Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

IKT-Risikomanagement

Monitoring & Reporting

Frühwarnindikatoren, Management-Reporting und Eskalationsprozesse.

Management-Zusammenfassung

  • DORA Art. 8 verlangt eine kontinuierliche Überwachung der IKT-Risiken und regelmässige Berichterstattung an das Management.
  • Key Risk Indicators (KRI) müssen definiert, mit Schwellenwerten versehen und regelmässig auf Aussagekraft geprüft werden.
  • Management-Reporting ist quartalsweise zu erbringen; ad-hoc bei wesentlichen Risikoveränderungen oder Vorfällen.
  • Eskalationsprozesse sind dokumentiert, getestet und an die Governance angebunden.

Frühwarnindikatoren (KRI)

DORA Art. 8 fordert eine angemessene Überwachung. KRIs sind quantitativ oder qualitativ und sollten frühzeitig Risikoveränderungen signalisieren.

Technische KRIs

Anzahl offener Schwachstellen (kritisch/high), Patch-Zeit, Ausfallzeiten, Backup-Erfolgsrate, SOC-Ticket-Alter.

Prozess-KRIs

Überfällige Kontrolltests, offene Audit-Findings, Change-Approval-Rate, Incident-Auflösungszeit.

Organisatorische KRIs

Schulungsquote, Fluktuation IT-Sicherheit, Auslastung Critical Roles, Vertragsabläufe Drittanbieter.

Eskalationsprozess

DORA Art. 6 und Art. 8 erfordern dokumentierte Eskalationsmechanismen. Der Prozess muss klar, getestet und an die Governance angebunden sein.

1

Auslöser definieren

Schwellenwerte je KRI (Grün/Gelb/Rot), Vorfallkategorien, Audit-Findings, regulatorische Anfragen.

2

Eskalationsstufen

Stufe 1: Fachbereich / IT. Stufe 2: Risikocontrolling / CISO. Stufe 3: Leitungsorgan / Vorstand. Stufe 4: Regulator / Öffentlichkeit (bei Pflichtmelderung).

3

Dokumentation und Nachverfolgung

Jede Eskalation wird mit Auslöser, Entscheidung, Massnahme und Abschluss dokumentiert. Regelmässige Review der Eskalationsfälle.

Umsetzungsschritte Monitoring & Reporting

  • KRI-Set definieren: mindestens 5–10 Indikatoren aus Technik, Prozess und Organisation (Art. 8 DORA).
  • Schwellenwerte (Grün/Gelb/Rot) je KRI festlegen und im Tool hinterlegen.
  • Quartalsbericht-Vorlage mit Risikolage, Kontrollstatus, KRIs und Massnahmenfortschritt erstellen.
  • Ad-hoc-Berichtsprozess für wesentliche Risikoveränderungen oder Vorfälle etablieren.
  • Eskalationsmatrix mit Stufen, Empfängern und Zeitvorgaben dokumentieren und jährlich testen.
  • Trendanalysen und Vorjahresvergleiche in das Reporting integrieren.

Nachweise Monitoring & Reporting

EVD-IRM-009 Frühwarnindikatoren und Kennzahlen (aktuell) Risikocontrolling · Monatlich
EVD-IRM-010 Management-Reporting (Quartalsbericht) Risikocontrolling · Quartalsweise
EVD-IRM-012 Eskalationsprotokoll Risikocontrolling · Monatlich

Hinweis

Diese Inhalte sind eigenständig formulierte Umsetzungshilfen und ersetzen keine Rechtsberatung.