BAIT → DORA Mapping
| BAIT-Modul | DORA-Artikel | RTS | Änderungsbedarf |
|---|---|---|---|
| 1. IT-Strategie (AT 4.2) | Art. 5 | – | GF persönlich verantwortlich |
| 2. IT-Governance (AT 4.3.1) | Art. 5–6 | 2024/1774 | Unabhängige Kontrollfunktion |
| 3. Informationsrisikomanagement (BT 1) | Art. 6–8 | 2024/1774 | Asset-Inventar erweitert |
| 4. Informationssicherheitsmanagement (BT 2) | Art. 9 | 2024/1774 | Weitgehend kongruent |
| 5. Operative IT-Sicherheit (BT 3) | Art. 9–10 | 2024/1774 | Automatisierte Detection |
| 6. Identitäts-/Rechtemanagement (BT 4) | Art. 9 | 2024/1774 | MFA, PAM explizit |
| 7. IT-Projekte/Anwendungsentwicklung (BT 5) | Art. 7 | 2024/1774 | SDLC-Sicherheit |
| 8. IT-Betrieb (BT 6) | Art. 9, 11 | 2024/1774 | Kapazitätsmanagement |
| 9. IT-Notfallmanagement (BT 7) | Art. 11–12 | 2024/1774 | RPO/RTO explizit |
| 10. Auslagerungen (AT 9) | Art. 28–30 | 2024/1773, 2024/2956, 2025/532 | Deutlich erweitert |
| 11. IT-Mehrmandantendienstleister (BT 8) | Art. 31–44 | Überwachungsrahmenwerk | In CTPP aufgegangen |
Neue Anforderungen ohne BAIT-Pendant
| DORA | Beschreibung |
|---|---|
| Art. 14 | Kommunikationsplan, Mediensprecher |
| Art. 18 | Standardisierte Incident-Klassifikation (6 Kriterien) |
| Art. 19–20 | Formalisiertes Meldewesen (4h/72h/1M, XML) |
| Art. 26–27 | TLPT (bedrohungsgesteuerte Penetrationstests) |
| Art. 28(3) | Informationsregister aller IKT-Drittanbieter |
| Art. 31–44 | CTPP-Überwachungsrahmenwerk |
| Art. 45 | Informationsaustausch über Cyberbedrohungen |