PeakMaven

EN Beratung buchen

DORA → BSI IT-Grundschutz Zuordnung

Kreuzreferenz zwischen DORA (Digital Operational Resilience Act) Artikeln und BSI IT-Grundschutz Bausteinen.

Diese Seite ordnet DORA (Digital Operational Resilience Act) Artikel den BSI IT-Grundschutz Bausteinen zu. DORA (EU-Verordnung 2022/2554) legt Anforderungen an die digitale operationale Resilienz für den EU-Finanzsektor fest, anwendbar seit Januar 2025.

Art. 10(1) Detection — malware detection
DER.1 DER.1 Detektion von sicherheitsrelevanten Ereignissen NET.1.2 NET.1.2 Netzmanagement NET.3.4 NET.3.4 Network Access Control OPS.1.1.2 OPS.1.1.2 Ordnungsgemäße IT-Administration OPS.1.1.3 OPS.1.1.3 Patch- und Änderungsmanagement OPS.1.1.4 OPS.1.1.4 Schutz vor Schadprogrammen
Art. 10(2) Detection — logging requirements
DER.1 DER.1 Detektion von sicherheitsrelevanten Ereignissen OPS.1.1.3 OPS.1.1.3 Patch- und Änderungsmanagement OPS.1.1.5 OPS.1.1.5 Protokollierung
Art. 11(1) Response and recovery — business continuity and disaster recovery
CON.10 CON.10 Entwicklung von Webanwendungen DER.4 DER.4 Notfallmanagement
Art. 11(2) Response and recovery — ICT business continuity policy
CON.10 CON.10 Entwicklung von Webanwendungen
Art. 11(6) Response and recovery — crisis communication
DER.4 DER.4 Notfallmanagement
Art. 12(1) Backup policies and procedures, restoration and recovery
CON.3 CON.3 Datensicherungskonzept
Art. 12(4) Backup testing and restoration drills
CON.3 CON.3 Datensicherungskonzept
Art. 13(1) Learning and evolving — post-incident analysis and training
ORP.3 ORP.3 Sensibilisierung und Schulung zur Informationssicherheit
Art. 17(1) ICT-related incident management process
DER.2.1 DER.2.1 Behandlung von Sicherheitsvorfällen
Art. 17(3) ICT-related incident management — forensic evidence requirements
DER.2.2 DER.2.2 Vorsorge für die IT-Forensik DER.2.3 DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
Art. 18(1) Classification of ICT-related incidents
DER.2.2 DER.2.2 Vorsorge für die IT-Forensik
Art. 19(1) Reporting of major ICT-related incidents
DER.2.1 DER.2.1 Behandlung von Sicherheitsvorfällen
Art. 24(1) General digital operational resilience testing programme
DER.3.1 DER.3.1 Audits und Revisionen OPS.1.1.7 OPS.1.1.7 Systemmanagement
Art. 24(6) Third-party involvement in resilience testing
DER.3.1 DER.3.1 Audits und Revisionen
Art. 25(1) Advanced testing of ICT tools, systems and processes (TLPT)
DER.3.2 DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision
Art. 26(1) Requirements for testers carrying out TLPT
DER.3.2 DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision
Art. 28(1) General principles for sound management of ICT third-party risk
CON.9 CON.9 Informationsaustausch OPS.2.2 OPS.2.2 Cloud-Nutzung
Art. 28(2) ICT third-party risk — cloud arrangements
OPS.1.2.2 OPS.1.2.2 Archivierung OPS.2.3 OPS.2.3 Nutzung von Outsourcing SYS.1.5 SYS.1.5 Virtualisierung
Art. 28(4) ICT third-party risk — register of outsourcing
OPS.1.2.5 OPS.1.2.5 Fernwartung OPS.2.3 OPS.2.3 Nutzung von Outsourcing
Art. 28(7) ICT third-party risk — exit strategies
OPS.3.2 OPS.3.2 Anbieten von Outsourcing
Art. 30(1) Key contractual provisions
CON.9 CON.9 Informationsaustausch OPS.1.2.5 OPS.1.2.5 Fernwartung
Art. 30(2) Key contractual provisions — cloud service agreements
OPS.1.2.2 OPS.1.2.2 Archivierung OPS.2.2 OPS.2.2 Cloud-Nutzung
Art. 30(3) Key contractual provisions — audit rights
OPS.3.2 OPS.3.2 Anbieten von Outsourcing
Art. 5(1) ICT risk management framework — regulatory compliance
ISMS.1 ISMS.1 Sicherheitsmanagement ORP.5 ORP.5 Compliance Management (Anforderungsmanagement)
Art. 5(2) ICT risk management framework — board responsibilities
ISMS.1 ISMS.1 Sicherheitsmanagement
Art. 5(4) ICT risk management — management awareness and training requirements
ORP.1 ORP.1 Organisation ORP.3 ORP.3 Sensibilisierung und Schulung zur Informationssicherheit
Art. 6(1) ICT risk management framework — documentation and review
ISMS.1 ISMS.1 Sicherheitsmanagement
Art. 8(1) Identification — ICT asset management
APP.4.2 APP.4.2 SAP-ERP-System OPS.1.1.6 OPS.1.1.6 Software-Tests und -Freigaben SYS.1.1 SYS.1.1 Allgemeiner Server SYS.1.2.2 SYS.1.2.2 Windows Server 2012 SYS.1.2.3 SYS.1.2.3 Windows Server SYS.1.3 SYS.1.3 Server unter Linux und Unix SYS.2.1 SYS.2.1 Allgemeiner Client SYS.2.2.3 SYS.2.2.3 Clients unter Windows
Art. 8(2) Identification — application and system inventory for secure development
APP.4.3 APP.4.3 Relationale Datenbanken APP.4.6 APP.4.6 SAP ABAP-Programmierung CON.8 CON.8 Software-Entwicklung
Art. 9(2) Protection — remote access security
CON.7 CON.7 Informationssicherheit auf Auslandsreisen NET.2.2 NET.2.2 WLAN-Nutzung
Art. 9(4)(a) Protection — network infrastructure security
APP.3.1 APP.3.1 Webanwendungen und Webservices APP.3.2 APP.3.2 Webserver APP.4.4 APP.4.4 Kubernetes APP.7 APP.7 Entwicklung von Individualsoftware CON.8 CON.8 Software-Entwicklung INF.2 INF.2 Rechenzentrum sowie Serverraum NET.1.1 NET.1.1 Netzarchitektur und -design NET.1.2 NET.1.2 Netzmanagement NET.2.1 NET.2.1 WLAN-Betrieb NET.2.2 NET.2.2 WLAN-Nutzung NET.3.1 NET.3.1 Router und Switches NET.3.2 NET.3.2 Firewall NET.3.3 NET.3.3 VPN OPS.1.1.1 OPS.1.1.1 Allgemeiner IT-Betrieb SYS.1.1 SYS.1.1 Allgemeiner Server SYS.1.2.2 SYS.1.2.2 Windows Server 2012 SYS.1.5 SYS.1.5 Virtualisierung SYS.1.6 SYS.1.6 Containerisierung SYS.1.8 SYS.1.8 Speicherlösungen SYS.4.1 SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
Art. 9(4)(b) Protection — identity management and access control
APP.2.1 APP.2.1 Allgemeiner Verzeichnisdienst APP.2.2 APP.2.2 Active Directory Domain Services APP.2.3 APP.2.3 OpenLDAP APP.4.2 APP.4.2 SAP-ERP-System ORP.4 ORP.4 Identitäts- und Berechtigungsmanagement
Art. 9(4)(c) Protection — malware protection measures
OPS.1.1.2 OPS.1.1.2 Ordnungsgemäße IT-Administration OPS.1.1.4 OPS.1.1.4 Schutz vor Schadprogrammen
Art. 9(4)(d) Protection — data transfer security
CON.6 CON.6 Löschen und Vernichten
Art. 9(4)(e) Protection — data encryption policies
CON.1 CON.1 Kryptokonzept

Diese Zuordnungen dienen als Referenz und ersetzen keine professionelle Compliance-Bewertung.