DORA Self-Check (CH)

Was dieser Self-Check Ihnen zeigt

DORA-Readiness aus Schweizer Perspektive – Fokus auf ICT-Lieferketten und Finanzsektor.

Kontext	DORA (Digital Operational Resilience Act) · Finanzunternehmen & kritische ICT-Drittanbieter
Gewichtung	★★ = doppelt, ★ = einfach
Fragen	28
Bearbeitungszeit	ca. 10–15 Min.

Zweck & Einleitung

Dieser Self-Check dient als pragmatischer Spiegel, um einzuschätzen, wie resilient und strukturell belastbar Ihre Organisation im Sinne der Digital Operational Resilience Act (DORA) aufgestellt ist.

Der Check beleuchtet Personenabhängigkeit, Governance-Klarheit, Nachvollziehbarkeit von Entscheidungen, Integration regulatorischer Anforderungen sowie operative ICT-Resilienz (Redundanz, Recovery, Third-Party-Management).

Wichtig

Kein offizieller Test, kein Scoring im regulatorischen Sinne, kein Benchmark. Ehrliche Selbsteinschätzung – idealerweise vor einem Audit oder Vorfall. ★★-Fragen werden in der Auswertung doppelt gewichtet.

Antwortoptionen

Ja · 2

Vollständig und belastbar umgesetzt, dokumentiert, gelebt und erprobt

Teilweise · 1

Vorhanden, aber lückenhaft, personenabhängig oder ungetestet

Nein · 0

Nicht oder kaum vorhanden

n/a · –

Nicht anwendbar (wird bei der Berechnung ignoriert)

Fragebogen

Klicken Sie für jede Frage auf Ja, Teilweise, Nein oder n/a. Die Auswertung erfolgt automatisch nach der letzten Frage. ★★-Fragen werden doppelt gewichtet.

Fortschritt 0 / 28

0 % beantwortet

A. Wissen & Abhängigkeiten

Gibt es kritisches Wissen zu ICT-Systemen, Risiken oder regulatorischen Pflichten, das nur einzelne Personen vollständig überblicken? ★★

Umkehrfrage: Nein = gut (2 Punkte), Ja = schlecht (0 Punkte)

Können zentrale Entscheidungen auch ohne diese Personen nachvollzogen und fortgeführt werden? ★★

Ist dokumentiert, wer was warum entscheidet – unabhängig von einzelnen Personen? ★

B. Rollen & Verantwortlichkeiten

Sind Rollen, Verantwortlichkeiten und Entscheidungsbefugnisse im ICT-Risikomanagement klar definiert und allen bekannt? ★★

Wissen Teams genau, wann sie selbständig entscheiden dürfen – und wann Eskalation erforderlich ist? ★

Gibt es funktionierende und erprobte Vertretungsregelungen für Schlüsselrollen? ★★

C. Entscheidungslogik

Lassen sich wichtige Entscheidungen auch Monate später eindeutig erklären? ★★

Gibt es eine einheitliche, dokumentierte Logik zur Bewertung und Priorisierung von ICT-Risiken? ★★

Würden externe Prüfer/Aufsichtsbehörden die Entscheidungswege ohne grosse Nachfragen verstehen? ★

D. Schnittstellen & Umsetzung

Werden zentrale DORA-Anforderungen (Incident-Reporting, ICT-Drittanbieter-Management, Risikobewertung) aktiv in täglichen Prozessen gelebt? ★★

Werden kritische ICT-Drittanbieter und Lieferanten regelmässig überprüft und bewertet – auch wenn aktuell keine Probleme erkennbar sind? ★★

E. Skalierung & Resilienz

Könnten zentrale Verantwortlichkeiten geordnet und ohne Wissensverlust übergeben werden? ★★

Ist die Organisation primär durch Strukturen stabil – oder durch einzelne «Helden»? ★★

F. Produktdesign & Regulierung

Wurde systematisch geprüft, welche DORA-Anforderungen relevant sind? ★

Sind regulatorische Anforderungen bereits im Produkt- und Systemdesign verankert? ★★

Ist dokumentiert, warum Anforderungen bewusst (nicht) umgesetzt wurden? ★

Sind Produktentscheidungen systematisch mit Governance- und Risikobewertungen verknüpft? ★★

Gibt es einen klaren Prozess für den Einfluss regulatorischer Änderungen ins Design? ★

Kennen Produkt-, Engineering- und Business-Teams die regulatorischen Leitplanken? ★

Würde ein externer Prüfer erkennen, dass Resilienz integraler Bestandteil des Designs ist? ★

G. ICT-Redundanz & Recovery

Gibt es redundante ICT-Kapazitäten für kritische Komponenten (z. B. geografisch getrennt)? ★★

Sind Backups regelmässig erstellt, getestet und getrennt gespeichert? ★★

Existiert ein getesteter Disaster-Recovery-Plan (mit definierten RTO/RPO) für Rechenzentrum/Cloud-Ausfall? ★★

Gibt es ein dokumentiertes Mapping der kritischen Geschäftsprozesse und der ICT-Assets/Drittanbieter, die sie unterstützen? ★★

Ist das Sicherheitskonzept dokumentiert und mehreren Personen bekannt? ★★

Könnte bei Ausfall eines Schlüssel-IT-Mitarbeiters das System sicher weiterbetrieben werden? ★★

Ist die Architektur (Cloud, Multi-Cloud, Edge) hinsichtlich Redundanz bewertet und dokumentiert? ★

Werden Business-Continuity-Pläne mindestens jährlich getestet (inkl. Cyber-Szenarien)? ★★

Ihr Ergebnis

Wichtige Begriffe

ICT	Information and Communication Technology – umfasst die gesamte digitale Infrastruktur (Hardware, Software, Cloud, Netzwerke), auf der der Geschäftsbetrieb basiert.
RTO	Recovery Time Objective: Maximale akzeptable Ausfallzeit eines Systems/Prozesses.
RPO	Recovery Point Objective: Maximal akzeptabler Datenverlust.
Third-Party	ICT-Drittanbieter: externe Dienstleister wie Cloud-Provider, Outsourcing-Partner oder SaaS-Anbieter.

Digitale Resilienz ist kein Zustand, sondern eine Praxis. Die entscheidende Frage ist nicht, ob etwas schiefgeht – sondern ob Ihre Strukturen standhalten, wenn es passiert.

Weiter vertiefen

Leitfaden Leitfaden DORA DORA für Schweizer KMU. Lesen → Fallstudie Fallstudie DORA DORA-Umsetzung in der Praxis. Lesen → Deep Dive Deep Dive: Resilienztesting Technische Tiefe zu DORA-Tests. Lesen →