DORA Content Hub
ISO 27001 und DORA: Cross-Mapping
DORA-Artikel auf ISO 27001 Controls abbilden. Delta-Analyse und Dual-Compliance-Strategie.
ISO 27001 und DORA: Warum die Kombination sinnvoll ist
ISO 27001 ist der weltweit fuehrende Standard fuer Informationssicherheits-Managementsysteme (ISMS). Viele Finanzunternehmen sind bereits zertifiziert oder orientieren sich am Standard. Der Digital Operational Resilience Act (DORA) geht ueber ISO 27001 hinaus, baut aber auf denselben Grundprinzipien auf. Wer ISO 27001 bereits implementiert hat, verfuegt ueber eine solide Basis fuer die DORA-Compliance — schaetzungsweise 60-70 % der Anforderungen sind bereits abgedeckt.
Das verbleibende Delta umfasst finanzsektor-spezifische Anforderungen, die ISO 27001 naturgemass nicht adressiert: das Informationsregister fuer IKT-Drittdienstleister, bedrohungsgesteuerte Penetrationstests (TLPT), harmonisierte Meldepflichten und die direkte Aufsicht ueber kritische IKT-Drittdienstleister.
Cross-Mapping: DORA-Saeulen auf ISO 27001 Annex A
Die folgende Tabelle zeigt, welche ISO 27001:2022 Annex A Controls die jeweiligen DORA-Saeulen abdecken — und wo das Delta liegt:
| DORA-Saeule | ISO 27001 Controls | Abdeckung | DORA-Delta |
|---|---|---|---|
| IKT-Risikomanagement (Art. 5-16) | A.5.1, A.5.2, A.8.1-8.4, A.5.23, A.8.8, A.8.9, A.8.15, A.8.16 | Hoch (70-80 %) | Geschaeftsleiterhaftung (Art. 5), IKT-Asset-Register, digitale Resilienzstrategie |
| Vorfallsmanagement (Art. 17-23) | A.5.24, A.5.25, A.5.26, A.5.27, A.6.8 | Mittel (50-60 %) | 4h/72h/30d-Meldefristen, Klassifizierungskriterien, Meldeformulare an Aufsicht |
| Resilienztests (Art. 24-27) | A.8.8 (Schwachstellen), A.5.35, A.5.36 | Niedrig (30-40 %) | TLPT (TIBER-EU), jaehrliches Testprogramm, bedrohungsgesteuerte Tests |
| Drittparteienrisiko (Art. 28-44) | A.5.19-5.22, A.5.23, A.8.29 | Mittel (40-50 %) | Informationsregister, Konzentrationsrisiko, Exit-Strategien, CTPP-Aufsicht |
| Informationsaustausch (Art. 45) | A.5.6 (Threat Intelligence) | Mittel (50 %) | Strukturierter Austausch in Branchengemeinschaften |
Was ISO 27001 bereits abdeckt
Wenn du ISO 27001:2022 zertifiziert bist, hast du bereits folgende Grundlagen fuer DORA geschaffen:
- ISMS-Grundstruktur: Risikomanagementprozess, dokumentierte Richtlinien, Kontrollmassnahmen und der PDCA-Zyklus fuer kontinuierliche Verbesserung bilden das Rueckgrat des DORA-Risikomanagementrahmens
- Asset-Management: Die ISO-27001-Anforderung, Informationswerte zu identifizieren und zu klassifizieren (A.5.9-5.13), deckt einen grossen Teil der DORA-Anforderungen zur IKT-Asset-Identifikation (Art. 8) ab
- Zugangssteuerung und Kryptografie: A.5.15-5.18, A.8.1-8.5 und A.8.24 decken die Schutzmassnahmen aus Art. 9 DORA weitgehend ab — Zugangskontrollen, Authentifizierung, Verschluesselung und Netzwerksicherheit
- Incident Management: A.5.24-5.28 adressieren die Erkennung, Meldung und Behandlung von Sicherheitsvorfaellen — die Grundlage fuer das DORA-Vorfallsmanagement (Art. 17-23)
- Lieferantenmanagement: A.5.19-5.22 fordern die Bewertung und Ueberwachung von Lieferanten — eine Teilmenge der DORA-Anforderungen an IKT-Drittparteienmanagement
- Business Continuity: A.5.29-5.30 und die BCM-Anforderungen in Klausel 8 decken Teile der DORA-Anforderungen an Wiederherstellung und Kontinuitaet ab
Das Delta: Was DORA ueber ISO 27001 hinaus fordert
Trotz der erheblichen Ueberschneidung gibt es finanzsektor-spezifische Anforderungen, die ISO 27001 nicht abdeckt:
Informationsregister (Art. 28 Abs. 3)
ISO 27001 fordert Lieferantenbewertung, aber kein formales Register aller IKT-Drittdienstleister mit standardisiertem Format und jaehrlicher Meldepflicht an die Aufsichtsbehoerde. Das DORA-Informationsregister muss Art der Leistung, unterstuetzte Geschaeftsfunktionen, Subunternehmer-Ketten, Datenlokalisierung und Kritikalitaetsbewertung enthalten. Details auf unserer Seite zum Informationsregister.
Bedrohungsgesteuerte Penetrationstests (TLPT)
ISO 27001 fordert Schwachstellenmanagement (A.8.8), aber keine Threat-Led Penetration Tests auf Basis des TIBER-EU-Rahmens. TLPTs sind erheblich aufwaendiger als Standard-Penetrationstests: Sie simulieren reale Angriffsszenarien durch zertifizierte externe Tester, erfordern eine Bedrohungsanalyse (Threat Intelligence) und testen produktive Systeme. Signifikante Finanzunternehmen muessen TLPTs alle drei Jahre durchfuehren. Mehr auf unserer Seite zu Resilienztests.
Harmonisierte Meldepflichten
ISO 27001 fordert die Meldung und Behandlung von Sicherheitsvorfaellen, definiert aber keine konkreten Fristen fuer die Meldung an Aufsichtsbehoerden. DORA fuehrt ein dreistufiges Meldewesen ein (4h/72h/30d) mit standardisierten Meldeformularen und definierten Klassifizierungskriterien. Dies erfordert neue Prozesse, Automatisierung und regelmaessige Uebungen. Details auf unserer Seite zur Meldepflicht.
Geschaeftsleiterhaftung und Governance
ISO 27001 fordert "Leadership Commitment" (Klausel 5), aber DORA geht deutlich weiter: Art. 5 verpflichtet das Leitungsorgan persoenlich zur Verantwortung fuer das IKT-Risikomanagement, verlangt regelmaessige Schulungen und kann bei Versagen zu persoenlicher Haftung fuehren.
Konzentrationsrisiko und Exit-Strategien
ISO 27001 adressiert Lieferantenrisiken allgemein, kennt aber keine spezifischen Anforderungen an die Bewertung von Konzentrationsrisiken (Art. 29) oder die Erstellung von Exit-Strategien fuer kritische IKT-Drittdienstleister (Art. 28 Abs. 8).
Detailliertes Artikel-zu-Control-Mapping
| DORA-Artikel | Thema | ISO 27001 Controls | Luecke |
|---|---|---|---|
| Art. 5 | Governance | Klausel 5 (Leadership) | Persoenliche Haftung, Schulungspflicht |
| Art. 6-7 | IKT-Risikomanagementrahmen | Klausel 6, A.5.1, A.5.2 | Resilienzstrategie, jaehrliche Pruefung |
| Art. 8 | Identifikation | A.5.9-5.13 | IKT-Abhaengigkeitsmapping |
| Art. 9 | Schutz | A.5.15-18, A.8.1-8.5, A.8.24 | Gering — hohe Ueberschneidung |
| Art. 10 | Erkennung | A.8.15, A.8.16 | Automatisierte Anomalieerkennung |
| Art. 17-23 | Meldepflichten | A.5.24-28, A.6.8 | Meldefristen, Klassifizierung, Formulare |
| Art. 24-27 | Resilienztests | A.8.8 | TLPT, jaehrliches Testprogramm |
| Art. 28-30 | Drittparteien | A.5.19-22 | Register, Konzentration, Exit-Strategien |
Dual-Compliance-Strategie: Beide Frameworks effizient betreiben
Die effizienteste Strategie ist ein integrierter Compliance-Ansatz, der ISO 27001 und DORA parallel verwaltet. So vermeidest du doppelte Arbeit und nutzt Synergien:
- Ein ISMS, zwei Frameworks: Implementiere jede Massnahme einmal und weise sie beiden Frameworks zu. Das spart typischerweise 30-40 % der Gesamtkosten gegenueber zwei getrennten Projekten
- Cross-Mapping als Grundlage: Starte mit dem Cross-Mapping, um zu verstehen, welche ISO-27001-Controls welche DORA-Artikel abdecken. Konzentriere dich dann auf das Delta
- Gemeinsame Audits: Interne Audits koennen beide Frameworks gleichzeitig pruefen, wenn die Kontrollzuordnung klar dokumentiert ist
- Einheitliche Dokumentation: Richtlinien, Prozesse und Nachweise werden einmal erstellt und beiden Frameworks zugeordnet — keine parallelen Dokumentenwelten
- ISO 27001 als Basis: Nutze die ISO-27001-Zertifizierung als Signal gegenueber Aufsichtsbehoerden. Ein zertifiziertes ISMS zeigt, dass die Grundlagen stehen — DORA wird zum Delta-Projekt
Einen vollstaendigen Ueberblick ueber alle DORA-Anforderungen findest du auf unserer Seite zu den DORA-Anforderungen. Eine Schritt-fuer-Schritt-Anleitung bietet unsere DORA-Checkliste. Fuer eine vertiefte Betrachtung des IKT-Risikomanagements lies unsere Seite zum IKT-Risikomanagement.
ISO 27001 und DORA — beides in einer Plattform
Kopexa bildet das Cross-Mapping zwischen ISO 27001 Annex A und DORA-Artikeln automatisch ab. Implementiere Massnahmen einmal, weise sie beiden Frameworks zu und spare bis zu 40 % der Gesamtkosten. Behalte jederzeit den Ueberblick ueber deinen Compliance-Status in beiden Frameworks.
Jetzt Dual-Compliance planenWeitere DORA-Themen
DORA-Übersicht
Pillar Page und Gesamtüberblick
Anforderungen
Alle DORA-Anforderungen im Überblick
IKT-Risikomanagement
Risikorahmen, Governance und Strategie (Art. 5–16)
Meldepflicht
IKT-Vorfälle melden: Fristen und Prozess (Art. 17–23)
Resilienztests
Basis-Tests und TLPT (Art. 24–27)
Drittparteienrisiko
IKT-Dienstleister managen (Art. 28–44)
Informationsregister
Das DORA-Informationsregister (Art. 28 Abs. 3)
Checkliste
10 Schritte zur DORA-Compliance
Kosten & Ablauf
Timeline, Budget und Ressourcen
BAIT/VAIT-Migration
Von BAIT/VAIT/KAIT/ZAIT zu DORA
Proportionalität
Vereinfachter Rahmen für Kleinstunternehmen (Art. 16)
Strafen
Sanktionen und Enforcement
Lass uns gemeinsam prüfen, wo du stehst
Kostenlos & unverbindlich