R
Governance Kompass Regulatorik-Assistent

Regelbasis

Nachschlagen, welche regulatorischen Grundlagen und Einordnungen der Assistent verwendet.

Zurueck zum Assistenten
medium must

Anforderungen an TLPT-Tester und Unabhaengigkeit sicherstellen

Bei TLPT muessen Anforderungen an externe oder interne Tester, Qualifikation, Unabhaengigkeit, Vertraulichkeit und Interessenkonflikte nachweisbar erfuellt werden.

Sparkassen-Relevanz

relevant fuer Einkauf, Informationssicherheit, Revision, Datenschutz und Dienstleistersteuerung

EZB-Relevanz

hoch, wenn TLPT-pflichtige Institute externe Tester oder interne Testkapazitaeten einsetzen

Moegliche Prueffragen

  • Sind Auswahlkriterien fuer TLPT-Tester dokumentiert?
  • Sind Qualifikation, Erfahrung, Unabhaengigkeit und Vertraulichkeit nachgewiesen?
  • Sind Interessenkonflikte ausgeschlossen oder gesteuert?
  • Sind interne Tester nur unter zulaessigen Bedingungen vorgesehen?

Nachweise

  • Tester-Auswahlkriterien
  • Qualifikationsnachweise
  • Unabhaengigkeits- und Vertraulichkeitserklaerungen
  • Vertragsunterlagen
  • Interessenkonfliktbewertung

Abgeleitete Handlungen

  • Kriterienkatalog fuer TLPT-Tester erstellen
  • Beschaffungs- und Freigabeprozess fuer TLPT-Dienstleister definieren
  • Unabhaengigkeits- und Vertraulichkeitsnachweise in Vertragsprozess aufnehmen
medium implementation_support

Kontrollziele und ISACA/COBIT-Mapping ableiten

Regulatorische Anforderungen muessen in pruefbare Kontrollziele, Kontrollen und Nachweise uebersetzt werden.

Sparkassen-Relevanz

hoch fuer interne Revision, externe Pruefung und Massnahmensteuerung

EZB-Relevanz

hoch als Nachweis- und Kontrollbruecke bei aufsichtlicher Pruefung

Moegliche Prueffragen

  • Ist je Anforderung ein Kontrollziel definiert?
  • Ist die Kontrolle dokumentiert, ausgefuehrt und nachweisbar?
  • Wird Kontrollwirksamkeit regelmaessig getestet?
  • Sind Findings mit Massnahmen verknuepft?

Nachweise

  • Kontrollmatrix
  • Kontrollbeschreibungen
  • Testplaene
  • Stichprobenergebnisse
  • Finding- und Massnahmenlog

Abgeleitete Handlungen

  • Kontrollzielkatalog fuer Startthema erstellen
  • DORA/MaRisk-Anforderungen Kontrollzielen zuordnen
  • Pruefprogramm mit Nachweisobjekten vorbereiten
medium should

Signifikante Cyberbedrohungen bewerten und optional melden

Signifikante Cyberbedrohungen sind fachlich zu bewerten; eine freiwillige Meldung kann erforderlich oder zweckmaessig sein, wenn Relevanz und Risikolage dies nahelegen.

Sparkassen-Relevanz

relevant fuer Informationssicherheit, Bedrohungsanalyse, Lagebild und Verbundkommunikation

EZB-Relevanz

relevant bei sektorweiten, grenzueberschreitenden oder kritische Funktionen betreffenden Bedrohungslagen

Moegliche Prueffragen

  • Gibt es Kriterien fuer die Bewertung signifikanter Cyberbedrohungen?
  • Ist geregelt, wann eine freiwillige Meldung geprueft wird?
  • Werden Bedrohungsinformationen, Entscheidungen und Kommunikationswege dokumentiert?
  • Ist die Verbindung zu Lagebild, SOC, Informationssicherheit und Krisenmanagement hergestellt?

Nachweise

  • Cyber-Threat-Bewertungsmatrix
  • Lagebild- und SOC-Berichte
  • Entscheidungsdokumentation zur freiwilligen Meldung
  • Kommunikations- und Eskalationsnachweise

Abgeleitete Handlungen

  • Kriterien fuer signifikante Cyberbedrohungen definieren
  • Entscheidungsweg fuer freiwillige DORA-Bedrohungsmeldung festlegen
  • Cyber-Lagebild mit Incident- und Krisenmanagement verzahnen
high must

Cloud-Auslagerungen pruefungsfest steuern

Cloud-Leistungen brauchen klare Risiko-, Vertrags-, Sicherheits-, Exit- und Kontrollanforderungen.

Sparkassen-Relevanz

hoch fuer SaaS-, PaaS-, IaaS- und Verbundloesungen

EZB-Relevanz

sehr hoch bei kritischen Services, Konzentrationsrisiken und bedeutenden Instituten

Moegliche Prueffragen

  • Wurde die Cloud-Leistung vor Nutzung angemessen bewertet?
  • Sind Sicherheitsanforderungen vertraglich und technisch kontrollierbar?
  • Gibt es Exit-Strategien und Notfalloptionen?
  • Werden Subdienstleister und Konzentrationsrisiken ueberwacht?

Nachweise

  • Cloud-Risikoanalyse
  • Vertragspruefung
  • Sicherheits- und Kontrollberichte
  • Exit-Konzept
  • Notfall- und Wiederanlaufnachweise

Abgeleitete Handlungen

  • Cloud-Dienstleisterliste erstellen
  • Exit-Szenarien fuer kritische Cloud-Leistungen bewerten
  • Subdienstleister- und Standortinformationen in Registerlogik integrieren
high must

Digital Operational Resilience Testing Programm etablieren

Finanzunternehmen muessen ein risikobasiertes Testprogramm fuer digitale operationelle Resilienz betreiben, das IKT-Tools, Systeme und Prozesse angemessen abdeckt.

Sparkassen-Relevanz

hoch fuer IT-Governance, Informationssicherheit, Notfallmanagement, IT-Betrieb und Dienstleistersteuerung

EZB-Relevanz

hoch, weil Testabdeckung, Risikoorientierung und Management-Transparenz typische Aufsichtsthemen sind

Moegliche Prueffragen

  • Gibt es ein dokumentiertes, risikobasiertes Resilience-Testing-Programm?
  • Sind kritische und wichtige Funktionen, Systeme und Dienstleister in der Testplanung beruecksichtigt?
  • Werden Testergebnisse, Findings und Massnahmen nachvollziehbar gesteuert?
  • Wird die Testplanung regelmaessig an Bedrohungslage, Vorfaelle und Aenderungen angepasst?

Nachweise

  • Resilience-Testing-Strategie
  • risikobasierter Testplan
  • Testkalender
  • Testberichte
  • Finding- und Massnahmenlog

Abgeleitete Handlungen

  • Risikobasiertes Resilience-Testing-Programm dokumentieren
  • Testinventar fuer kritische Funktionen und IKT-Systeme erstellen
  • Finding- und Massnahmenprozess fuer Testergebnisse verzahnen
high must

IKT-bezogene Vorfaelle erkennen, klassifizieren und eskalieren

IKT-bezogene Vorfaelle muessen zeitnah erkannt, dokumentiert, nach DORA-Kriterien klassifiziert und mit klaren Rollen eskaliert werden.

Sparkassen-Relevanz

sehr hoch fuer IT-Betrieb, Informationssicherheit, Notfallmanagement, Auslagerungsmanagement und Meldewesen

EZB-Relevanz

hoch bei bedeutenden Instituten, kritischen Funktionen, grenzueberschreitenden Auswirkungen und wiederholten Stoerungen

Moegliche Prueffragen

  • Gibt es einen dokumentierten Prozess zur Erkennung und Klassifizierung IKT-bezogener Vorfaelle?
  • Sind Kriterien fuer Major Incidents operationalisiert und im Incident-Prozess verankert?
  • Sind Verantwortlichkeiten zwischen IT-Betrieb, Informationssicherheit, Notfallmanagement, Compliance und Management eindeutig?
  • Werden Klassifizierungsentscheidungen nachvollziehbar dokumentiert?

Nachweise

  • Incident-Management-Prozess
  • DORA-Klassifizierungsmatrix
  • Incident-Tickets mit Klassifizierungsentscheidung
  • Eskalations- und Kommunikationsmatrix
  • Management- und Krisenstabsprotokolle

Abgeleitete Handlungen

  • DORA-Klassifizierungskriterien in den Incident-Prozess integrieren
  • RACI fuer IKT-Vorfaelle und Major-Incident-Entscheidung festlegen
  • Ticketpflichtfelder fuer DORA-relevante Vorfaelle definieren
high must

IKT-Drittparteienrisikomanagement etablieren

Risiken aus IKT-Drittparteienbeziehungen muessen identifiziert, bewertet, gesteuert, dokumentiert und ueberwacht werden.

Sparkassen-Relevanz

hoch fuer IT-Dienstleistersteuerung, Auslagerungsmanagement, Informationssicherheit und IT-Governance

EZB-Relevanz

hoch bei bedeutenden Instituten und kritischen oder wichtigen Funktionen

Moegliche Prueffragen

  • Gibt es eine vollstaendige Uebersicht relevanter IKT-Drittparteien?
  • Ist die Kritikalitaet nachvollziehbar bewertet?
  • Gibt es laufende Ueberwachung und Eskalationslogik?
  • Sind Rollen und Verantwortlichkeiten eindeutig?

Nachweise

  • IKT-Drittparteieninventar
  • Risikoanalyse
  • Kritikalitaetsbewertung
  • Dienstleisterberichte
  • Kontroll- und Eskalationsnachweise

Abgeleitete Handlungen

  • Inventar der IKT-Drittparteienbeziehungen konsolidieren
  • Kritikalitaetslogik fuer Cloud- und IT-Dienstleister festlegen
  • Ueberwachungs- und Eskalationsprozess dokumentieren
high must

Informationsregister fuehren und aktuell halten

Relevante IKT-Drittparteienbeziehungen muessen strukturiert, vollstaendig und aktuell im Informationsregister abgebildet werden.

Sparkassen-Relevanz

sehr hoch als Bruecke zwischen DORA, Auslagerungsregister, Dienstleistersteuerung und Aufsichtsmeldung

EZB-Relevanz

hoch fuer Aufsichtseinreichungen, Pruefungen und Managementtransparenz

Moegliche Prueffragen

  • Ist das Register vollstaendig und aktuell?
  • Stimmen Registerdaten mit Vertrags- und Auslagerungsunterlagen ueberein?
  • Sind kritische Funktionen, Dienstleister, Subdienstleister und Standorte nachvollziehbar?
  • Gibt es einen Prozess zur Datenqualitaetspruefung?

Nachweise

  • aktuelles Informationsregister
  • Datenqualitaetsbericht
  • Abgleich mit Vertrags- und Auslagerungsregister
  • Freigabe- und Aktualisierungsprozess

Abgeleitete Handlungen

  • Datenmodell fuer das Informationsregister definieren
  • Bestandsdaten aus Auslagerungsregister und Vertragsdaten abgleichen
  • Owner und Aktualisierungsrhythmus je Datengruppe festlegen
high must

Major ICT-related Incidents fristgerecht melden

Schwerwiegende IKT-bezogene Vorfaelle muessen nach DORA an die zustaendige Aufsicht gemeldet und mit Initial-, Zwischen- und Abschlussinformationen nachverfolgt werden.

Sparkassen-Relevanz

sehr hoch fuer Meldewesen, Informationssicherheit, IT-Betrieb, Krisenmanagement und Vorstandsunterrichtung

EZB-Relevanz

sehr hoch, weil Meldequalitaet, Fristenkontrolle und Managementeinbindung fuer aufsichtliche Pruefungen zentral sind

Moegliche Prueffragen

  • Ist klar geregelt, wann ein Vorfall als major ICT-related incident zu melden ist?
  • Gibt es eine Fristensteuerung fuer Initial-, Zwischen- und Abschlussmeldungen?
  • Sind Meldeinhalte, Freigabewege und Stellvertretungen dokumentiert?
  • Wird die Kommunikation mit Aufsicht, Verbundpartnern und Dienstleistern nachvollziehbar abgelegt?

Nachweise

  • Meldeprozess fuer Major ICT-related Incidents
  • Fristen- und Eskalationskalender
  • Meldevorlagen und Freigaben
  • Aufsichts- und Managementkommunikation
  • Lessons-Learned-Berichte

Abgeleitete Handlungen

  • DORA-Meldeprozess mit Fristen und Verantwortlichkeiten erstellen
  • Meldevorlagen fuer Initial-, Zwischen- und Abschlussbericht vorbereiten
  • Freigabe- und Stellvertreterregelung fuer aufsichtliche Meldungen festlegen
high must

Testergebnisse, Remediation und Managementreporting steuern

Ergebnisse aus Resilience-Tests und TLPT muessen in Findings, Ursachenanalysen, Massnahmen, Wirksamkeitspruefung und Managementberichte ueberfuehrt werden.

Sparkassen-Relevanz

sehr hoch fuer nachhaltige Maengelbearbeitung, Pruefungsreife, Managementtransparenz und Budgetsteuerung

EZB-Relevanz

sehr hoch, weil Aufsicht und Pruefer Massnahmenwirksamkeit, Fristen und Risikoreduktion erwarten

Moegliche Prueffragen

  • Werden Findings aus Tests priorisiert, terminiert und Verantwortlichen zugeordnet?
  • Gibt es Wirksamkeitspruefungen fuer geschlossene Massnahmen?
  • Werden kritische Testergebnisse an Vorstand, Risiko- und Kontrollfunktionen berichtet?
  • Sind wiederkehrende Schwachstellen und strukturelle Ursachen sichtbar?

Nachweise

  • TLPT- und Testabschlussbericht
  • Finding-Register
  • Massnahmenplan
  • Wirksamkeitsnachweise
  • Managementbericht
  • Risikoreduktionsnachweise

Abgeleitete Handlungen

  • Finding- und Remediation-Prozess fuer Resilience-Tests definieren
  • Managementbericht fuer kritische Testergebnisse etablieren
  • Wirksamkeitspruefung geschlossener Test-Findings verbindlich machen
high must

TLPT-Pflicht und Anwendungsbereich bewerten

Institute muessen pruefen, ob sie nach DORA und den TLPT-RTS fuer Threat-Led Penetration Testing identifiziert werden koennen und welche Funktionen betroffen sind.

Sparkassen-Relevanz

hoch fuer groessere oder kritische Sparkassen, zentrale Dienstleisterabhaengigkeiten und Institute mit kritischen Funktionen

EZB-Relevanz

sehr hoch bei bedeutenden Instituten, kritischen Funktionen, sektoraler Bedeutung oder erhoehter Cyberbedrohung

Moegliche Prueffragen

  • Wurde nachvollziehbar bewertet, ob das Institut TLPT-pflichtig sein kann?
  • Sind kritische oder wichtige Funktionen und deren IKT-Unterstuetzung identifiziert?
  • Ist die Abstimmung mit Aufsicht und relevanten Dritten vorbereitet?
  • Gibt es eine Managemententscheidung zur TLPT-Readiness?

Nachweise

  • TLPT-Anwendbarkeitsanalyse
  • Kritikalitaets- und Funktionsmapping
  • System- und Dienstleisterscope
  • Managemententscheidung
  • Kommunikation mit Aufsicht oder Koordinierungsstelle

Abgeleitete Handlungen

  • TLPT-Anwendbarkeitscheck fuer Sparkasse und kritische Funktionen erstellen
  • Funktionen, Systeme und Dienstleister fuer potenziellen TLPT-Scope erfassen
  • Management-Entscheidungsvorlage zur TLPT-Readiness vorbereiten
high must

TLPT-Scope, Methodik und Sicherheitssteuerung festlegen

Fuer TLPT muessen Scope, Methodik, Kontrollteam, Sicherheitsvorkehrungen, Daten- und Betriebsrisiken sowie Einbindung relevanter Dritter gesteuert werden.

Sparkassen-Relevanz

hoch fuer Informationssicherheit, IT-Betrieb, Notfallmanagement, Datenschutz, Dienstleistersteuerung und Krisenorganisation

EZB-Relevanz

hoch, weil TLPT auf reale Angriffsszenarien, kritische Funktionen und belastbare Governance abzielt

Moegliche Prueffragen

  • Sind Scope, Ziele, kritische Funktionen und ausgeschlossene Bereiche nachvollziehbar begruendet?
  • Sind Kontrollteam, White-Team-/Control-Team-Rollen und Eskalationswege definiert?
  • Sind Datenschutz, Produktivbetrieb, Vertraulichkeit und Notfallabbruch geregelt?
  • Sind Dienstleister und Verbundpartner im Scope koordiniert?

Nachweise

  • TLPT-Projektauftrag
  • Scope-Dokument
  • Testmethodik
  • Kontrollteam-RACI
  • Risk-Acceptance- und Notfallabbruchregeln
  • Dienstleisterfreigaben

Abgeleitete Handlungen

  • TLPT-Governance und Kontrollteam-Rollen definieren
  • Standard-Scope und Methodik fuer TLPT-Projekte vorbereiten
  • Sicherheits-, Datenschutz- und Betriebsfreigaben fuer TLPT regeln
high must

Vorfallnachweise und Lessons Learned pruefungsfest dokumentieren

Fuer IKT-Vorfaelle muessen Ursachen, Auswirkungen, Entscheidungen, Massnahmen und Lessons Learned nachvollziehbar dokumentiert werden.

Sparkassen-Relevanz

hoch fuer Revision, externe Pruefung, Informationssicherheit und nachhaltige Maengelbearbeitung

EZB-Relevanz

hoch, weil Wiederholungsrisiken, Ursachenanalyse und Massnahmenwirksamkeit typische Aufsichtsthemen sind

Moegliche Prueffragen

  • Sind Ursachenanalyse, Auswirkungen und getroffene Entscheidungen nachvollziehbar dokumentiert?
  • Werden Massnahmen aus Vorfaellen priorisiert, verfolgt und auf Wirksamkeit geprueft?
  • Gibt es eine Verbindung zwischen Vorfall, Meldeentscheidung, Nachweisen und Massnahmenplan?
  • Werden wiederkehrende Stoerungsmuster an Management und Kontrollfunktionen berichtet?

Nachweise

  • Root-Cause-Analyse
  • Impact-Assessment
  • Chronologie des Vorfalls
  • Massnahmen- und Wirksamkeitsnachweise
  • Lessons-Learned-Protokoll

Abgeleitete Handlungen

  • Standard fuer Vorfalldokumentation und Chronologie definieren
  • Lessons-Learned-Review nach meldepflichtigen oder kritischen Vorfaellen etablieren
  • Massnahmen aus Vorfaellen mit Pruefungsreife und Verantwortlichen verknuepfen