IKT Asset

Regulatorik als lebendiger Informationsverbund

DORA, NIS 2 und EU AI Act für Finanzunternehmen: verständlich, prüfbar und vernetzt.

RGRegulierungDORA, NIS 2, EU AI Act und mehrIRRegisterInformationsverbund erkundenAINewsfeedKI-Updates mit Quellenprüfung
DORA

Digital Operational Resilience Act

DORA harmonisiert digitale operationelle Resilienz für EU-Finanzunternehmen. Der Schwerpunkt liegt auf ICT-Risikomanagement, Incident Reporting, Resilienztests, Informationsaustausch und ICT-Drittparteirisiko.

Anwendung17.01.2025

Reichweite

  • Finanzunternehmen und Gruppensteuerung
  • ICT-Services für kritische oder wichtige Funktionen
  • Kritische ICT-Drittanbieter mit EU-Aufsichtsrahmen

Kernpflichten

  • ICT-Risikomanagement dokumentieren und jährlich verbessern
  • Meldeprozesse für schwere ICT-Vorfälle betreiben
  • Resilienztests und Lessons Learned nachhalten
  • Informationsregister für ICT-Drittparteiverträge führen

Registerobjekte

  • Kritische Funktion
  • ICT-Service
  • Provider
  • Vertrag
  • Subunternehmer
  • Exit-Plan
  • Kontrollnachweis

Informationsverbund

Vom Gesetzestext zur prüfbaren Konzernlandkarte.

Ein Informationsverbund verbindet kritische Funktionen, Geschäftsprozesse, Anwendungen, Daten, Infrastruktur, Provider, Verträge, Kontrollen, Risiken, Vorfälle und AI-Systeme. Dadurch wird sichtbar, welche Regime auf welche Leistungen, Lieferketten und Nachweise wirken.

Informationsverbund ObjektmodellDORANIS 2EU AI ActKritischeFunktionProzessAnwendungDatenProviderVertragKontrolleAI-System

Informationsregister

Benötigte Objekte und Relationen für einen Finanzkonzern.

Das Register ist nicht nur ein DORA-Vertragsverzeichnis. Es ist der belastbare Datenkern für Aufsicht, Auslagerung, IT-Architektur, Risikoanalyse, Nachweise und AI-Governance.

Vollständigen Katalog öffnen

Kritische oder wichtige Funktion

funktionDORANIS 2

Funktion, deren Ausfall die finanzielle Leistung, Kontinuität, Kundenversorgung oder Marktintegrität wesentlich beeinträchtigen kann.

Mindestattribute

  • Kritikalität
  • Impact Toleranz
  • RTO
  • RPO
  • BIA-Ergebnis
  • Owner

Relationen

  • wird erfüllt durch Prozess
  • hängt ab von ICT-Service
  • ist betroffen von Vorfall

Nachweise

  • BIA
  • Resilienzstrategie
  • Funktionstest
RelationBedeutungTypische Evidenz
Funktion wird erfüllt durch ProzessOperationalisiert kritische oder wichtige Funktionen.Prozesslandkarte, BIA, Verantwortliche
Prozess nutzt AnwendungZeigt ICT-Abhängigkeit und Ausfallwirkung.CMDB, Servicekatalog, Architekturreview
Anwendung verarbeitet DatenVerknüpft Schutzbedarf, Datenflüsse und AI-Nutzung.Datenkatalog, Verarbeitungsverzeichnis, Klassifikation
ICT-Service wird geliefert durch ProviderErzeugt Third-Party- und Konzentrationssicht.Providerakte, Servicebeschreibung, SLAs
Provider ist geregelt durch VertragVerankert DORA-Register, Exit, Audit- und Meldepflichten.Vertragsklauseln, Subunternehmerliste, Exit-Plan
Kontrolle mitigiert RisikoBelegt Maßnahmen gegen Cyber-, ICT- und AI-Risiken.Kontrolltest, Kontrollowner, Findings
AI-System nutzt Modell und DatensatzSchafft Nachvollziehbarkeit für EU-AI-Act-Pflichten.Model Card, Datenblatt, Monitoring-Log
Vorfall betrifft Funktion und ProviderUnterstützt Meldeentscheidung und Lessons Learned.Incident Record, Timeline, RCA, Kommunikation
EntwurfFachreviewLegalFreigabePubliziert
Auslagerungsregister: Kriterien AktualisierungLeitfadenDORAIn Prüfung
Incident Classification StandardStandardDORA / NIS 2Entwurf
AI System Risk AssessmentProzessEU AI ActFreigabe
Third-Party Security RequirementsVorlageDORAPubliziert

KI-generierter Newsfeed

Relevante Updates, automatisch zusammengefasst und fachlich freigegeben.

Der Newsfeed priorisiert offizielle Quellen, verknüpft Meldungen mit Objekten und Pflichten und erzeugt Impact-Hinweise für Owner im Konzern. Jede KI-Zusammenfassung bleibt quellengebunden und reviewpflichtig.

Enterprise-ready Funktionen

Was eine konzernfähige Plattform zusätzlich leisten sollte.

Für den produktiven Einsatz braucht die Website Produktfähigkeiten jenseits der Darstellung: Berechtigungen, Nachweise, Schnittstellen, Reports, Qualitätssicherung und robuste AI-Governance.

01

SSO, Rollen und Mandanten

Azure AD/Entra ID, SCIM, Konzernmandanten, Need-to-know-Sichten, Vier-Augen-Freigaben.

02

Evidence Vault

Versionierte Nachweise, Sign-off, Aufbewahrung, Hashes, Exportpakete für Aufsicht und Audit.

03

Obligation Mapping

Pflichtenbibliothek, Kontrollzuordnung, Gap-Assessment und Mapping auf ISO 27001, COBIT, MaRisk und BAIT-Nachfolger.

04

Integration Hub

Anbindungen an CMDB, GRC, ITSM, Vertragsmanagement, IAM, DMS, SIEM und Datenkatalog.

05

DORA Register Export

Qualitätsregeln, Template-Mapping, Gruppensichten, Provider-Deduplizierung und maschinenlesbare Exporte.

06

AI Governance Layer

Prompt- und Quellenprotokolle, Human-in-the-loop, Bias-/Robustheitsnachweise, Model Cards und Audit Logs.

07

Board & Aufsichtsreports

Management-Dashboards, Heatmaps, Fristenkalender, Kontrollstatus und regulatorische Entscheidungsnotizen.

08

Resilienzkalender

Tests, TLPT, Exit-Übungen, BIA-Reviews, Incident-Learnings und Kontrollprüfungen in einem Plan.

Phase 1

Wissens- und Registermodell

Regime, Objekte, Relationen, Mindestattribute und Quellenbibliothek freischneiden.

Phase 2

Redaktion und Governance

Rollen, Reviews, Freigaben, Versionierung, Audit Trail und Publikationslogik einführen.

Phase 3

AI News & Impact Engine

Quellenmonitoring, Zusammenfassung, Relevanzscore, Owner-Benachrichtigung und Human Review.

Phase 4

Enterprise-Integrationen

CMDB, GRC, Vertragsmanagement, DMS, SIEM, ITSM und Reporting-Pipelines anbinden.