IKT-Vorfallmanagement

Vorfälle erkennen, klassifizieren, melden und verbessern.

Strukturierte Unterstützung für Vorfallklassifizierung, Eskalation, Meldelogik, Ursachenanalyse und Lessons Learned. DORA Kapitel III (Art. 17–23) definiert verbindliche Anforderungen an das Management IKT-bezogener Vorfälle.

Management-Zusammenfassung

IKT-Vorfälle werden einheitlich erkannt, dokumentiert, klassifiziert und nach DORA-Kriterien bewertet.
Meldeentscheidungen sind nachvollziehbar dokumentiert und werden fristgerecht an die zuständige Aufsicht übermittelt.
Jeder Vorfall durchläuft eine strukturierte Ursachenanalyse und mündet in nachverfolgbare Verbesserungsmassnahmen.
Das Leitungsorgan wird regelmässig über wesentliche Vorfälle, Trends und den Status offener Massnahmen informiert.

Sollzustand: Vorfallmanagement

IKT-bezogene Vorfälle werden über einen einheitlichen Lebenszyklus gesteuert: Erkennung → Erfassung → Klassifizierung → Bearbeitung → Abschluss.
Klassifizierungskriterien orientieren sich an DORA Art. 19 (wesentlich vs. nicht wesentlich).
Meldeprozesse sind nach Schweregrad gestaffelt: Vorabmeldung, Erstmeldung, Zwischenbericht, Abschlussmeldung.
Eine zentrale Vorfallsdatenbank dient als Single Source of Truth für alle Vorfallsinformationen.
Nachbereitung und Lessons Learned sind fester Bestandteil jedes abgeschlossenen Vorfalls.

Vorfallklassifizierung nach DORA

Wesentliche Vorfälle werden anhand definierter Kriterien identifiziert: Kritikalität betroffener Dienstleistungen, Anzahl betroffener Kunden, Ausfalldauer, geografische Ausbreitung.
Die Klassifizierung erfolgt durch ein festgelegtes Gremium (z. B. Vorfallsteam) innerhalb definierter Fristen.
Klassifizierungsentscheidungen werden inklusive Begründung dokumentiert.
Nicht wesentliche Vorfälle werden aggregiert und regelmässig auf Trends und Muster analysiert.
Die Klassifizierungskriterien werden jährlich auf Angemessenheit überprüft und bei Bedarf angepasst.

Meldeprozesse und Fristen

Vorabmeldung: unverzüglich nach Erkennung eines wesentlichen Vorfalls (inside information bei Börsennotierung).
Erstmeldung: innerhalb von 24 Stunden nach Klassifizierung als wesentlicher Vorfall.
Zwischenbericht: auf Anforderung der Aufsicht oder bei wesentlicher Änderung des Vorfallsstatus.
Abschlussmeldung: innerhalb von 72 Stunden nach Abschluss der Ursachenanalyse (maximal 1 Monat nach Erstmeldung).
Alle Meldungen enthalten: Vorfalls-ID, Klassifizierung, Zeitstrahl, Ursache, Auswirkungen, ergriffene Massnahmen.

Ursachenanalyse und Lessons Learned

Jeder wesentliche Vorfall durchläuft eine strukturierte Ursachenanalyse (z. B. 5-Why, Ishikawa-Diagramm).
Die Analyse identifiziert technische, organisatorische und menschliche Ursachen.
Abgeleitete Massnahmen erhalten Owner, Frist und Priorität und werden im Massnahmen-Tracking nachverfolgt.
Lessons-Learned-Ergebnisse fliessen in die Weiterentwicklung von Richtlinien, Kontrollen und Schulungen ein.
Ein jährlicher Vorfalltrendbericht wird dem Leitungsorgan vorgelegt.

Nachweise und Dokumentation

Vorfall-Tickets mit vollständigem Lebenszyklus inklusive Zeitstempeln und Bearbeitern.
Klassifizierungsentscheidungen mit Begründung und Freigabe.
Meldungen an die Aufsicht inklusive Eingangsbestätigungen.
Ursachenanalyse-Berichte und abgeleitete Massnahmen.
Lessons-Learned-Protokolle und Nachverfolgung abgeschlossener Massnahmen.
Regelmässige Vorfallstatistiken und Trendanalysen als Reporting-Grundlage.

ISO 27001 Verbindung

ISO/IEC 27001:2022 integriert das Vorfallmanagement in das ISMS und schafft die Prozessgrundlage für DORA-Konformität.

A.5.24 Informationssicherheits-Vorfallmanagement
A.5.25 Beurteilung und Entscheidung von Informationssicherheitsvorfällen
A.5.26 Reaktion auf Informationssicherheitsvorfälle
A.5.27 Lernen aus Informationssicherheitsvorfällen

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

EUR-Lex: DORA Verordnung (EU) 2022/2554 Stand: Abruf 2026-05-07
BaFin: DORA — IKT-bezogene Vorfälle Stand: Abruf 2026-05-07
ISO/IEC 27001:2022 — Annex A Controls Stand: Abruf 2026-05-07

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.