Information register
Object type catalog
256 modeled object types for DORA, NIS 2 and EU AI Act – searchable, connected and editable in admin.
AI & Modelle
AI-System
AI-gestütztes System mit Zweck, Risikoklasse, Deployer und Human Oversight.
AI Use Case
Konkreter Anwendungsfall für AI in Geschäftsprozessen oder Entscheidungen.
High-Risk-AI-System
AI-System mit Hochrisiko-Einstufung nach EU AI Act.
Generatives AI-System
LLM- oder generatives System mit Prompt-Governance und Guardrails.
Foundation Model
Allgemeines Basismodell als Grundlage für Fine-Tuning oder RAG.
AI-Modell
Modellartefakt inklusive Version, Training, Benchmarks und Change Record.
Modellversion
Versionierte Modellinstanz mit Freigabe, Monitoring und Rollback.
Prompt / Prompt-Vorlage
Prompting-Konfiguration mit Guardrails, Freigabe und Änderungsprotokoll.
Prompt-Template
Wiederverwendbare Prompt-Vorlage für standardisierte AI-Interaktionen.
Guardrail
Technische oder organisatorische Schranke zur Begrenzung von AI-Ausgaben und -Risiken.
RAG-Konfiguration
Retrieval-Augmented-Generation-Setup mit Quellen, Index und Zugriffskontrolle.
Model Card
Dokumentation zu Modellzweck, Grenzen, Bias, Performance und Einsatzbedingungen.
Technische Dokumentation (AI)
EU-AI-Act-konforme technische Dokumentation für High-Risk-Systeme.
Human Oversight
Menschliche Aufsicht und Eingriffsmöglichkeit bei AI-Entscheidungen.
AI-Monitoring-Log
Protokollierung von Modellverhalten, Drift, Fehlern und Overrides.
AI-Risikoklasse
Einstufung nach EU AI Act wie minimal, begrenzt, hoch oder unannehmbares Risiko.
AI-Risikobewertung
Strukturierte Bewertung von AI-Risiken vor Produktivsetzung und bei Änderungen.
Bias- und Robustheitstest
Test auf Verzerrung, Genauigkeit, Robustheit und Cybersicherheit des Modells.
AI-Konformitätsbewertung
Bewertung der Konformität mit EU AI Act inklusive CE-Kennzeichnung wo relevant.
Deployer (AI)
Organisationseinheit oder Entity, die ein AI-System betreibt oder einsetzt.
AI-Provider
Anbieter von AI-Modellen, -Plattformen oder -Services.
General-Purpose-AI-Nutzung
Nutzung von GPAI-Modellen in kontrollierten Workflows mit Governance-Anforderungen.
Compliance & Regulierung
Regulatorisches Regime
Regulatorischer Rahmen wie DORA, NIS 2, EU AI Act oder nationale Umsetzung.
Regulatorische Pflicht
Konkrete Pflicht aus Gesetz, Verordnung, ITS oder Aufsichtsanforderung.
Regulatorische Anforderung
Interpretierte Anforderung mit Scope, Owner und Umsetzungsstatus.
Meldeweg
Prozess und Schnittstelle für regulatorische oder behördliche Meldungen.
Meldepflicht
Definierte Pflicht zur Meldung von Vorfällen, Änderungen oder Kennzahlen.
Meldung
Formale Meldung an Aufsicht, CSIRT oder internes Gremium.
Aufsichtliche Anfrage
Anfrage oder Prüfungsanordnung einer Aufsicht mit Frist und Verantwortlichem.
Prüfbericht
Bericht aus interner oder externer Prüfung mit Feststellungen und Empfehlungen.
Konformitätsbewertung
Bewertung der Einhaltung regulatorischer Anforderungen für Objekt oder Programm.
Regulatorische Frist
Umsetzungs-, Melde- oder Berichtsfrist mit Verantwortlichem und Status.
Berichtspflicht
Pflicht zur Erstellung und Einreichung eines regulatorischen Berichts.
Nationaler Umsetzungsakt
Nationales Gesetz oder Verordnung zur Umsetzung europäischer Vorgaben.
Aufsichtliche Weisung
Verbindliche oder interpretierende Weisung einer Aufsichtsbehörde.
Framework-Mapping
Zuordnung von Pflichten zu ISO 27001, COBIT, MaRisk, BAIT-Nachfolger o. Ä.
Branchennorm
Branchenspezifische Norm oder Leitlinie als Referenzrahmen.
Meldeformular
Standardisiertes Formular für Incident-, Register- oder Compliance-Meldungen.
Daten & Information
Datenobjekt
Einzelnes Datenobjekt oder Datensatz mit Klassifikation, Schutzbedarf und Owner.
Datendomäne
Fachliche Domäne wie Kunde, Vertrag oder Transaktion im Datenkatalog.
Datenkatalog-Eintrag
Metadaten-Eintrag im Enterprise-Datenkatalog mit Lineage und Qualitätsangaben.
Datenfluss
Bewegung von Daten zwischen Systemen, Standorten, Providern oder AI-Pipelines.
Datenpipeline
Automatisierter Datenverarbeitungs- und Transformationspfad.
Datenquelle
Ursprungssystem oder Feed für Datenbereitstellung und Qualität.
Datensatz
Strukturierter Datensatz für Training, Analyse, Reporting oder AI-Nutzung.
Datenklassifikation
Klassifizierungsstufe wie öffentlich, intern, vertraulich oder streng vertraulich.
Schutzbedarfsfeststellung
Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit für Informationen.
Personenbezogene Daten
Datenkategorie mit DSGVO-Bezug, Verarbeitungszweck und Rechtsgrundlage.
Besondere Kategorien personenbezogener Daten
Besonders schützenswerte personenbezogene Daten nach Art. 9 DSGVO.
Verarbeitungstätigkeit
Dokumentierte Verarbeitung personenbezogener Daten im Verarbeitungsverzeichnis.
Datenschutz-Folgenabschätzung
DPIA für risikoreiche Verarbeitungen mit Maßnahmen und Freigabe.
Referenzdaten
Master- oder Referenzdaten mit Governance und Qualitätsanforderungen.
Master-Data-Objekt
Golden Record für Kerndatenentitäten wie Kunde oder Produkt.
Transaktionsdaten
Operative Transaktions- und Ereignisdaten mit Aufbewahrungs- und Schutzanforderungen.
Analytische Datenmenge
Aggregierte oder historisierte Daten für Reporting, BI und Modellierung.
Training-Datensatz
Datensatz zum Training oder Fine-Tuning von AI-Modellen mit Governance-Anforderungen.
Validierungs-Datensatz
Datensatz zur Modellvalidierung, Bias-Prüfung und Konformitätsnachweise.
Datenqualitätsregel
Regel zur Sicherstellung von Vollständigkeit, Genauigkeit und Konsistenz.
Data Lineage
Nachverfolgbare Herkunft und Transformation von Daten über Systeme hinweg.
Aufbewahrungsfrist
Regulatorische oder interne Frist für Speicherung und Löschung von Daten.
Löschkonzept
Konzept zur sicheren und nachweisbaren Löschung oder Anonymisierung von Daten.
Metadaten
Beschreibende Metadaten zu Objekten, Feldern oder Datenprodukten.
Evidence & Nachweise
Nachweis
Prüffähiges Artefakt zur Belegung von Pflichten, Kontrollwirksamkeit oder Freigaben.
Audit Trail
Protokollierung von Änderungen, Freigaben, Zugriffen und Entscheidungen.
Freigabe
Formal dokumentierte Freigabe durch Owner, Legal oder Management.
Sign-off
Verbindliche Abzeichnung mit Zeitstempel, Rolle und Gültigkeitsumfang.
Version
Versionierung von Dokumenten, Konfigurationen, Modellen oder Registerdaten.
Archiviertes Dokument
Revisionssicher archiviertes Dokument mit Aufbewahrungsfrist.
Exportpaket
Zusammengestelltes Paket für Aufsicht, Audit oder interne Prüfung.
Zertifikat
ISO-, SOC- oder branchenspezifisches Zertifikat eines Providers oder Systems.
Attestierung
Management-Attestierung zu Kontrollwirksamkeit oder Compliance-Status.
Prüfungsnachweis
Nachweis aus interner Revision, Wirtschaftsprüfung oder Aufsichtsprüfung.
Kontrollnachweis
Dokumentation der Ausführung und Wirksamkeit einer Kontrolle.
Schulung
Cyber-, Resilienz- oder AI-Schulung inklusive Nachweis der Teilnahme.
Management-Entscheidungsprotokoll
Protokoll einer Managemententscheidung zu Risiko, Auslagerung oder AI.
Funktionen & Prozesse
Kritische Funktion
Funktion, deren Ausfall Kontinuität, Kundenversorgung oder Marktintegrität wesentlich beeinträchtigt.
Wichtige Funktion
Funktion mit erhöhter, aber nicht höchster Kritikalität im Resilienz- und BIA-Kontext.
End-to-end-Prozess
Durchgängiger Geschäftsprozess von Trigger bis Ergebnis mit ICT- und Datenabhängigkeiten.
Geschäftsprozess
Operationalisierter Ablauf zur Erfüllung von Funktionen mit Owner, SLA und Kontrollen.
Teilprozess
Untergliederung eines Geschäftsprozesses mit eigenem Owner und Service Level.
Prozessschritt
Einzelner Arbeitsschritt mit Eingaben, Ausgaben, Rollen und Systembezug.
Prozess-Schnittstelle
Übergabe zwischen Prozessen, Organisationseinheiten oder Systemen.
Prozesslandkarte
Strukturierte Übersicht aller Prozesse mit Hierarchie, Owner und Regime-Bezug.
Workflow
Automatisierter oder teilautomatisierter Ablauf in BPM-, RPA- oder Case-Management-Systemen.
Notfallprozess
Prozessvariante für Krisen, Ausfall oder signifikante Störungen.
Servicekatalog-Eintrag
Beschreibung einer fachlichen oder technischen Leistung im Unternehmen.
Kundenprodukt
Bank-, Versicherungs- oder Kapitalmarktprodukt mit ICT- und Regulierungsbezug.
Vertriebs- und Servicekanal
Kanal wie Filiale, Online-Banking oder Broker-Plattform mit Abhängigkeiten zu ICT.
Business Impact Analyse
Analyse von Auswirkungen, RTO, RPO und Impact Toleranz für Funktionen und Prozesse.
Impact Toleranz
Maximal tolerierbare Ausfall- oder Degradationsdauer für eine Funktion oder Leistung.
RTO/RPO-Zuordnung
Recovery Time Objective und Recovery Point Objective für Systeme und Prozesse.
Service Level
Internes oder externes Leistungsniveau mit Verfügbarkeits- und Reaktionsanforderungen.
Prozesskontrolle
In den Prozess eingebettete Kontrolle zur Risikominderung und Pflichterfüllung.
ICT & Technik
Anwendung
Software-Anwendung zur Unterstützung von Prozessen, Datenverarbeitung und ggf. AI-Nutzung.
Applikationskomponente
Modul, Microservice oder Komponente innerhalb einer Anwendungslandschaft.
ICT-Service
Technische oder fachnahe ICT-Leistung intern oder extern erbracht.
Shared ICT-Service
Konzernweit bereitgestellter ICT-Service für mehrere Legal Entities.
Plattform
Gemeinsame technische Plattform für mehrere Anwendungen oder Services.
Middleware
Integrations-, Messaging- oder ESB-Komponente zwischen Systemen.
API
Programmatische Schnittstelle mit Authentifizierung, Versionierung und Nutzungsrichtlinien.
Schnittstelle
API, Batch-Schnittstelle, Datei- oder Protokollverbindung zwischen Systemen.
Integration
Technische Integrationslösung inklusive Mapping, Transformation und Fehlerbehandlung.
Server
Physische oder virtuelle Serverinstanz mit Betriebs- und Lifecycle-Attributen.
Virtuelle Maschine
VM-Instanz als Ausführungsumgebung für Anwendungen und Middleware.
Container
Container- oder Pod-Instanz in Kubernetes- oder Container-Umgebungen.
Kubernetes-Cluster
Orchestrierte Container-Plattform mit Namespaces, Policies und Workloads.
Betriebssystem
OS-Instanz als Basis für Anwendungen, Patches und Sicherheitskonfiguration.
Datenbank
Relationale oder NoSQL-Datenbankinstanz mit Verfügbarkeits- und Schutzanforderungen.
Speichersystem
SAN, NAS, Object Storage oder Backup-Speicher mit Kapazitäts- und Schutzattributen.
Netzwerk
Unternehmens- oder Cloud-Netzwerk mit Routing, Segmentierung und Überwachung.
Netzwerksegment
VLAN, Subnetz oder Security Zone mit Zugriffs- und Segmentierungsregeln.
Firewall
Perimeter- oder interne Firewall als Schutzkomponente der Infrastruktur.
Load Balancer
Lastverteiler für Verfügbarkeit und Skalierung von Anwendungen.
Endpoint
Endpunkt für Zugriff, Monitoring oder Sicherheitsagenten in Client- und Serverumgebungen.
Endgerät
Laptop, Desktop, Mobilgerät oder Spezialarbeitsplatz im Betrieb.
IoT-Endgerät
Vernetztes Spezialgerät mit Sicherheits- und Lifecycle-Anforderungen.
Cloud-Dienst
IaaS-, PaaS- oder SaaS-Leistung in Public-, Private- oder Hybrid-Cloud.
Cloud-Region
Geografische Cloud-Region mit Datenresidenz- und Resilienzrelevanz.
Cloud-Tenant
Mandant, Subscription oder Account in Cloud-Umgebungen.
Hosting-Umgebung
Betriebsumgebung für Anwendungen mit Trennung von Dev, Test und Produktion.
Monitoring-System
System zur Überwachung von Verfügbarkeit, Performance und Sicherheitsereignissen.
Logging-Plattform
Zentrale Protokollierung und Korrelation von System- und Sicherheitslogs.
SIEM
Security Information and Event Management für Detektion und Incident-Analyse.
Backup-System
Backup- und Recovery-Lösung inklusive RPO/RTO-Bezug.
Kryptografie-Komponente
HSM, PKI, Schlüsselmanagement oder Verschlüsselungsdienst.
Mainframe
Großrechner-Plattform für Kernbanken-, Abrechnungs- oder Legacy-Workloads.
E-Mail-System
Unternehmensweite E-Mail- und Kollaborations-Infrastruktur.
Collaboration-Plattform
Plattform für Teams, Dokumente und Kommunikation mit Zugriffssteuerung.
CI/CD-Pipeline
Automatisierte Build-, Test- und Deployment-Pipeline für Softwareänderungen.
Release
Freigegebene Softwareversion mit Change Record und Rollback-Plan.
Patch
Sicherheits- oder Funktionspatch mit Priorität, Test und Einspielfenster.
Software-Lizenz
Lizenzrecht für Software mit Nutzungs- und Compliance-Attributen.
Technische Schuld
Dokumentierte technische Abweichung mit Auswirkung auf Resilienz und Sicherheit.
Technologie-Stack
Zusammenspiel von Frameworks, Laufzeitumgebungen und Abhängigkeiten einer Lösung.
Deployment-Einheit
Deploybares Artefakt oder Konfigurationspaket in einer definierten Umgebung.
Identity & Access
Identität
Digitale Identität einer Person, eines Systems oder einer Organisationseinheit.
Benutzerkonto
Benutzerkonto mit Lifecycle, MFA und Zugriffsrechten.
Technisches Konto
Nicht-personenbezogenes Konto für Systeme, Batch oder Integration.
Privilegiertes Konto
Konto mit erhöhten Rechten unter PAM- und Monitoring-Anforderungen.
Service Account
Konto für automatisierte Dienste mit Secret-Rotation und Least Privilege.
Berechtigung
Einzelne Berechtigung oder Rolle auf System, Anwendung oder Daten.
Rollendefinition
Definierte Rolle mit Berechtigungsbündel und Freigabeprozess.
Privileged Access Management
PAM-Lösung für Just-in-Time-Zugriff und Session-Recording.
MFA-Methode
Multi-Faktor-Authentifizierung für Benutzer oder privilegierte Zugriffe.
SSO-Anbindung
Single-Sign-On-Integration über IdP wie Entra ID oder Okta.
Access Review
Periodische Überprüfung und Re-Zertifizierung von Zugriffsrechten.
Joiner-Mover-Leaver-Prozess
Prozess für Kontoanlage, Rollenwechsel und Deaktivierung.
Identity Lifecycle
Lebenszyklusmanagement für Identitäten von Onboarding bis Offboarding.
Secrets Management
Verwaltung von Passwörtern, API-Keys und Zertifikaten mit Rotation.
Identitätsmanagement-System
IAM/IGA-System für Identitäten, Berechtigungen und Zugriffskontrolle.
Incident & Resilienz
Vorfall
ICT-, Cyber- oder AI-bezogener Vorfall mit Klassifikation und Timeline.
ICT-Vorfall
Vorfall mit Auswirkung auf ICT-Services, Systeme oder Provider.
Cyber-Vorfall
Sicherheitsvorfall mit Verdacht oder Nachweis böswilliger Aktivität.
Signifikanter Vorfall
Schwerwiegender Vorfall mit Meldepflicht nach DORA oder NIS 2.
Störung
Serviceunterbrechung oder Degradation ohne vollständigen Ausfall.
Disaster-Recovery-Plan
Plan zur Wiederherstellung von IT-Systemen und Daten nach schwerem Ausfall.
Business-Continuity-Plan
Plan zur Aufrechterhaltung kritischer Geschäftsfunktionen bei Störungen.
Notfallplan
Plan für Krisen, Ausfall und Wiederherstellung kritischer Leistungen.
Notfallorganisation
Krisenteam, Rollen und Eskalationswege bei schweren Vorfällen.
Resilienztest
Test wie Failover, Wiederanlauf oder Ausfallsimulation.
Threat-Led Penetration Test
Aufsichtlich relevanter TLPT gemäß DORA für kritische ICT-Provider und Institute.
Backup-Wiederherstellungstest
Test der Backup- und Restore-Fähigkeit mit dokumentiertem Ergebnis.
Tabletop-Übung
Szenario-basierte Übung für Incident, Krisen oder Exit ohne technischen Failover.
Root Cause Analysis
Ursachenanalyse mit Korrekturmaßnahmen und Lessons Learned.
Lessons Learned
Erkenntnisse aus Incident, Test oder Übung mit Umsetzungsverfolgung.
Post-Incident-Review
Strukturierte Nachbesprechung eines Vorfalls mit Maßnahmenplan.
CSIRT-Schnittstelle
Kontakt und Prozess für Meldungen an nationales CSIRT nach NIS 2.
Frühwarnmeldung
Erste Meldung innerhalb der 24-Stunden-Frist bei signifikanten Cyber-Vorfällen.
Wiederherstellungspriorität
Priorisierte Reihenfolge für Wiederanlauf von Systemen und Funktionen.
Incident-Kommunikationsplan
Plan für interne und externe Kommunikation bei schweren Vorfällen.
Organisation & Steuerung
Finanzgruppe
Konsolidierungskreis mit regulierten Einheiten, Ländern, Aufsichten und gruppenweiten Meldeverantwortungen.
Legal Entity
Juristische Einheit mit Lizenz, Geschäftsbereich und eigener Verantwortung für Pflichten, Services und Daten.
Tochtergesellschaft
Regulierte oder unterstützende Gesellschaft innerhalb des Konsolidierungskreises mit eigener Entity-Verantwortung.
Geschäftsbereich
Organisatorische Einheit zur Abgrenzung von Produkten, Services, P&L und Verantwortlichkeiten.
Organisationseinheit
Abteilung, Team oder Linienorganisation mit Reporting-Linien und operativen Aufgaben.
Management Body
Leitungs- und Aufsichtsorgan mit Verantwortung für ICT-, Cyber-, Resilienz- und AI-Steuerung.
Aufsichtsbehörde
Zuständige Aufsicht wie BaFin, EBA, nationale CSIRT-Behörde oder sektorale Regulierungsstelle.
Mandant
Logische Mandanten- oder Tenant-Abgrenzung für Konzernregister, IAM und Need-to-know-Sichten.
Rolle
Funktionale Rolle wie Owner, Custodian, Control Owner oder Data Steward im Verantwortungsmodell.
Person
Natürliche Person mit Zuordnung zu Rollen, Verantwortlichkeiten, Freigaben und Schulungsnachweisen.
Verantwortlichkeit
Formal zugewiesene Verantwortung für Objekt, Pflicht, Kontrolle oder Registerqualität.
RACI-Zuordnung
Responsible-Accountable-Consulted-Informed-Zuordnung für Prozesse, Kontrollen oder Registerobjekte.
Governance-Gremium
Steuerungsgremium für ICT-Risiko, Auslagerung, AI-Governance oder Resilienz.
Konzernsteuerung
Gruppenweite Steuerungslogik für Policies, Register, Meldungen und zentrale Services.
Interne Revision
Interne Prüfungsfunktion mit Prüfprogramm, Findings und Nachverfolgung regulatorischer Themen.
Compliance-Funktion
Second-Line-Funktion zur Einhaltung regulatorischer Pflichten und Gap-Steuerung.
Datenschutzorganisation
DSGVO-Organisation inklusive Datenschutzbeauftragter, Verfahren und DPIA-Steuerung.
IT-Sicherheitsorganisation
Cyber- und IT-Sicherheitsfunktion mit SOC, Schwachstellenmanagement und Incident-Koordination.
Register-Steward
Fachlicher Verantwortlicher für Datenqualität, Pflege und Export eines Registerbereichs.
Vier-Augen-Freigabe
Vier-Augen-Prinzip für kritische Änderungen an Register, Verträgen oder AI-Konfigurationen.
Physical & Standort
Standort
Physischer oder logischer Standort für Betrieb, Recovery und regulatorische Zuordnung.
Geschäftsstandort
Niederlassung, Filiale oder Büro mit operativen und ICT-Bezügen.
Rechenzentrum
Primary- oder Secondary-Rechenzentrum mit Betriebs- und Resilienzattributen.
Serverraum
Lokaler Serverraum oder Edge-Standort mit physischen Schutzmaßnahmen.
Region
Geografische Region für Datenresidenz, Provider-Standorte und DR-Planung.
Availability Zone
Redundante Zone innerhalb einer Cloud-Region für Hochverfügbarkeit.
Disaster-Recovery-Standort
Sekundärer Standort für Failover und Wiederherstellung.
Backup-Standort
Standort für Offline- oder Georedundante Backups.
Physische Sicherheitszone
Zutrittskontrollierte Zone mit Überwachung und Zutrittsprotokoll.
Unterbrechungsfreie Stromversorgung
USV-Anlage als Teil der physischen Resilienz-Infrastruktur.
Hardware-Asset
Physische Hardware mit Asset-Tag, Lifecycle und Standortzuordnung.
Rack-Einheit
Physisches Rack in Rechenzentrum oder Serverraum mit Belegungsplan.
Register & Metamodell
Relation
Gerichtete Beziehung zwischen zwei Registerobjekten mit fachlicher Bedeutung.
Relationstyp
Definierter Typ einer Relation mit Kardinalität und Evidence-Anforderung.
Attribut-Definition
Metadaten-Definition für Pflicht- und optionale Felder eines Objekttyps.
Metadaten-Schema
Schema für Registerobjekte, Exporte und Integrationen.
Datenqualitätsprüfung
Regelbasierte Prüfung der Registerqualität vor Export oder Freigabe.
Register-Export
Maschinenlesbarer oder aufsichtlicher Export aus dem Informationsregister.
Integrations-Connector
Anbindung an CMDB, GRC, ITSM, Vertragsmanagement oder Datenkatalog.
Change Record
Dokumentierter Change an Registerobjekt, System oder Konfiguration.
Informationsverbund-Sicht
Gefilterte Sicht auf den Informationsverbund für Rolle, Mandant oder Regime.
Deduplizierungsregel
Regel zur Zusammenführung doppelter Provider-, Service- oder Entity-Einträge.
Risiko & Kontrolle
Risiko
Bewertetes Risiko mit Ursache, Eintrittswahrscheinlichkeit, Auswirkung und Owner.
Bedrohung
Potenzielle Bedrohung wie Ransomware, Insider, Lieferkettenangriff oder AI-Missbrauch.
Schwachstelle
Technische oder organisatorische Schwachstelle mit Exploit-Potenzial und Remediation.
Risikobewertung
Strukturierte Bewertung von Risiken inklusive Inherent/Residual und Akzeptanz.
Risikoakzeptanz
Formal dokumentierte Akzeptanz eines Restrisikos durch Management.
Risikoappetit
Vom Management festgelegter Rahmen für tolerierbare Risiken.
Kontrolle
Technische, organisatorische oder prozessuale Maßnahme zur Risikominderung.
Kompensierende Kontrolle
Ersatz- oder Ausgleichskontrolle bei temporärem Ausfall einer Primärkontrolle.
Kontrollziel
Zielsetzung einer Kontrolle im Bezug auf Risiko, Pflicht oder Prozess.
Kontrolltest
Durchführung und Ergebnis eines Kontrolltests inklusive Wirksamkeit.
Finding
Feststellung aus Audit, Test oder Review mit Schweregrad und Maßnahme.
Maßnahme
Korrektur- oder Verbesserungsmaßnahme aus Risiko, Incident oder Audit.
Richtlinie
Unternehmensweite Policy mit Gültigkeit, Owner und Review-Zyklus.
Standard
Verbindlicher Standard zur Umsetzung von Policies und Pflichten.
Verfahrensanweisung
Operative Anweisung zur Ausführung von Kontrollen und Prozessen.
Leitlinie
Grundsätzliche Leitlinie für Verhalten, Technologie oder Governance.
Key Risk Indicator
Frühindikator für steigende Risiken in ICT, Cyber oder AI.
Key Control Indicator
Kennzahl zur Wirksamkeit und Laufzeit einer Kontrolle.
Threat Intelligence
Externe oder interne Bedrohungsinformation mit Relevanz für Risiko und Incident.
Schwachstellen-Scan
Automatisierter Scan mit Priorisierung und Remediation-Tracking.
Penetrationstest
Gezielter Sicherheitstest mit Findings und Nachverfolgung.
Red-Team-Aktivität
Simulierte Angriffsübung zur Prüfung von Detektion und Response.
Gap Assessment
Bewertung von Abweichungen gegen Referenzrahmen oder Pflichten.
Third Party & Auslagerung
ICT-Drittanbieter
Externer oder konzerninterner Provider von ICT-Leistungen.
Kritischer ICT-Provider
Provider mit kritischer Bedeutung für Funktionen, DORA-Register oder Konzentrationsrisiko.
Shared-Service-Provider
Konzerninterner Dienstleister, der ICT-Leistungen für mehrere Entities erbringt.
Lieferant
Allgemeiner Lieferant in der ICT- oder Cyber-Lieferkette.
Subunternehmer
Weiterverlagerter Leistungserbringer mit Transparenz- und Kettenrisiko-Relevanz.
Vierte Partei
Indirekter Lieferant oder Unterauftragnehmer in der erweiterten Lieferkette.
Supply-Chain-Partner
Partner in der kritischen Lieferkette mit Sicherheits- und Resilienzanforderungen.
Vertragliche Vereinbarung
Vertrag oder Leistungsbeschreibung für ICT-Services und Auslagerung.
Rahmenvertrag
Übergeordneter Vertrag mit mehreren Leistungsblöcken oder Bestellungen.
Leistungsbeschreibung
Detaillierte Beschreibung des ausgelagerten oder bezogenen ICT-Service.
Service Level Agreement
Vereinbarung zu Verfügbarkeit, Reaktionszeiten und Leistungskennzahlen.
Exit-Plan
Plan zur Beendigung, Migration oder Substitution einer Auslagerung.
Exit-Test
Übung oder Test zur Überprüfung der Exit-Fähigkeit und Datenrückführung.
Due-Diligence-Bewertung
Bewertung eines Providers vor Beauftragung, Verlängerung oder Materialitätsänderung.
Provider-Onboarding
Formalisiertes Onboarding mit Risikoprüfung, Vertrag und Register-Eintrag.
Provider-Offboarding
Beendigung der Zusammenarbeit inklusive Exit, Datenrückgabe und Nachweisen.
Konzentrationsrisiko
Abhängigkeit von einzelnen Providern, Regionen, Technologien oder Subunternehmern.
Lieferkette
Kette von Providern und Subunternehmern bis zur Leistungserbringung.
Auslagerungsentscheidung
Formal dokumentierte Entscheidung zur Auslagerung kritischer Funktionen.
Materielle Auslagerung
Auslagerung mit wesentlicher Auswirkung auf Risiko, Kontrolle oder Aufsicht.
Informationsregister-Eintrag
Register-Eintrag gemäß DORA für ICT-Drittparteiverträge und Leistungen.