DORA Pruefung

Warum DORA-Pruefungsbereitschaft kontinuierliche Vorbereitung erfordert

DORA-Pruefungen koennen sowohl regelmaessig als auch anlassbezogen erfolgen - etwa nach einem gemeldeten schwerwiegenden IKT-Vorfall. Fuer systemrelevante Finanzunternehmen kommt die direkte EZB-Aufsicht hinzu, fuer kritische IKT-Drittanbieter die neue direkte ESA-Aufsicht. Eine Organisation, die ihre DORA-Dokumentation nur fuer den Ernstfall vorbereitet, riskiert bei kurzfristig angekuendigten Pruefungen erhebliche Luecken.

Wo DORA-Pruefungen stattfinden

Framework	Referenz	Anforderung
DORA	Art. 32-44	Aufsicht ueber kritische IKT-Drittanbieter: Direkte ESA-Pruefungsbefugnisse fuer systemrelevante Anbieter.
DORA	Art. 50	Aufsichtsmassnahmen und Sanktionen bei festgestellten Verstoessen.
BaFin KWG	§ 44	Allgemeines Auskunfts- und Pruefungsrecht der BaFin als nationale Aufsichtsgrundlage.
EZB-Bankenaufsicht	vollstaendig	Direkte EZB-Aufsicht fuer bedeutende Institute im Rahmen des Single Supervisory Mechanism.
ESAs Joint Committee	vollstaendig	Koordinierte Aufsicht der drei europaeischen Aufsichtsbehoerden EBA, ESMA und EIOPA.

BAM-Objektreferenz

Haeufige Fehler

• Keine zentrale, jederzeit pruefbereite DORA-Dokumentationssammlung
• Verantwortlichkeiten fuer die Pruefungsbegleitung nicht im Vorfeld geklaert
• Fehlende Uebung interner Simulationen einer aufsichtlichen Pruefung
• Dokumentation veraltet zum Zeitpunkt der tatsaechlichen Pruefung

Vorbereitung auf aufsichtliche Pruefungen

Ein DORA-Pruefungs-Playbook definiert, wer im Pruefungsfall welche Rolle uebernimmt, welche Dokumente sofort verfuegbar sein muessen (IKT-Risikomanagement-Rahmen, Drittanbieter-Register, Vorfallsmeldungen, Resilienztest-Ergebnisse) und wie die Kommunikation mit der Aufsichtsbehoerde koordiniert wird. Regelmaessige interne Readiness-Assessments identifizieren Luecken, bevor sie im echten Pruefungsfall auffallen.

Verwandte Begriffe