Brain-Media.de/Compliance-Lexikon/IKT-Asset-Inventar
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · DORA

IKT-Asset-Inventar

auch: ICT Asset Inventory

Das IKT-Asset-Inventar ist die nach Art. 8 DORA vorgeschriebene vollstaendige Erfassung aller IKT-Systeme, -Dienste und -Abhaengigkeiten eines Finanzunternehmens - als Grundlage fuer Risikobewertung, Kritikalitaetseinstufung und das gesamte IKT-Risikomanagement.

Warum das IKT-Asset-Inventar die Grundlage des gesamten DORA-Rahmens ist

Ohne vollstaendiges IKT-Asset-Inventar fehlt die Grundlage fuer jede risikobasierte DORA-Umsetzung: Welche Systeme sind kritisch? Welche Abhaengigkeiten bestehen zu Drittanbietern? Wo liegen Konzentrationsrisiken? Art. 8 DORA verlangt deshalb eine vollstaendige, regelmaessig aktualisierte Inventarisierung aller IKT-Assets mit expliziter Kritikalitaetsbewertung.

Wo das IKT-Asset-Inventar gefordert wird

FrameworkReferenzAnforderung
DORAArt. 8Identifizierung: Vollstaendige Inventarisierung aller IKT-Assets als zentrale DORA-Pflicht.
DORAArt. 8 Abs. 4Regelmaessige Aktualisierung und Kritikalitaetsbewertung des Inventars.
EBA/ESMA/EIOPARTS Art. 8Technische Regulierungsstandards mit detaillierten Anforderungen an das Asset-Inventar.
ISO 27001:2022A.5.9Vergleichbare Anforderung an ein vollstaendiges Informationsasset-Inventar.
DORAArt. 28Register of Information: IKT-Asset-Inventar als Grundlage fuer das Drittanbieter-Register.

BAM-Objektreferenz

BAM-Objekt DORA-IA-01
BeschreibungIKT-Asset-Inventar mit vollstaendiger Erfassung aller kritischen IKT-Systeme
GitHubBAM Core →

Haeufige Fehler

  • Inventar unvollstaendig - Cloud-Dienste, SaaS-Tools und Schatten-IT nicht erfasst
  • Keine Kritikalitaetsbewertung pro Asset
  • Inventar nicht laufend aktualisiert, sondern nur punktuell erstellt
  • Abhaengigkeiten zwischen Assets nicht dokumentiert (welches System haengt von welchem ab?)

Aufbau eines vollstaendigen IKT-Asset-Inventars

Ein DORA-konformes Inventar erfasst fuer jedes IKT-Asset: Funktion und Geschaeftszweck, Kritikalitaetseinstufung, technische Abhaengigkeiten zu anderen Systemen, zustaendigen Asset Owner, eingesetzte Drittanbieter und Standort der Datenverarbeitung. Die Pflege sollte in bestehende Configuration-Management-Datenbanken (CMDB) integriert werden, um den manuellen Aktualisierungsaufwand zu minimieren.

Naechster Schritt

Compliance-Stresstest starten

Kostenloser Stresstest zur IKT-Asset-Inventarisierung.

Verwandte Begriffe

Asset InventoryICT Risk ManagementInformation Owner

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper