Aktualisiert 01/07/2025
Tritt in Kraft am 08/07/2025

Ursprungsrechtsakt
Änderungen
Suche im Rechtsakt
DORA ToolDelegierte Verordnung 2025/1190
ANHANG III

ANHANG III - Delegierte Verordnung 2025/1190

ANHANG III

Inhalt des spezifischen Bedrohungsanalyseberichts (Artikel 10 Absatz 5)

Der spezifische Bedrohungsanalysebericht enthält Informationen zu allen folgenden Punkten:

1.

Gesamtumfang der Bedrohungsuntersuchungen, die mindestens Folgendes einbeziehen:

a)

kritische oder wichtige Funktionen, die in den Anwendungsbereich fallen,

b)

ihr geografischer Standort,

c)

verwendete EU-Amtssprache,

d)

relevante IKT-Drittdienstleister,

e)

Zeitraum, in dem die Untersuchungen durchgeführt wurden.

2.

Gesamtbewertung, welche konkreten verwertbaren Informationen über das Finanzunternehmen zu finden sind, unter anderem:

a)

Benutzernamen und Passwörter der Mitarbeiter,

b)

Look-Alike-Domains, die mit offiziellen Domains des Finanzunternehmens verwechselt werden können,

c)

technische Auskundschaftung: (für Exploits) anfällige Software, Systeme und Technologien,

d)

von Mitarbeitern im Internet veröffentlichte Informationen über das Finanzunternehmen, die für die Zwecke eines Angriffs verwendet werden könnten,

e)

Informationen, die im Dark Web verkauft werden,

f)

sonstige einschlägige Informationen, die im Internet oder in öffentlichen Netzwerken verfügbar sind,

g)

gegebenenfalls Informationen über Möglichkeiten des physischen Zugangs, z. B. zu den Räumlichkeiten des Finanzunternehmens.

3.

Bedrohungsanalysen unter Berücksichtigung der allgemeinen Bedrohungslage und der besonderen Situation des Finanzunternehmens, darunter mindestens:

a)

das geopolitische Umfeld,

b)

das wirtschaftliche Umfeld,

c)

technologische und sonstige Trends im Zusammenhang mit den Tätigkeiten im Finanzdienstleistungssektor.

4.

Bedrohungsprofile der böswilligen Akteure (bestimmte Einzelperson/Gruppe oder allgemeine Gruppe), die das Finanzunternehmen angreifen könnten, einschließlich der Systeme des Finanzunternehmens, die von böswilligen Akteuren am wahrscheinlichsten kompromittiert oder angegriffen werden, der möglichen Motivation, Absicht und Gründe für den möglichen zielgerichteten Angriff und der möglichen Vorgehensweise der Angreifer.

5.

Bedrohungsszenarien: mindestens drei End-to-End-Bedrohungsszenarien für die gemäß Nummer 4 ermittelten Bedrohungsprofile, die die höchsten Werte für die Schwere der Bedrohung aufweisen. Die Bedrohungsszenarien beschreiben den End-to-End-Angriffspfad und umfassen mindestens:

a)

ein Szenario, das u. a. eine Kompromittierung der Dienstverfügbarkeit umfasst,

b)

ein Szenario, das u. a. eine Kompromittierung der Datenintegrität umfasst,

c)

ein Szenario, das u. a. die Kompromittierung der Vertraulichkeit von Informationen umfasst.

6.

Gegebenenfalls eine Beschreibung des in Artikel 10 Absatz 4 genannten nicht bedrohungsorientierten Szenarios.