Asset.Desk, ITAM & CMDB: Die Formel für Ihre DORA-Compliance
Wie Asset-Management die Basis für IKT-Risikomanagement und Auditierbarkeit schafft.
1. Was ist die DORA-Verordnung?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 in Kraft ist und darauf abzielt, die Regeln zur digitalen Widerstandsfähigkeit im Finanzsektor zu vereinheitlichen und zu stärken. Sie verpflichtet Finanzinstitute (Banken, Versicherungen etc.) und deren kritische IKT-Dienstleister, ihre Systeme und Prozesse gegen Cyber-Bedrohungen und Betriebsstörungen abzusichern.
Im Kern fordert DORA eine lückenlose Kontrolle und ein proaktives Management aller digitalen Risiken. Dies ist ohne eine vollständige Transparenz über die eigene IT-Landschaft unmöglich. Genau hier wird ein professionelles IT Asset Management (ITAM) zur strategischen Notwendigkeit, denn die fundamentale Frage lautet: „Was müssen wir schützen?“. Die Antwort darauf liefert eine zentrale Configuration Management Database (CMDB).
2. DORA-Artikel im Detail: Umsetzung mit Asset.Desk
Asset.Desk unterstützt Sie bei der Erfüllung zentraler DORA-Anforderungen durch die Bereitstellung einer verlässlichen Datengrundlage.
| DORA-Artikel | Kernanforderung der Verordnung | Technische Umsetzung mit Asset.Desk |
|---|---|---|
| Art. 9 ICT Asset Management |
Führung eines detaillierten und aktuellen Registers aller IKT-Assets. | Die automatisierte Inventarisierung und die CMDB bilden das geforderte ICT Asset Register. z.B.: Ein Auditor fragt nach Server X – Sie zeigen in Sekunden Standort, Konfiguration und verantwortlichen Admin. |
| Art. 10 ICT Risk Management |
Identifizierung und Klassifizierung kritischer IKT-gestützter Geschäftsfunktionen und Assets. | Asset.Desk ermöglicht die Klassifizierung von Assets nach Kritikalität und bildet Abhängigkeiten ab. z.B.: Der Server des Kernbankensystems wird als „hochkritisch“ eingestuft, was ihn im Incident-Prozess priorisiert. |
| Art. 28 Third-Party Risk |
Pflege eines Informationsregisters zu allen Verträgen mit IKT-Drittdienstleistern. | Das Vertragsmanagement verknüpft Lieferanten, SLAs und Verträge direkt mit den Assets. z.B.: Vor der Anbindung eines neuen Cloud-Dienstleisters prüfen Sie in Asset.Desk, welche Daten betroffen wären, und hinterlegen den Vertrag sowie die Ausstiegsstrategie direkt am Dienstleister-Objekt. |
| Art. 41 Reporting Framework |
Fähigkeit zur Berichterstattung an zuständige Behörden (z.B. BaFin) und Auditierbarkeit. | Die revisionssichere Historisierung aller Änderungen und das flexible Reporting liefern auf Knopfdruck den nötigen Audit-Trail. z.B.: Die BaFin fordert einen Nachweis aller Konfigurationsänderungen an kritischen Systemen im letzten Quartal – Sie exportieren den Bericht direkt aus Asset.Desk. |
3. Abgrenzung: Wo die Software hilft und wo die Organisation gefragt ist
Kein Software-Tool allein kann DORA-Compliance herstellen. DORA erfordert ein Zusammenspiel aus technischer Datengrundlage und darauf aufbauenden organisatorischen Prozessen. Diese Tabelle zeigt die Abgrenzung:
| DORA-Anforderung | Beitrag der ITAM-Lösung (Asset.Desk) | Beitrag der ITSM-Lösung (HEINZELMANN) | Organisatorische Aufgabe |
|---|---|---|---|
| Asset-Verzeichnis führen | ✅ Kernfunktion. Liefert das vollständige Register. | 🟠 Unterstützend. Nutzt die Daten in Tickets. | ❌ |
| Risiken bewerten | ✅ Kernfunktion. Ermöglicht die Klassifizierung nach Kritikalität. | 🟠 Unterstützend. Nutzt Kritikalität zur Priorisierung. | ✅ Definition der Risikostrategie. |
| Incidents managen | 🟠 Unterstützend. Liefert den Kontext (welches Asset?). | ✅ Kernfunktion. Managt den gesamten Incident-Prozess. | ✅ Definition der Meldewege & Verantwortlichkeiten. |
| Resilienz-Tests | 🟠 Unterstützend. Liefert die Liste der zu testenden Systeme. | 🟠 Unterstützend. Dokumentiert die Test-Changes. | ✅ Planung & Durchführung der Tests (z.B. Pen-Tests). |
| Krisenmanagement & BCP | 🟠 Unterstützend. Liefert Daten zu kritischen Assets für die BCP-Planung. | 🟠 Unterstützend. Managt Incidents, die eine BCP-Aktivierung auslösen. | ✅ Erstellung des Business Continuity Plans & der Krisenkommunikation. |
| Informationsaustausch (Art. 45) | ❌ Kein direkter Beitrag. | ❌ Kein direkter Beitrag. | ✅ Teilnahme an branchenspezifischen Austauschplattformen. |
4. Fazit: Technische Rechenschaftspflicht
DORA ist eine Verordnung der Kontrolle und des Nachweises. Asset.Desk liefert die Datenbasis, die Finanzinstitute benötigen, um dieser Rechenschaftspflicht gerecht zu werden. Verwalten Sie Ihre IT-Landschaft transparent, nachvollziehbar und auditierbar – DORA-konform.
5. Häufig gestellte Fragen (FAQ)
Was bedeutet ICT / IKT im DORA-Kontext?
IKT (oder engl. ICT) steht für Informations- und Kommunikationstechnologie. Der Begriff erweitert die klassische IT (Server, Software) um den Aspekt der Kommunikation (Netzwerke, Telefonie, Cloud-Verbindungen). DORA verwendet diesen Begriff, um klarzustellen, dass die gesamte digitale Infrastruktur eines Unternehmens resilient sein muss.
Ist Asset.Desk eine "DORA-zertifizierte" Software?
Nein, denn die DORA-Verordnung zertifiziert keine Software-Tools, sondern die Prozesse von Finanzunternehmen. Asset.Desk ist jedoch ein wesentliches Werkzeug, das die technische Datengrundlage liefert, um eine DORA-Konformität zu erreichen und nachzuweisen.
Reicht Asset.Desk allein für die DORA-Compliance aus?
Asset.Desk liefert die unverzichtbare technische Datengrundlage (ITAM). Für die vollständige DORA-Compliance benötigen Sie zusätzlich gesteuerte Prozesse (z. B. für Incident- und Change-Management), wie sie der HEINZELMANN Service.Desk abbildet, sowie entsprechende organisatorische Richtlinien in Ihrem Unternehmen.
Sichern Sie das Fundament Ihrer DORA-Strategie
Erfahren Sie im Detail, wie Sie mit Asset.Desk die zentralen Anforderungen des Digital Operational Resilience Act (DORA) umsetzen.
Rechtlicher Hinweis: Asset.Desk unterstützt bei der Umsetzung technischer und organisatorischer Anforderungen der DORA-Verordnung. Für die vollständige Einhaltung sind ergänzende interne Maßnahmen erforderlich (z. B. Richtlinien, Meldeprozesse, Audits und Governance-Strukuren).