DORA implementation across 5 pillars: ICT risk management, incident management, resilience testing, ICT third-party risk management and information sharing — structured and prioritised.
Säule 1-3: Risikomanagement, Incidents und Tests
Säule 1 — IKT-Risikomanagement (Art. 5-16): IKT-Risikomanagement-Framework dokumentieren, Leitungsorgan schulen und einbinden, IKT-Risikobewertung durchführen, Schutzmaßnahmen und Monitoring implementieren. Säule 2 — IKT-Incident Management (Art. 17-23): Incident-Klassifizierungsverfahren nach EBA-RTS, Meldeprozesse für 4h/72h/1-Monat-Fristen, Incident-Register führen. Säule 3 — Digitale Resilienztests (Art. 24-27): jährliche Vulnerability Assessments, Penetrationstests für kritische Systeme, TLPT (Threat-Led Penetration Testing) für bedeutende Unternehmen.
IKT-Drittparteienrisikomanagement (Säule 4) ist die komplexeste und zeitaufwändigste Säule. 360TPRM deckt sie vollständig ab — und sollte daher als erstes implementiert werden.
Säule 4-5 und Priorisierungsempfehlung
Säule 4 — IKT-Drittparteienrisikomanagement (Art. 28-44): Informationsregister aller IKT-Anbieter aufbauen (EBA-konformes Format), 360TPRM für Due Diligence und kontinuierliches Monitoring einführen, kritische Anbieter identifizieren und melden, Exit-Strategien dokumentieren, Verträge auf DORA Art. 30 Mindestanforderungen prüfen. Säule 5 — Informationsaustausch (Art. 45): freiwillige Teilnahme an Informationsaustausch-Vereinbarungen, ISAC-Mitgliedschaft je nach Sektor. Priorisierung: Säule 4 zuerst (höchster Aufwand, 360TPRM beschleunigt), dann Säule 1, dann 2 und 3.
Unternehmen die noch nicht mit der DORA-Umsetzung begonnen haben sind bereits in Verzug. BaFin und EBA werden Compliance aktiv prüfen.
FAQ
Start DORA implementation with 360TPRM
See in a 45-minute demo how 360TPRM specifically meets your requirements.
Request free demo →