Pflicht-Test-Programm aus DORA Art. 24-27 für die operative Resilienz der ICT-Systeme von Finanzunternehmen. Umfasst Schwachstellen-Analysen, Open-Source-Analysen, Netzsicherheits-Bewertungen, Lücken-Analysen, physische Sicherheits-Reviews, Fragebögen, Scans, Penetrationstests und TLPT.

DORA verlangt ein jährliches Testprogramm proportional zur Größe, Risiko-Profil und Komplexität des Finanzunternehmens. Das Programm muss Test-Methoden, Frequenz, Scope, Akzeptanz-Kriterien, Eskalations-Pfade, Reporting und Behebungs-Disziplin definieren. Ergebnisse fließen in den jährlichen ICT-Risiko-Bericht an die Aufsicht.

Test-Spektrum: Vulnerability Assessments mindestens jährlich, Source-Code-Reviews bei kritischen Anwendungen, Penetration Tests für externe und kritische interne Systeme, Network Security Assessments, Performance- und End-to-End-Tests. Für signifikante Entitäten zusätzlich TLPT mindestens alle drei Jahre (Art. 26-27).

Audit-Logik: das Test-Programm muss von einer unabhängigen Stelle innerhalb oder ausserhalb des Unternehmens gesteuert werden. Tester dürfen nicht gleichzeitig Entwickler oder Betreiber der getesteten Systeme sein. Nachweis-Pflicht: jeder Test braucht Protokoll, Findings-Liste, Risiko-Bewertung, Behebungs-Plan, Nachprüfung.

Operational Resilience Testing

Related terms