DORA-Resilienztests und TLPT einfach erklärt
Was verlangt das Basis-Testprogramm (Art. 24–25)?
Jedes Finanzunternehmen außer Kleinstunternehmen muss ein Programm zum Testen der digitalen operationalen Resilienz als festen Bestandteil seines IKT-Risikomanagementrahmens erstellen, pflegen und überprüfen (Art. 24 Abs. 1 DORA). Die Eckpunkte:
- Risikobasierter Ansatz unter Berücksichtigung der Kritikalität von Assets und Diensten (Art. 24 Abs. 3).
- Unabhängige Tester – intern oder extern; bei internen Testern ohne Interessenkonflikte (Art. 24 Abs. 4).
- Nachverfolgung: Verfahren, um alle gefundenen Schwächen zu priorisieren und vollständig zu beheben (Art. 24 Abs. 5).
- Jährlichkeit: Systeme und Anwendungen, die kritische oder wichtige Funktionen unterstützen, sind mindestens einmal pro Jahr zu testen (Art. 24 Abs. 6).
- Breites Testspektrum nach Art. 25: von Schwachstellenbewertungen über szenariobasierte Tests und End-to-End-Tests bis zu Penetrationstests.
Dazu kommt aus dem Risikomanagement-Kapitel: Geschäftsfortführungs-, Reaktions- und Wiederherstellungspläne sowie Krisenkommunikationspläne sind mindestens jährlich zu testen (Art. 11 Abs. 6).
Was ist TLPT – Threat-Led Penetration Testing (Art. 26–27)?
Von den Behörden benannte Finanzunternehmen müssen zusätzlich bedrohungsorientierte Penetrationstests durchführen: reale Angreifer-Taktiken, ausgeführt an Live-Produktionssystemen, die kritische oder wichtige Funktionen unterstützen – mindestens alle drei Jahre (Art. 26 Abs. 1–2). Die technischen Standards dazu entstehen im Einklang mit dem TIBER-EU-Rahmen der EZB (Art. 26 Abs. 11). Wichtige Details: Jeder dritte Test braucht einen externen Tester; als bedeutend eingestufte Kreditinstitute müssen ausschließlich externe Tester einsetzen (Art. 26 Abs. 8). Sind IKT-Drittdienstleister im Test-Scope, sind gebündelte Tests mehrerer Finanzunternehmen möglich (Art. 26 Abs. 4). Nach Abschluss stellt die Behörde eine Bescheinigung aus, die EU-weit gegenseitig anerkannt wird (Art. 26 Abs. 7).
Basis-Testprogramm und TLPT im Vergleich
| Basis-Testprogramm | TLPT | |
|---|---|---|
| Wer? | alle Finanzunternehmen außer Kleinstunternehmen (abgestuft) | von den Behörden benannte Finanzunternehmen |
| Was? | Schwachstellenscans, szenariobasierte Tests, End-to-End- und Penetrationstests u. a. (Art. 25) | bedrohungsorientierte Penetrationstests auf Basis realer Angreifer-Taktiken |
| Wo? | Test-/Produktionsumgebung je nach Testart | an Live-Produktionssystemen kritischer Funktionen (Art. 26 Abs. 2) |
| Wie oft? | kritische Systeme mindestens jährlich (Art. 24 Abs. 6) | mindestens alle 3 Jahre (Art. 26 Abs. 1) |
| Durch wen? | unabhängige interne oder externe Tester (Art. 24 Abs. 4) | Tester nach Art. 27; jeder dritte Test extern (Art. 26 Abs. 8) |
Wer muss TLPT durchführen?
Nicht jedes Unternehmen: Die zuständigen Behörden benennen die TLPT-pflichtigen Finanzunternehmen anhand von Größe, Risikoprofil und Bedeutung für die Finanzstabilität (Art. 26 Abs. 8 UAbs. 3). Kleinstunternehmen und Unternehmen im vereinfachten Rahmen des Art. 16 sind ausgenommen – sie erfüllen ihre Testpflicht über das Basis-Testprogramm bzw. das regelmäßige Testen ihrer Geschäftsfortführungspläne.
Wo passen Tabletop-Übungen hinein?
TLPT prüft die technische Widerstandsfähigkeit. DORA verlangt daneben ausdrücklich die Erprobung von Reaktions-, Wiederherstellungs- und Kommunikationsplänen (Art. 11 Abs. 6) und nennt szenariobasierte Tests als Bestandteil des Testprogramms (Art. 25 Abs. 1) – also die menschliche und organisatorische Seite. Tabletop-Übungen decken genau diese Lücke ab: Sie trainieren Krisenstab, Eskalation und Meldewege unter Zeitdruck und liefern mit dem After-Action-Report einen prüffähigen Nachweis als Teil des Testprogramms – auch für Unternehmen, die nie ein TLPT durchführen müssen.
Häufige Fragen
Was ist TLPT unter DORA?
Threat-Led Penetration Testing ist ein bedrohungsorientierter Penetrationstest, der reale Angreifer-Taktiken nachbildet und an Live-Produktionssystemen durchgeführt wird, die kritische oder wichtige Funktionen unterstützen (Art. 26 Abs. 2). Die technischen Standards dazu orientieren sich am TIBER-EU-Rahmen der EZB (Art. 26 Abs. 11).
Wer muss TLPT durchführen – und wie oft?
Nur Finanzunternehmen, die die Behörden anhand von Größe, Risikoprofil und Bedeutung für die Finanzstabilität benennen – Kleinstunternehmen und Unternehmen im vereinfachten Rahmen sind ausgenommen. Der Zyklus: mindestens alle drei Jahre; die zuständige Behörde kann die Frequenz erhöhen oder senken (Art. 26 Abs. 1).
Zählt eine Tabletop-Übung zum DORA-Testprogramm?
Ja. Art. 25 Abs. 1 nennt ausdrücklich szenariobasierte Tests als Teil des Testprogramms, und Art. 11 Abs. 6 verlangt die mindestens jährliche Erprobung der Geschäftsfortführungs-, Reaktions- und Wiederherstellungspläne sowie der Krisenkommunikationspläne. Eine dokumentierte Tabletop-Übung erfüllt genau diese Bausteine.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.
Weiterlesen