoll mit Behandlung des Berichts
• Beschlussvorlage mit Massnahmen
• Nachverfolgung der Beschlüsse

ISO/IEC 27001 Anker

Umsetzungsschritte

• Eskalationsauslöser (Schwellenwerte, Fristen, Risikoklassen) definieren.
• Eskalationsstufen und Entscheidungsbefugnisse je Stufe festlegen.
• Kommunikationswege und -formate für Eskalationen standardisieren.
• Eskalationsprozess regelmässig testen und schulen.

Beispielnachweise

• Eskalationsmatrix mit Auslösern und Stufen
• Dokumentierte Eskalationsfälle mit Verlauf
• Eskalationstest-Protokoll
• Schulungsnachweise für Eskalationsprozess

ISO/IEC 27001 Anker

Umsetzungsschritte

• Evidenzkategorien für IKT-Risikomanagement definieren.
• Nachweiszuordnung zu jeder DORA-IRM-Anforderung herstellen.
• Review-Zyklen und Verantwortliche je Nachweis festlegen.
• Evidenzmodell mit Kontrollsystem und Massnahmentracking verknüpfen.

Beispielnachweise

• Evidenzmodell IKT-Risikomanagement (vollständig)
• Nachweisverzeichnis mit Zuordnung zu Anforderungen
• Review-Protokoll der Evidenzen
• Verknüpfung mit Kontroll- und Massnahmensystem

ISO/IEC 27001 Anker

Umsetzungsschritte

• Anforderungsmapping zwischen DORA IRM, MaRisk und ISO 27001 durchführen.
• Gemeinsame Kontrollziele und Nachweise identifizieren.
• Integrierte Berichts- und Nachweisstruktur aufbauen.
• Abweichungen und Zusatzanforderungen je Regulation dokumentieren.

Beispielnachweise

• Anforderungsmapping DORA–MaRisk–ISO 27001
• Gemeinsame Kontrollzielmatrix
• Integrierte Nachweisstruktur
• Abweichungsanalyse je Regulation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Reifegrad-Dimensionen und Bewertungsstufen für IKT-Risikomanagement definieren.
• Bewertungskriterien je Dimension und Stufe festlegen.
• Jährliche Reifegradbewertung durchführen und dokumentieren.
• Ergebnisse mit Massnahmen- und Verbesserungsplan verknüpfen.

Beispielnachweise

• Reifegradmodell IKT-Risikomanagement
• Jährliche Reifegradbewertung mit Ergebnissen
• Massnahmenplan aus Reifegradbewertung
• Entwicklungsreport mit Vorjahresvergleich

ISO/IEC 27001 Anker

Umsetzungsschritte

• Schulungsbedarf für IKT-Risikomanagement rollenbasiert erheben.
• Schulungsprogramm mit Basisschulung (alle) und Vertiefung (Rolleninhaber) entwickeln.
• Jährlichen Schulungsplan erstellen und durchführen.
• Schulungserfolg messen und Programm kontinuierlich verbessern.

Beispielnachweise

• Schulungskonzept IKT-Risikomanagement
• Rollenbasierte Schulungsmatrix
• Teilnehmernachweise und Testergebnisse
• Jährlicher Schulungsplan mit Durchführung

ISO/IEC 27001 Anker

Umsetzungsschritte

• kwF-Kriterienkatalog mit Ausfall-, Pflichtverletzungs-, Zeit- und Regulatorik-Dimensionen entwickeln.
• Methodik mit Prozesslandkarte, Bewertungsmatrix und Entscheidungslogik dokumentieren.
• Methodik durch Leitungsorgan freigeben und kommunizieren.
• Jährlichen Review der Methodik institutionalisieren.

Beispielnachweise

• kwF-Methodik-Dokument (freigegeben)
• Kriterienkatalog mit Bewertungsmatrix
• Leitungsorgan-Beschluss zur Methodik
• Review-Protokoll der Methodik

ISO/IEC 27001 Anker

Umsetzungsschritte

• Prozesse institutsweit inventarisieren und klassifizieren.
• Regulierte Tätigkeiten den Prozessen zuordnen.
• IKT-Abhängigkeiten je Prozess dokumentieren.
• Prozesslandkarte in kwF-Bewertung integrieren.

Beispielnachweise

• Prozesslandkarte (vollständig)
• Prozess-Steckbriefe mit IKT-Abhängigkeiten
• Zuordnung regulierte Tätigkeiten
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Ausfallszenarien für identifizierte kwF definieren.
• Maximal tolerierbare Ausfallzeiten (MTPD) und Wiederherstellungsziele (RTO/RPO) festlegen.
• Auswirkungen auf finanzielle Leistungsfähigkeit und Solidität bewerten.
• Szenarioergebnisse dokumentieren und in kwF-Entscheidung einfliessen lassen.

Beispielnachweise

• Ausfallszenario-Analyse je kwF
• MTPD/RTO/RPO-Definitionen
• Finanzielle Auswirkungsanalyse
• kwF-Entscheidungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Pflichtverletzungsszenarien für identifizierte kwF definieren.
• Regulatorische Pflichten und Konsequenzen je Szenario dokumentieren.
• Auswirkungen auf Zulassung und Aufsichtspflichten bewerten.
• Szenarioergebnisse dokumentieren und in kwF-Entscheidung einfliessen lassen.

Beispielnachweise

• Pflichtverletzungsszenario-Analyse je kwF
• Regulatorische Pflichtenübersicht
• Aufsichtsrechtliche Konsequenzenanalyse
• kwF-Entscheidungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Freigabestufen für kwF-Einstufungen definieren.
• Entscheidungsvorlage mit Kriterienanwendung entwickeln.
• kwF-Entscheidungen dokumentieren und managementseitig freigeben.
• Änderungsmanagement für kwF-Einstufungen etablieren.

Beispielnachweise

• kwF-Entscheidungsvorlage mit Kriterien
• Managementfreigabe je kwF
• Änderungsdokumentation bei Reklassifikation
• Jährlicher Review der kwF-Entscheidungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Jährlichen Review-Termin für kwF-Einstufungen festlegen.
• Anlassbezogene Review-Trigger definieren.
• Review-Ergebnisse dokumentieren und bei Änderungen Managementfreigabe einholen.
• Review-Historie je kwF führen.

Beispielnachweise

• Jährlicher kwF-Review-Bericht
• Anlassbezogene Reviews mit Begründung
• Änderungshistorie je kwF
• Managementfreigabe nach Review

ISO/IEC 27001 Anker

Umsetzungsschritte

• Regulierte Tätigkeiten aus Zulassung und Geschäftsmodell identifizieren.
• Tätigkeiten mit europäischen Begrifflichkeiten und EBA-Identifikatoren abgleichen.
• Zuordnung zu kwF, IKT-Dienstleistungen und Informationsregister herstellen.
• Inventar regelmässig aktualisieren und mit Zulassungsänderungen abgleichen.

Beispielnachweise

• Tätigkeiteninventar (aktuell)
• Mapping nationale zu europäische Begrifflichkeiten
• EBA-Identifier-Liste
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Nationale Tätigkeitsbezeichnungen aus Zulassungsbescheiden erfassen.
• Europäische Begrifflichkeiten und EBA-Identifier recherchieren und zuordnen.
• Mapping-Dokumentation mit Quellen und Gültigkeitsstand erstellen.
• Aktualisierung bei regulatorischen oder geschäftlichen Änderungen sicherstellen.

Beispielnachweise

• Mapping-Dokumentation national/europäisch
• EBA-Identifier-Zuordnungstabelle
• Quellenverzeichnis für Begrifflichkeiten
• Aktualisierungsnachweise

ISO/IEC 27001 Anker

Umsetzungsschritte

• EBA-Identifier aus EBA-Register und aufsichtlichen Vorgaben ableiten.
• Identifier den regulierten Tätigkeiten zuordnen.
• Verknüpfung mit IKT-Dienstleistungen im Informationsregister herstellen.
• Datenqualität durch regelmässige Abgleiche sichern.

Beispielnachweise

• EBA-Identifier-Tabelle mit Tätigkeitszuordnung
• Verknüpfung im Informationsregister
• Datenqualitätsbericht
• Korrekturprotokoll bei Abweichungen

ISO/IEC 27001 Anker

Umsetzungsschritte

• Datenqualitätskriterien für regulierte Tätigkeiten definieren.
• Regelmässige Qualitätskontrollen (mindestens quartalsweise) durchführen.
• Fehlerprotokoll mit Korrekturmassnahmen und Fristen führen.
• Verantwortlichkeiten für Datenpflege und Qualitätssicherung zuweisen.

Beispielnachweise

• Datenqualitätsbericht (aktuell)
• Fehlerprotokoll mit Korrekturmassnahmen
• Kontrollplan für Registerdatenqualität
• Review-Protokoll der Datenqualität

ISO/IEC 27001 Anker

Umsetzungsschritte

• Klassifikationskriterien für IKT-Verträge entwickeln.
• Kategorien (Baseline, kontrollrelevant, kwF-relevant, strategisch kritisch) definieren.
• Bestandsverträge klassifizieren und nachkategorisieren.
• Klassifikation bei Vertragsänderungen und jährlich überprüfen.

Beispielnachweise

• Vertragsklassifikations-Richtlinie
• Klassifizierte Vertragsliste
• Überprüfungsprotokoll der Klassifikation
• Abweichungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Mindestvertragsinhalte je Klassifikationskategorie definieren.
• Vertragsprüfprozess mit Checkliste und Freigabestufen etablieren.
• Bestandsverträge auf Lücken prüfen und nachbessern.
• Abweichungen dokumentieren und managementseitig freigeben.

Beispielnachweise

• Vertragsanforderungsmatrix je Kategorie
• Prüf-Checkliste für IKT-Verträge
• Lückenanalyse Bestandsverträge
• Abweichungsregister mit Freigabe

ISO/IEC 27001 Anker

Umsetzungsschritte

• Vertragsklauseln zu Unterauftragnehmern (Offenlegung, Genehmigung, Änderung) definieren.
• Unterauftnehmerverzeichnis je kritischer IKT-Dienstleistung aufbauen.
• Regelmässige Aktualisierung und Prüfung der Unterauftragnehmerkette.
• Konzentrationsrisiken durch gemeinsame Unterauftragnehmer identifizieren.

Beispielnachweise

• Vertragsklauseln zu Unterauftragnehmern
• Unterauftragnehmerverzeichnis (aktuell)
• Genehmigungsdokumentation bei Änderungen
• Konzentrationsrisikoanalyse Unterauftragnehmer

ISO/IEC 27001 Anker

Umsetzungsschritte

• Exit-Mindestklauseln je Vertragskategorie definieren.
• Datenrückgabe-, Lösch- und Migrationsverpflichtungen vertraglich regeln.
• Übergangsfristen und Unterstützungsleistungen vereinbaren.
• Exit-Regelungen regelmässig auf Aktualität und Umsetzbarkeit prüfen.

Beispielnachweise

• Exit-Klauseln je IKT-Vertrag
• Datenrückgabe- und Löschkonzept
• Prüfprotokoll Exit-Regelungen
• Abweichungsdokumentation

ISO/IEC 27001 Anker

Umsetzungsschritte

• Audit- und Kontrollrechte als Pflichtklauseln definieren.
• Ausübungskonzept für Kontrollrechte (Häufigkeit, Umfang, Eskalation) erstellen.
• Kontrollrechte regelmässig ausüben und Ergebnisse dokumentieren.
• Verweigerung von Kontrollrechten als Risikoindikator eskalieren.

Beispielnachweise

• Audit-/Kontrollrechte-Klauseln je Vertrag
• Kontrollplan für das laufende Jahr
• Durchgeführte Audits und Prüfberichte
• Eskalationsvermerk bei verweigerten Rechten

ISO/IEC 27001 Anker

Umsetzungsschritte

• Berichtsanforderungen je Vertragskategorie definieren.
• Berichtsformate, -frequenzen und -empfänger festlegen.
• Eingehende Berichte prüfen und bei Abweichungen eskalieren.
• Berichtsqualität regelmässig bewerten und nachsteuern.

Beispielnachweise

• Berichtsanforderungsmatrix je Vertrag
• Eingegangene Dienstleisterberichte
• Prüfprotokoll der Berichtsinhalte
• Eskalationsnachweise bei Berichtsmängeln

ISO/IEC 27001 Anker

Umsetzungsschritte

• Richtlinienkategorien (Sicherheit, IKT-Risiko, BCM, Auslagerungen etc.) definieren.
• Bestehende Richtlinien inventarisieren und kategorisieren.
• Richtlinienlücken gegen DORA- und MaRisk-Anforderungen identifizieren.
• Inventar regelmässig aktualisieren und mit Richtlinien-Review synchronisieren.

Beispielnachweise

• Richtlinieninventar (vollständig, aktuell)
• Lückenanalyse Richtlinien vs. DORA/MaRisk
• Kategorisierungsmatrix
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• Dokumentenlenkungsprozess mit Phasen und Rollen definieren.
• Richtlinienvorlage mit Pflichtfeldern entwickeln.
• Versionierung und Änderungshistorie sicherstellen.
• Archivierungsregeln für abgelöste Richtlinien festlegen.

Beispielnachweise

• Dokumentenlenkungsprozess (Dokument)
• Richtlinienvorlage mit Metadaten
• Änderungshistorie je Richtlinie
• Archivierungsnachweis

ISO/IEC 27001 Anker

Umsetzungsschritte

• Freigabematrix für IKT-Richtlinien definieren.
• Freigabeprozess mit Vorlagen und Fristen standardisieren.
• Freigaben dokumentieren und in der Richtlinie vermerken.
• Freigabe bei Richtlinienänderungen erneut einholen.

Beispielnachweise

• Freigabematrix IKT-Richtlinien
• Freigabevermerk in jeder Richtlinie
• Sitzungsprotokolle bei Leitungsorgan-Freigabe
• Änderungsdokumentation mit erneuter Freigabe

ISO/IEC 27001 Anker

Umsetzungsschritte

• Review-Trigger-Katalog für IKT-Richtlinien definieren.
• Jährlichen Review-Plan für alle Richtlinien erstellen.
• Anlassbezogene Reviews bei Trigger-Ereignissen auslösen.
• Review-Ergebnisse dokumentieren und bei Bedarf Richtlinien anpassen.

Beispielnachweise

• Review-Trigger-Katalog
• Jährlicher Review-Plan
• Durchgeführte Reviews mit Ergebnissen
• Richtlinienänderungen aus Reviews

ISO/IEC 27001 Anker

Umsetzungsschritte

• Kontroll- und Nachweisanforderungen je Richtlinie definieren.
• Nachweisartefakte und Aufbewahrungsfristen festlegen.
• Verknüpfung mit dem plattformweiten Evidenzmodell herstellen.
• Kontroll- und Nachweislogik regelmässig auf Vollständigkeit prüfen.

Beispielnachweise

• Kontroll- und Nachweislogik je Richtlinie
• Verknüpfungstabelle Richtlinien–Kontrollen–Nachweise
• Prüfprotokoll der Kontroll- und Nachweislogik
• Abweichungsbericht

ISO/IEC 27001 Anker

Umsetzungsschritte

• NIS2-Kriterien für besonders wichtige und wichtige Einrichtungen prüfen.
• DORA-Ausnahmeregelung und deren Voraussetzungen dokumentieren.
• Einrichtungsstatus institutsspezifisch bestimmen und begründen.
• Prüfung jährlich und bei wesentlichen Änderungen wiederholen.

Beispielnachweise

• NIS2-Anwendungsbereichsprüfung (dokumentiert)
• Einrichtungsstatus-Begründung
• DORA-Ausnahmeprüfung
• Jährliches Review der Einstufung

ISO/IEC 27001 Anker

Umsetzungsschritte

• IKT-Produkte mit digitalen Elementen inventarisieren.
• CRA-Anwendungsbereich je Produkt prüfen.
• Hersteller-/Lieferantenpflichten in Beschaffungsanforderungen übersetzen.
• Schwachstellenmanagement und Security-Updates in Verträgen adressieren.

Beispielnachweise

• CRA-Produktinventar
• Anwendungsbereichsprüfung je Produkt
• Beschaffungsanforderungen mit CRA-Bezug
• Vertragsklauseln zu Updates und Schwachstellen

ISO/IEC 27001 Anker

Umsetzungsschritte

• KI-Systeme institutsweit identifizieren und erfassen.
• Klassifikation nach AI-Act-Risikokategorien durchführen.
• Verantwortlichkeiten für KI-Governance zuweisen.
• Inventar regelmässig aktualisieren und mit Änderungsmanagement verbinden.

Beispielnachweise

• KI-Inventar (vollständig, aktuell)
• Klassifikationsmatrix nach AI-Act-Kategorien
• Verantwortungsmatrix KI-Governance
• Aktualisierungsprotokoll

ISO/IEC 27001 Anker

Umsetzungsschritte

• KI-Kompetenzbedarf rollenbasiert erheben.
• Schulungsprogramm mit Basis- und Vertiefungsmodulen entwickeln.
• Schulungen durchführen und Teilnahme dokumentieren.
• KI-Kompetenz regelmässig auf Aktualität prüfen und Programm anpassen.

Beispielnachweise

• KI-Kompetenzrahmen mit Rollenzuordnung
• Schulungsprogramm und -materialien
• Teilnehmernachweise
• Kompetenzbewertung und -entwicklung

ISO/IEC 27001 Anker