IKT-Risikomanagement

Risikoinventar

Systematische Erfassung, Klassifikation und Bewertung aller IKT-Risiken.

Management-Zusammenfassung

DORA Art. 7 verlangt eine systematische Identifikation und Bewertung aller IKT-Risiken, einschliesslich Cyber-Risiken, Drittparteienrisiken und physischen Bedrohungen.
Das Risikoinventar muss vollständig, aktuell und mit dem Kontrollsystem verknüpft sein.
Risiken sind nach Eintrittswahrscheinlichkeit und Schadenshöhe zu bewerten und zu priorisieren.
Quartalsweise Aktualisierung und Abgleich mit Vorfallmeldungen, Audits und externen Bedrohungsinformationen.

Risikokategorien nach DORA

DORA Art. 7 erfordert die Identifikation verschiedener Risikoarten. Die Kategorien sollten das gesamte IKT-Risikouniversum abdecken.

Cyber-Risiken

Malware, Ransomware, Phishing, APT, Supply-Chain-Angriffe, Insider-Bedrohungen.

Drittparteienrisiken

Ausfallsrisiken, Konzentrationsrisiken, Vertragsrisiken bei IKT-Dienstleistern (Art. 28 DORA).

Technologische Risiken

Veraltete Systeme, Kompatibilitätsprobleme, Kapazitätsengpässe, Technologieverschuldung.

Physische Bedrohungen

Naturkatastrophen, Brand, Einbruch, Sabotage, Ausfall kritischer Infrastruktur.

Menschliche Faktoren

Fehler, Unwissenheit, Überlastung, Mangel an Schulung, Fluktuation.

Regulatorische Risiken

Nichteinhaltung von DORA, MaRisk, BSI-Gesetz, NIS2, AI Act, CRA.

Bewertungsmethodik

DORA verlangt eine angemessene Risikobewertung. Eine Risikomatrix mit Eintrittswahrscheinlichkeit und Schadenshöhe ist Standard.

Eintrittswahrscheinlichkeit

Selten (1) → Unwahrscheinlich (2) → Möglich (3) → Wahrscheinlich (4) → Häufig (5). Basiert auf historischen Daten, Bedrohungslage und Kontrollwirksamkeit.

Schadenshöhe

Gering (1) → Moderat (2) → Erheblich (3) → Kritisch (4) → Existenzbedrohend (5). Bewertung nach Finanz, Operation, Reputation, regulatorisch.

Aufbau und Pflege des Risikoinventars

Risikoinventar-Vorlage mit Pflichtfeldern definieren: ID, Beschreibung, Kategorie, Wahrscheinlichkeit, Schaden, Risikowert, Verantwortlicher, Status (Art. 7 DORA).
Ersterfassung durch Fachbereiche, IT und Informationssicherheit mit Workshops und Checklisten.
Quartalsweise Konsolidierung und Aktualisierung durch Risikocontrolling mit Abgleich zu Vorfällen und Audits.
Verknüpfung mit Kontrollsystem, Massnahmentracking und Evidenzmodell sicherstellen.
Szenarioanalyse für Hochrisiken mindestens jährlich durchführen.
Risikoinventar dem Leitungsorgan jährlich vorlegen und genehmigen lassen.

Nachweise Risikoinventar

EVD-IRM-003 IKT-Risikoinventar (vollständig, aktuell) Risikocontrolling · Quartalsweise

EVD-IRM-005 Risikoanalysebericht mit Matrix Risikocontrolling · Quartalsweise

EVD-IRM-006 Risikobehandlungsplan mit Massnahmen Risikocontrolling · Quartalsweise

Hinweis

Diese Inhalte sind eigenständig formulierte Umsetzungshilfen und ersetzen keine Rechtsberatung.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

DORA Art. 7 — IKT-Risikoidentifikation und -bewertung Stand: 2022-12-14
BaFin: DORA IKT-Risikomanagement Stand: Abruf 2026-05-13

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.