Compliance-Lexikon

Der Prozess der Identifizierung und Erfassung aller Hardware, Software und Netzwerkgeräte innerhalb der IT-Infrastruktur einer Organisation.

Eine chronologische Aufzeichnung aller Systemaktivitäten, Datenänderungen und Benutzeraktionen, die dokumentarische Nachweise der Compliance liefert. Audit Trails werden von DORA, ISO 27001 und SOC 2 gefordert, um Verantwortlichkeit nachzuweisen, Anomalien zu erkennen und forensische Untersuchungen zu unterstützen.

Der Zustand, jederzeit auf ein Compliance-Audit vorbereitet zu sein, mit aller erforderlichen Dokumentation, Nachweisen und Kontrollen. Kontinuierliche Audit-Bereitschaft ersetzt den traditionellen 'Audit-Stress'-Ansatz durch permanente Compliance-Überwachung und Nachweissammlung.

Eine Bewertung durch Aufsichtsbehörden, um sicherzustellen, dass Finanzinstitute und andere regulierte Unternehmen den Vorschriften entsprechend tätig sind.

Ein rechtlich bindender Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der die Verarbeitung personenbezogener Daten regelt. Gemäß DSGVO Artikel 28 erforderlich, legt ein AVV Umfang, Zweck und Dauer der Verarbeitung sowie die Pflichten jeder Partei fest.

Der systematische Prozess der Aufzeichnung, Aufbewahrung und Bewahrung von Unterlagen, um ihre Verfügbarkeit für zukünftige Referenz und Nutzung zu gewährleisten.

Der Prozess der Überwachung der Einhaltung von Vorschriften durch eine Organisation, ohne an den Geschäftsräumen der Organisation vor Ort zu sein.

Deutschlands integrierte Finanzaufsichtsbehörde, zuständig für die Aufsicht über Banken, Versicherungen und den Wertpapierhandel. Die BaFin ist die primäre zuständige Behörde für DORA-Compliance in Deutschland und empfängt Vorfallsmeldungen und führt aufsichtliche Überprüfungen durch.

BaFins regulatorisches Rahmenwerk, das IT-Anforderungen an deutsche Banken konkretisiert. Die BAIT übersetzen die MaRisk in konkrete IT-Sicherheitsstandards für Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung, IT-Betrieb und Auslagerungen.

Der Prozess des Sammelns, Analysierens und Verbreitens von Informationen über Bedrohungen für die Sicherheitsposition einer Organisation.

Eine Penetrationstestungsmethode, die sich auf die Identifizierung und Ausnutzung von Schwachstellen konzentriert, die von bestimmten Bedrohungen am ehesten angegriffen werden.

Ein strategischer Plan zur Behebung von identifizierten Kontrollmängeln oder Schwächen im internen Kontrollrahmen einer Organisation.

Berechtigtes Interesse ist eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten gemäß den Datenschutzgesetzen, wenn die Verarbeitung für die berechtigten Interessen eines Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, dass diese Interessen von den Interessen oder Grundrechten und Freiheiten des Datensubjekts überwiegen.

Die systematische Sammlung, Bewertung und Aufbewahrung von Beweisen zur Unterstützung von Prüfergebnissen und Schlussfolgerungen.

Ein Satz von datenschutzrechtlichen Richtlinien und Regeln, die für alle Tochtergesellschaften rechtlich bindend sind.

Die Fähigkeit einer Organisation, Produkte oder Dienstleistungen nach einem störenden Vorfall auf akzeptablem, vordefiniertem Niveau weiter bereitzustellen. Business-Continuity-Planung ist eine Kernkomponente sowohl der DORA- als auch der ISO 27001-Anforderungen.

Ein strukturierter Prozess für die Anforderung, Überprüfung, Genehmigung und Implementierung von Änderungen an IT-Systemen und -Infrastruktur. Gefordert von ISO 27001 (Annex A.12.1.2), SOC 2 und DORA, um Störungen zu minimieren und sicherzustellen, dass Änderungen keine neuen Schwachstellen einführen.

Die Gesamtheit der Richtlinien, Technologien und Kontrollen zum Schutz von Daten, Anwendungen und Infrastruktur in Cloud-Computing-Umgebungen. Mit der zunehmenden Cloud-Nutzung im Finanzsektor ist Cloud-Sicherheit entscheidend für DORA-, ISO 27001- und DSGVO-Compliance.

Ein Softwarewerkzeug oder -dienst, das als Vermittler zwischen cloudbasierten Diensten und der Unternehmens-IT fungiert, um Sicherheit, Compliance und Governance bereitzustellen.

Der Prozess des Überprüfens und Bewertens des Quellcodes eines Softwareprogramms durch Kollegen, mit dem Ziel, Fehler, Schwachstellen zu identifizieren und die Codequalität zu verbessern.

Der Einsatz von Technologie zur Optimierung und Automatisierung von Compliance-Prozessen einschließlich Nachweissammlung, Kontrollüberwachung, Risikobewertung, Richtlinienmanagement und Audit-Vorbereitung. Compliance-Automatisierung reduziert den manuellen Aufwand erheblich und verbessert die Genauigkeit.

Die kollektive Einstellung, Werte und Verhaltensweisen, die eine Verpflichtung zur ethischen Handlung und Einhaltung von Gesetzen, Vorschriften und internen Richtlinien innerhalb einer Organisation zeigen.

Der Unterschied zwischen dem aktuellen Compliance-Stand und dem gewünschten Stand, wie er von regulatorischen Anforderungen oder Best Practices definiert ist.

Der dauerhafte Prozess der Verfolgung und Bewertung der Einhaltung von internen Richtlinien, Verfahren und externen regulatorischen Anforderungen durch eine Organisation.

Computer Security Incident Response Teams, spezialisierte Einheiten, die sich mit Cybersicherheitsvorfällen und -bedrohungen befassen.

Cyber-Risikomanagement ist der Prozess der Identifizierung, Bewertung und Priorisierung von Cyber-Risiken, um Daten und Systeme vor Bedrohungen zu schützen.

Die Anforderung, dass Daten innerhalb bestimmter geografischer Grenzen gespeichert und verarbeitet werden. Nach DSGVO und deutschem Datenschutzrecht müssen personenbezogene Daten von EU-Bürgern bei der Übertragung außerhalb der EU angemessen geschützt werden, wodurch EU-/deutsche Datenresidenz ein Wettbewerbsvorteil für Compliance-Plattformen ist.

Ein Ansatz zum Systemdesign, der Datenschutzaspekte während des gesamten Entwicklungsprozesses berücksichtigt.

Eine designierte Rolle innerhalb einer Organisation, verantwortlich für die Überwachung der Datenschutzstrategie und DSGVO-Compliance. Unter der DSGVO müssen bestimmte Organisationen einen DSB ernennen, insbesondere öffentliche Stellen und Organisationen, die sensible Daten in großem Umfang verarbeiten.

Datenschutzverstöße-Meldung bezieht sich auf die Verpflichtung nach Datenschutzgesetzen, dass Organisationen Sicherheitsverstöße, die personenbezogene Daten betreffen, den zuständigen Behörden melden müssen und in einigen Fällen auch den betroffenen Personen.

Datensubjektrechte beziehen sich auf die den Personen gemäß Datenschutzgesetzen gewährten Rechte, die es ihnen ermöglichen, ihre persönlichen Daten zu steuern.

Ein Ansatz, der Sicherheitspraktiken in den DevOps-Prozess integriert, um sicherzustellen, dass Sicherheit während des gesamten Softwareentwicklungslebenszyklus berücksichtigt wird.

Die Fähigkeit einer Organisation, digitale Störungen zu überstehen und von ihnen zu recovern, um die Kontinuität ihrer Betriebsabläufe sicherzustellen und ihre digitalen Vermögenswerte zu schützen.

Die Politik und der Prozess der Aufbewahrung von Dokumenten und Unterlagen für einen bestimmten Zeitraum, um rechtliche, regulatorische und geschäftliche Anforderungen zu erfüllen.

Ein Ansatz im Nachhaltigkeitsberichtswesen, der sowohl die finanzielle Bedeutung von Problemen für das Unternehmen als auch ihre gesellschaftliche Wirkung berücksichtigt.

Eine EU-Verordnung, die einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen im Finanzsektor festlegt. DORA ist seit dem 17. Januar 2025 verpflichtend und gilt für Banken, Versicherungen, Wertpapierfirmen und deren kritische IKT-Dienstleister.

Ein Modell, das die Risikomanagement- und Kontrollfunktionen einer Organisation in drei verschiedene Verteidigungslinien aufteilt, um eine effektive Überwachung und Governance sicherzustellen.

Der Prozess der Identifizierung, Bewertung und Steuerung von Risiken aus der Auslagerung an Drittdienstleister. Gemäß DORA Artikel 28 müssen Finanzunternehmen ein Register aller IKT-Drittanbieter führen und kritische Anbieter gründlich prüfen.

Ein Prozess zur systematischen Analyse, Identifizierung und Minimierung von Datenschutzrisiken eines Projekts oder Plans. DSFAs sind gemäß DSGVO Artikel 35 erforderlich, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Die EU-Verordnung zur Verarbeitung personenbezogener Daten von Personen im Europäischen Wirtschaftsraum. Die DSGVO legt strenge Regeln für Datenerhebung, -speicherung, -verarbeitung und -übertragung fest, mit Strafen von bis zu 4% des weltweiten Jahresumsatzes bei Verstößen.

Die durchschnittliche Zeit, die nach der Erkennung eines Vorfalls benötigt wird, um eine geordnete Reaktion zur Bearbeitung des Problems zu beginnen.

Die durchschnittliche Zeit, die benötigt wird, um das Auftreten eines Vorfalls oder einer Sicherheitsverletzung zu identifizieren.

Die durchschnittliche Zeit, die benötigt wird, um die Normalbetriebsabläufe nach einem Vorfall wiederherzustellen.

Eine Sicherheitslösung, die Aktivitäten an Endpunkten überwacht und analysiert, um mögliche Bedrohungen zu erkennen und darauf zu reagieren.

Netzwerksicherheitssysteme, die Netzwerkverkehr überwachen und analysieren, um unbefugten Zugriff oder schädliche Aktivitäten zu erkennen und zu verhindern.

Ein System, das es Benutzern erlaubt, sich einmal anzumelden und auf mehrere verwandte, aber unabhängige Softwaresysteme zuzugreifen, ohne bei jedem erneut anmelden zu müssen.

Die Praxis der Absicherung von Endbenutzergeräten wie Laptops, Desktops und Mobilgeräten gegen Cybersicherheitsbedrohungen. Endpunktsicherheit ist entscheidend für DORA-Compliance und umfasst Geräteverwaltung, Malware-Schutz und den Schutz von Unternehmensdaten auf Mitarbeitergeräten.

Die Europäische Agentur für Cybersicherheit, die für die Unterstützung der EU-Mitgliedstaaten bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zuständig ist.

Ein separates Netzwerksegment, das von dem internen Netzwerk isoliert ist, aber dem Internet ausgesetzt ist und für die Bereitstellung öffentlich zugänglicher Dienste verwendet wird.

Europäische Aufsichtsbehörden, das sind drei unabhängige Behörden, die für die Aufsicht und Regulierung der Finanzmärkte in der EU zuständig sind.

Ein Satz von Standards, die von der Europäischen Finanzberichterstattungs-Beratungsgruppe (EFRAG) entwickelt werden, um ein umfassendes Framework für das Nachhaltigkeitsberichtswesen zu etablieren.

Eine unabhängige Prüfung der Finanzberichte, der Geschäftstätigkeit und der Einhaltung von Gesetzen und Vorschriften durch einen externen Auditor.

Eine systematische Bewertung, die den aktuellen Sicherheits- und Compliance-Status einer Organisation mit den Anforderungen eines Ziel-Frameworks (z.B. DORA, ISO 27001, SOC 2) vergleicht. Die Gap-Analyse identifiziert fehlende Kontrollen, unzureichende Prozesse und Behebungsprioritäten.

Das Vorbringen von Unregelmäßigkeiten oder illegalen Aktivitäten innerhalb einer Organisation, in der Regel von einem Mitarbeiter oder Insider.

Der Prozess der Identitätsprüfung von Kunden und Bewertung ihres Risikoprofils zur Verhinderung von Geldwäsche und Terrorismusfinanzierung.

Ein Sicherheitsprinzip, das den Benutzerzugang auf das absolute Minimum an Berechtigungen beschränkt, das für die Erfüllung ihrer Aufgaben erforderlich ist.

Ein systematischer Prozess zur Bewertung der potenziellen Auswirkungen einer Katastrophe auf die Betriebe einer Organisation und zur Identifizierung von kritischen Geschäftsfunktionen, die Unterstützung benötigen, um die Geschäftsfortführung zu gewährleisten.

Ein integriertes Framework, das die Governance-Struktur, Risikomanagementprozesse und Compliance-Anforderungen einer Organisation umfasst.

Das Risiko, das mit der übermäßigen Abhängigkeit von einem oder einer begrenzten Anzahl von ICT-Dienstleistern einhergeht und zu Systemanfälligkeiten und -unterbrechungen führen kann.

Ein Rahmenwerk zur Gewährleistung eines angemessenen Zugangs auf Ressourcen und Daten innerhalb einer Organisation, während gleichzeitig Sicherheitsrisiken minimiert werden.

Der Prozess der Identifizierung, Bewertung und Minderung von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologiesystemen. Unter DORA müssen Finanzunternehmen ein umfassendes IKT-Risikomanagement-Framework unterhalten, das Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung abdeckt.

Spezifische Beweise, die zur Erkennung von möglichen Sicherheitsverletzungen oder Cyberangriffen verwendet werden, wie zum Beispiel IP-Adressen, Domainnamen oder Datei-Hashs.

Der Austausch von Bedrohungsinformationen, Schwachstelleninformationen und Best Practices zwischen Organisationen und Behörden. DORA Artikel 45 ermutigt Finanzunternehmen zur Teilnahme an Informationsaustausch-Vereinbarungen zur Verbesserung der kollektiven Cybersicherheits-Resilienz.

Die Risikohöhe, die besteht, bevor Kontrollen oder Minderungsmaßnahmen ergriffen werden.

Eine unabhängige, objektive Zusicherungs- und Beratungstätigkeit, die darauf ausgerichtet ist, den Wert und die Effektivität der Organisation durch die Bewertung und Verbesserung des Risikomanagements, der Kontrolle und der Governanceprozesse zu erhöhen.

Ein systematischer Ansatz zum Management sensibler Unternehmensinformationen, bestehend aus Richtlinien, Verfahren und technischen Kontrollen. Ein ISMS ist die Kernanforderung der ISO 27001 und bietet den organisatorischen Rahmen für die Informationssicherheits-Governance.

Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). ISO 27001 bietet einen systematischen Ansatz für den Umgang mit sensiblen Unternehmensinformationen und stellt durch ein Framework aus Richtlinien, Prozessen und technischen Kontrollen deren Sicherheit sicher.

Ein dokumentierter Prozess oder Satz von Verfahren zur Wiederherstellung und zum Schutz einer Geschäfts-IT-Infrastruktur im Falle einer Katastrophe.

Der Prozess der Messung, Verwaltung und Berichterstattung der Kohlenstoffemissionen einer Organisation zur Verfolgung ihres Kohlenstoff-Fußabdrucks und zur Information von Kohlenstoffreduktionsstrategien.

Der Prozess der Standardisierung, Kontrolle und Wartung der Konfiguration von IT-Systemen und Anwendungen.

Eine Datenbank, die im IT-Servicemanagement verwendet wird, um Informationen über die IT-Infrastruktur einer Organisation, einschließlich Hardware, Software und Netzwerkkomponenten, zu speichern und zu verwalten.

Ein fortlaufender Prozess zur Beobachtung, Bewertung und Aufrechterhaltung des Bewusstseins über Informationssicherheitskontrollen, Schwachstellen und Bedrohungen. Kontinuierliche Überwachung stellt sicher, dass der Compliance-Status zwischen formalen Audits aufrechterhalten wird.

Aktionen oder Aufgaben, die von einer Organisation durchgeführt werden, um die Wirksamkeit ihres Kontrollrahmenwerks zu überwachen und sicherzustellen.

Die Messung, wie gut eine Kontrolle wie eine Richtlinie oder Verfahren funktioniert, um ihr vorgesehenes Risikomanagementziel zu erreichen.

Eine Abweichung von einer etablierter internen Kontrolle, die zu einer Verzerrung der Finanzberichte einer Organisation führen kann.

Der Prozess der Bewertung der Effektivität interner Kontrollen innerhalb einer Organisation, um sicherzustellen, dass sie wie beabsichtigt funktionieren.

Ein Satz von Richtlinien, Verfahren und Kontrollen, die von einer Organisation implementiert werden, um Risiken zu managen und regulatorische Einhaltung zu gewährleisten.

Ein spezifisches Ziel oder Zweck für die Implementierung einer Kontrolle innerhalb des Kontrollrahmenwerks einer Organisation.

Eine spezifische Maßnahme zur Behebung und Beseitigung der Ursache eines Kontrollmangels oder einer Schwäche im internen Kontrollsystem einer Organisation.

Der strategische Prozess der Kommunikationssteuerung in einer Krise, um sicherzustellen, dass den Interessengruppen und der Öffentlichkeit genaue, rechtzeitige und konsistente Informationen bereitgestellt werden.

Der Prozess der Planung für und der Bewältigung einer Krise oder Notsituation, um negative Auswirkungen auf eine Organisation, ihre Interessengruppen und die Öffentlichkeit zu minimieren.

Eine strukturierte Bewertung der Sicherheitslage und des Compliance-Status von Drittanbietern vor und während einer Geschäftsbeziehung. DORA Artikel 28 fordert spezifische Due-Diligence-Anforderungen für IKT-Dienstleister, die von Finanzunternehmen genutzt werden.

Das Management von Cybersicherheitsrisiken entlang der gesamten Lieferkette, einschließlich aller Drittanbieter, Softwareanbieter und Servicepartner. Sowohl DORA als auch NIS2 fordern Maßnahmen zur Lieferkettensicherheit zum Schutz vor Kaskadenausfällen und gezielten Angriffen.

NIS2 ist ein regulatorisches Framework, das Standards für die Sicherheit von digitaler Betriebstechnik und Lieferketten innerhalb der EU setzt. Es zielt darauf ab, die allgemeine Sicherheit von Netz- und Informationssystemen zu erhöhen.

Ein Sicherheitsmechanismus, der Benutzer zur Angabe von zwei oder mehr Verifizierungsfaktoren für den Systemzugang verpflichtet. MFA reduziert das Risiko unbefugten Zugriffs erheblich und wird von DORA, ISO 27001, SOC 2 und DSGVO-Sicherheitsmaßnahmen empfohlen oder gefordert.

Die Praxis, die Umwelt-, Sozial- und Governance-Performance (ESG) einer Organisation gegenüber Interessengruppen offenzulegen.

Der Prozess der Sammlung, Organisation und Pflege von Dokumentation, die die Einhaltung spezifischer Kontrollen und Anforderungen nachweist. Automatisierte Nachweissammlung integriert sich mit IT-Systemen, um kontinuierlich Belege für die Kontrollwirksamkeit zu erfassen.

Die Praxis, ein Netzwerk in separate Segmente aufzuteilen, um Sicherheit und Leistung durch Isolierung verschiedener Netzwerkverkehre zu erhöhen.

Die aktualisierte EU-Richtlinie zur Cybersicherheit, die den Anwendungsbereich der ursprünglichen NIS-Richtlinie auf mehr Sektoren und Einrichtungen ausweitet. NIS2 führt strengere Sicherheitsanforderungen, Meldepflichten bei Vorfällen und Durchsetzungsmaßnahmen mit erheblichen Strafen bei Nicht-Compliance ein.

Die Fähigkeit einer Organisation, kritische Abläufe auch bei Störungen aufrechtzuerhalten. Im Kontext von DORA bezieht sich dies speziell auf die digitale operationelle Resilienz — die Fähigkeit von Finanzunternehmen, ihre technologische operative Integrität aufzubauen, sicherzustellen und zu überprüfen.

Eine vor Ort durchgeführte Überprüfung von Aufsichts- oder Regulierungsbehörden an den Geschäftsräumen einer Organisation zur Überprüfung der Einhaltung von Vorschriften.

Der Prozess der Identifizierung, Beschaffung, Installation und Überprüfung von Patches für Software-Schwachstellen, um die System Sicherheit aufrechtzuerhalten.

Ein simulierter Cyberangriff gegen ein System, Netzwerk oder eine Anwendung zur Bewertung der Sicherheit. Penetrationstests identifizieren Schwachstellen, die von echten Angreifern ausgenutzt werden könnten, und sind im Rahmen von DORAs digitalem Resilienztest-Framework erforderlich.

Der Prozess der Identifizierung und Bewertung des Risikos, das mit politisch exponierten Personen (PEP) verbunden ist, zur Verhinderung von Korruption und Geldwäsche.

Die formelle Stellungnahme eines Prüfers zur Richtigkeit und Genauigkeit der Finanzberichte einer Organisation.

Informationen, die von Auditoren während einer Revision gewonnen werden, um eine angemessene Grundlage für ihre Schlussfolgerungen zum Gegenstand der Prüfung zu bieten.

Der systematische Ansatz zur Identifizierung, Bewertung und Umsetzung von Änderungen als Reaktion auf regulatorische Updates oder neue gesetzliche Anforderungen.

Eine umfassende Liste, die von einer Organisation geführt wird und alle relevanten Informationen über ihre Datenvermögen, Verarbeitungsaktivitäten und Compliance mit den Datenschutzvorschriften enthält.

Eine gründliche Überprüfung, die von Aufsichtsbehörden durchgeführt wird, um die Einhaltung von Gesetzen und Vorschriften durch eine Organisation zu bewerten.

Ein Rahmen, der zur Bewertung der Reife von Organisationsprozessen verwendet wird, typischerweise im Kontext von Governance, Risikomanagement und Compliance.

Der Prozess der Erstellung, Umsetzung und Wartung von Richtlinien innerhalb einer Organisation zur Sicherstellung der Compliance mit gesetzlichen und regulatorischen Anforderungen.

Eine visuelle Darstellung von Risiken, bei der Farben verwendet werden, um die Risikohöhe anzuzeigen und so schnell Bereiche mit hohem, mittelem und geringem Risiko zu identifizieren.

Der Umfang an Risiko, den eine Organisation in Verfolgung ihrer strategischen Ziele eingehen will.

Der Prozess der Auswahl und Umsetzung von Maßnahmen zur Änderung von Risiko, einschließlich Vermeidung, Verringerung, Teilung oder Akzeptanz des Risikos.

Ein systematischer Prozess zur Identifizierung potenzieller Bedrohungen, Bewertung von Schwachstellen und Bestimmung der Wahrscheinlichkeit und Auswirkung von Risiken auf die Informationswerte und den Betrieb einer Organisation. Risikobewertungen sind grundlegend für ISO 27001, DORA und praktisch jedes Compliance-Framework.

Ein Dokument oder eine Datenbank, das/die alle in einer Organisation identifizierten Risiken systematisch aufzeichnet, einschließlich ihrer möglichen Auswirkungen und vorgeschlagener Minderungsstrategien.

Die höchstmögliche Risikohöhe, die eine Organisation in Verfolgung ihrer Ziele akzeptieren will.

Die Person oder Gruppe, die für die Verwaltung eines bestimmten Risikos innerhalb einer Organisation verantwortlich ist und dafür sorgt, dass angemessene Risikobehandlungsmaßnahmen und Überwachung getroffen werden.

Eine Zugriffskontrollmethode, die den Systemzugang auf autorisierte Benutzer einschränkt, indem Berechtigungen basierend auf ihren Rollen innerhalb einer Organisation zugewiesen werden.

Eine Methode, um die Sicherheitshaltung einer Organisation zu testen, indem ein 'Angreiferteam' (rotes Team) versucht, Sicherheitsmaßnahmen zu durchbrechen, während ein 'Verteidigungsteam' (blaues Team) versucht, sie zu verhindern.

Regulatory Technical Standards für Informations- und Kommunikationstechnologie, die bindende technische Vorschriften sind, die entwickelt wurden, um bestimmte Bestimmungen der EU-Gesetzgebung umzusetzen.

Das verbleibende Risiko nach Umsetzung von Risikobehandlungsmaßnahmen. Es handelt sich um das Risiko, das trotz vorhandener Kontrollen besteht.

Der Prozess der Überprüfung von Personen oder Unternehmen gegen Sanktionslisten, um die Einhaltung von internationalen Sanktionsvorschriften sicherzustellen.

Ein Klassifikationssystem zur Einordnung der Schwere von Vorfällen, normalerweise basierend auf ihrem Einfluss auf Geschäftsabläufe, Sicherheit und rechtliche Einhaltung.

Quantitative oder qualitative Maße zur Identifizierung von Risikoereignissen und zur Bewertung der Effektivität des Risikomanagements.

Der kontinuierliche Prozess der Identifizierung, Klassifizierung, Priorisierung, Behebung und Mitigierung von Software-Schwachstellen. Effektives Schwachstellenmanagement ist eine zentrale Anforderung von DORA, ISO 27001 und SOC 2 zur Aufrechterhaltung der Systemsicherheit und operationellen Resilienz.

Eine Technologieplattform, die Sicherheitsereignisse aus der gesamten IT-Infrastruktur einer Organisation sammelt, analysiert und korreliert, um Bedrohungen zu erkennen und die Incident Response zu unterstützen. SIEM ist essenziell für die Erfüllung von DORAs Erkennungs- und Überwachungsanforderungen.

Eine Cyber-Sicherheitspraxis, die verschiedene Sicherheitsprozesse integriert und automatisiert, um die Effizienz der Vorfallsbearbeitung zu erhöhen.

Ein zentrales Einheit, das die Sicherheitsposition einer Organisation überwacht und verwaltet, einschließlich der Erkennung, Reaktion auf Vorfälle und der Bedrohungsanalyse.

Ein vom AICPA entwickeltes Compliance-Framework, das Kriterien für den Umgang mit Kundendaten auf Basis von fünf Trust Services Criteria definiert: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. SOC 2-Berichte sind essenziell für SaaS-Unternehmen und Dienstleister.

Eine umfassende Untersuchung oder Bewertung vor Eingehen einer Geschäftsbeziehung oder Transaktion. Im Compliance-Kontext bezieht sich Sorgfaltspflicht auf die gründliche Bewertung von Drittanbietern, Geschäftspartnern oder Übernahmezielen hinsichtlich regulatorischer und Sicherheitsrisiken.

Ein Satz von vom Europäischen Kommission genehmigten Musterklauseln zur Erleichterung internationaler Datenübertragungen unter Wahrung angemessenen Schutzes.

SAST und DAST sind zwei Arten von Anwendungssicherheitstestmethoden, die zum Erkennen von Schwachstellen in Softwareanwendungen verwendet werden.

Der Prozess der Ausrichtung der Berichterstattungs- und Klassifikationssysteme einer Organisation an eine spezifische Taxonomie zur Gewährleistung von Konsistenz und Vergleichbarkeit.

Eine simulierte Notfallverwaltungs-Übung zur Übung und Bewertung der Wirksamkeit der Reaktion einer Organisation auf mögliche Vorfälle.

Eine fortgeschrittene Form von Sicherheitstests, die von DORA Artikel 26-27 für bedeutende Finanzunternehmen vorgeschrieben wird. TLPT nutzt reale Bedrohungsinformationen, um gegnerische Taktiken zu simulieren und die Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten einer Organisation gegen realistische Angriffsszenarien zu testen.

Das Verhalten und die Einstellungen, die von den höchsten Führungskräften und Vorstandsmitgliedern festgelegt werden und die ethischen und Compliance-Standards für eine Organisation einrichten.

Der Prozess der ständigen Überwachung von Transaktionen auf verdächtige Aktivitäten zur Erkennung und Meldung möglicher Geldwäsche oder Betrug.

Unterschiedliche Kategorien von attestierungsbezogenen Engagements in Prüfungsdiensten, wobei Typ I die Beschreibung und den Betrieb eines Systems beurteilt und Typ II die Wirksamkeit von Kontrollen über einen Zeitraum bewertet.

BaFins IT-regulatorisches Rahmenwerk für Versicherungsunternehmen in Deutschland. Die VAIT spiegeln die Struktur der BAIT wider, adressieren jedoch versicherungsspezifische Anforderungen an IT-Governance, Sicherheit und Auslagerungen und wurden zur Harmonisierung mit DORA aktualisiert.

Ein chronologischer Nachweis, der die Behandlung, Kontrolle, Lagerung und Übertragung von Beweisen oder Unterlagen dokumentiert, um deren Integrität und Anwendbarkeit in rechtlichen Verfahren zu gewährleisten.

Ein Bericht, der von Finanzinstituten abgegeben wird, wenn sie verdächtigen, dass eine Transaktion Geldwäsche, Terrorismusfinanzierung oder andere illegale Aktivitäten beinhalten könnte.

Ein Satz von Strategien und Werkzeugen, die zum Erkennen und Verhindern des unerlaubten Zugangs zu, der Nutzung von oder der Offenlegung von vertraulichen Informationen eingesetzt werden.

Der Prozess der Umwandlung von Daten in eine codierte Form, die nur von autorisierten Parteien mit dem korrekten Entschlüsselungsschlüssel gelesen werden kann. Verschlüsselung schützt Daten sowohl im Ruhezustand als auch bei der Übertragung und ist eine grundlegende Anforderung aller wichtigen Compliance-Frameworks.

Ein Satz von Kriterien für elektronische Transaktionen, um Vertrauen, Sicherheit und Zuversicht in digitalen Diensten zu gewährleisten.

Ein Teil der Identitäts- und Zugriffsverwaltung (IAM), der sich auf die Verwaltung und Kontrolle des Zugangs zu kritischen Systemen und sensiblen Daten durch privilegierte Benutzer konzentriert.

Der formale Prozess der Erkennung, Klassifizierung und Meldung IKT-bezogener Vorfälle an zuständige Behörden. DORA Artikel 17-23 legen spezifische Anforderungen für die Vorfallsklassifizierung, Erstmeldung, Zwischenberichte und Abschlussberichte an Aufsichtsbehörden fest.

Eine Firewall, die speziell darauf ausgelegt ist, Webanwendungen zu schützen, indem sie HTTP-Verkehr zwischen einer Webanwendung und dem Internet filtert und überwacht.

Als wesentlich für die Kontinuität und Stabilität von digitalen Betriebsdiensten in der Europäischen Union identifizierte Einheiten.

Ein erheblicher Mangel in der internen Kontrolle über die Finanzberichterstattung, der zu einer wesentlichen Verzerrung der Finanzberichte führen kann.

Als wichtig eingestufte Einheiten aufgrund ihres erheblichen Einflusses auf die digitalen Betriebsdienste in der Europäischen Union.

Die maximal akzeptierte Datenverlustmenge, die in Zeit gemessen werden kann und bei einer Katastrophe toleriert werden kann. Es ist ein kritischer Bestandteil der Katastrophenwiederherstellungsplanung.

Die maximal akzeptierte Dauer, innerhalb der ein Geschäftsprozess nach einer Katastrophe oder Störung wiederhergestellt werden muss. Es ist ein kritischer Bestandteil des Notfallwiederherstellungsplans.

Ein Sicherheits-Framework, das mehrere Erkennungs- und Reaktionstechnologien in der IT-Umgebung einer Organisation vereint, um eine umfassendere Ansicht von Bedrohungen zu bieten.

Ein Sicherheitsmodell basierend auf dem Prinzip 'niemals vertrauen, immer verifizieren', das strenge Identitätsverifizierung für jede Person und jedes Gerät erfordert, das auf Ressourcen zugreifen möchte, unabhängig vom Netzwerkstandort. Zero Trust wird zunehmend für DORA- und NIS2-Compliance empfohlen.

Der Prozess der Ausstellung, Verteilung, Verwaltung und Widerrufung von digitalen Zertifikaten innerhalb einer Organisation.

Die selektive Einschränkung des Zugriffs auf Ressourcen, Systeme und Daten basierend auf Benutzeridentität und Autorisierung. Zugriffskontrolle ist eine fundamentale Sicherheitskontrolle, die von ISO 27001, SOC 2, DORA und DSGVO gefordert wird.