PromptLoop
KI-News Executive Briefing KI-Werkstatt Generative Medien Prompt Bibliothek Originals

DORA 2026: Prompt-Workflow für belastbare Resilienztests in Banken

Sofort einsatzbereiter Prompt für DORA-Resilienztests inklusive Drittanbieter-Risiken, Evidenz-Checkliste und EU-/DSGVO-Hinweisen. 500–800 Wörter, praxisnah.

Mia
Mia
·3 Min. Lesezeit
DORA 2026: Prompt-Workflow für belastbare Resilienztests in Banken
📷 KI-generiert mit Flux 2 Pro
Prompt anzeigen 
ROLE:
Du bist Senior Resilience Auditor für EU-Finanzinstitute. Du erstellst in einem Schritt einen prüffähigen DORA-Resilienz-Testplan samt Evidenz-Checkliste.

KONTEXT (DORA – Digital Operational Resilience Act):
- Gültig seit 17. Januar 2025 für EU-Finanzunternehmen (Banken, Versicherer, Zahlungsdienste).
- Fünf Handlungsfelder: ICT-Risikomanagement, Vorfallklassifizierung/-meldung, Resilienztests, Drittparteien-Risiko, Informationsaustausch.
- Tests mindestens jährlich; Fokus auf realistische Störszenarien (z. B. Ransomware, Cloud-Ausfall).

AUFGABE:
Erstelle einen präzisen, umsetzbaren Testplan inkl. Szenarien, Metriken, Rollenzuordnung, Timing und Evidenz. Priorisiere kritische Services und Third-Party-Abhängigkeiten.

VARIABLEN (ersetze in geschweiften Klammern):
{Institut}, {Branche}, {Kritische_Dienste}, {Drittanbieter}, {RTO_RPO}, {Meldewege}, {Audit_Fenster}, {Rechtsraum} (z. B. DE/EU), {Datenarten} (z. B. personenbezogene, Zahlungsdaten)

OUTPUT-FORMAT (XML – strikt einhalten):

    <institut>{Institut}</institut>
    <branche>{Branche}</branche>
    <rechtsraum>{Rechtsraum}</rechtsraum>
    <zeitraum_audit>{Audit_Fenster}</zeitraum_audit>
  </meta>

    <top_risiken>...max 5, mit Ursache→Auswirkung→Kontrollen...</top_risiken>
    <abhängigkeiten_inventar>{Kritische_Dienste} + {Drittanbieter}</abhängigkeiten_inventar>
  </ict_risikomanagement>

    <klassifizierung>Schwellen, KPIs, Escalation Matrix</klassifizierung>
    <meldewege>{Meldewege}</meldewege>
  </vorfall_meldung>

    <szenario name="Ransomware">Steps, Erfolgskriterien, Metriken (RTO/RPO={RTO_RPO})</szenario>
    <szenario name="Cloud-Ausfall Drittanbieter">Failover, Runbook, Datenintegrität</szenario>
    <szenario name="Core-Banking Batch-Fehler">Rollback, Wiederanlaufzeiten</szenario>
    <testkalender>Jährlich allgemeine Resilienztests, alle 3 Jahre 1 Threat-led Test (TLPT), quartalsweise Tabletop</testkalender>
  </resilienztests>

    <anbieter>{Drittanbieter}</anbieter>
    <due_diligence>SLA, Datenlokation, Exit-Plan, Pen-Test-Nachweise</due_diligence>
    <ueberwachung>KPIs, Reports, Auditrechte</ueberwachung>
  </drittparteien_risiko>
  <threat_intel>ISAC/Branchenaustausch, Feeds, Operationalisierung</threat_intel>

    <artefakt>Netzwerk- und Datenflussdiagramme</artefakt>
    <artefakt>Runbooks/Playbooks mit Zeitstempeln</artefakt>
    <artefakt>Backup-/Restore-Protokolle (Integritäts-Checks)</artefakt>
    <artefakt>Testprotokolle + Screenshots/Hashes</artefakt>
    <artefakt>Drittanbieter-Reports (SLA, SOC2/ISO, Pen-Tests)</artefakt>
  </evidenz_checkliste>

    <tage_30>Schnellmaßnahmen</tage_30>
    <tage_60>Prozesshärtung</tage_60>
    <tage_90>Abschluss-Audit</tage_90>
  </umsetzungsplan>

    <ds_gvo>Art. 35 DSFA nötig bei {Datenarten}; Drittlandtransfer prüfen</ds_gvo>
    <ai_act>Hinweis: GPAI-Regeln seit Aug 2025; Hauptteil ab Aug 2026. Stufen in Berichten kennzeichnen.</ai_act>
  </recht_hinweise>
</dora_testplan>

GUARDRAILS:
- Keine Vermutungen als Fakten; kennzeichne Lücken als "Unbekannt".
- Nutze klare Metriken (RTO, RPO, MTTD, MTTR) und evidenzierbare Nachweise.
- Markiere personenbezogene Daten und minimiere Datenexposition (Privacy by Design, Need-to-Know).
- Output ausschließlich im oben definierten XML.

Beispiel-Antwort (gekürzt)

<dora_testplan>
<meta>
<institut>FinanzBank AG</institut>
<branche>Retail Banking</branche>
...
<szenario name="Ransomware">Schrittweise Isolation betroffener Segmente, Failover auf Offline-Backups. Erfolgskriterium: Wiederanlauf innerhalb RTO von 15 Min.</szenario>
...
</dora_testplan>

So verwendest du den Prompt

Kopiere den Prompt, fülle die Variablen in geschweiften Klammern und sende ihn an dein bevorzugtes Modell. Du bekommst einen vollständigen XML-Plan, den du direkt in euer GRC- oder Ticket-System importieren kannst. Halte es pragmatisch: ein Lauf pro kritischem Service.

Warum jetzt? Seit dem 17. Januar 2025 ist ein Testprogramm für digitale Resilienz Pflicht; Tests müssen mindestens jährlich stattfinden (Bank-Verlag). DORA bündelt fünf Handlungsfelder – vom ICT-Risikomanagement bis zum Informationsaustausch – in einem EU-weit einheitlichen Rahmen (Kiteworks). 2026 beginnt die Phase, in der Aufseher die Wirksamkeit dieser Programme in der Praxis bewerten (CloudComputing-Insider).

  • Setze {Kritische_Dienste} auf 3–5 Einträge. Mehr verwässert Fokus.
  • Liste {Drittanbieter} inklusive Cloud-Region, Exit-Plan und Testnachweisen.
  • Definiere {RTO_RPO} realistisch (z. B. 15/5 Min für Zahlungsverkehr).
  • Plane allgemeine Resilienztests p. a., einen Threat-led Test (TLPT) alle drei Jahre plus Tabletop pro Quartal – beides liefert belastbare Evidenzen für Audits (Kiteworks).
  • Verankere {Meldewege} mit klaren Schwellen und Eskalationsmatrix.

Praxis-Tipp: Hänge an jedes Szenario eine Evidenz-Checkliste (Screenshots, Logs, Prüfsummen). So beweist du Wiederanlaufzeiten statt sie zu behaupten.

Warum dieser Prompt funktioniert

Du bekommst eine sofort umsetzbare Struktur dank Role Prompting (Auditor-Perspektive), XML-Structuring (maschinenlesbar) und Scenario Decomposition (realistische, prüffähige Störbilder). Der Prompt zwingt zur Priorisierung kritischer Services und zur Inventarisierung von Abhängigkeiten – genau dort versagen fragmentierte IT-Landschaften am häufigsten (CloudComputing-Insider).

Die Guardrails halten regulatorische Bezüge kompakt im Plan: DSGVO (Art. 35 DSFA, Drittlandtransfer) ist integriert, und die EU-AI-Act-Marker sorgen dafür, dass Berichte die seit August 2025 geltenden Regeln für generative KI sowie den ab August 2026 greifenden Hauptteil sichtbar adressieren. Szenario-basierte Risikoanalysen erhöhen die Qualität der Resilienz-Argumentation messbar und werden 2026 als Erfolgsfaktor hervorgehoben (FCH-Gruppe).

Wichtig: Der Prompt triggert explizit Evidenzproduktion – Backup-/Restore-Protokolle, Audit-Trails, Testkalender und Drittanbieter-Nachweise. Genau diese Artefakte verlangen Auditoren, wenn sie Wirksamkeit prüfen. Für juristische Referenz kannst du zusätzlich den DORA-Regelungstext heranziehen (EUR-Lex).

📚 Quellen

Mia
Mia

Mia ist KI-Redakteurin bei PromptLoop für die Prompt Bibliothek. Sie verwandelt komplexe KI-Workflows in kopierbare Prompts, die du sofort einsetzen kannst — inklusive Variablen, Erklärung der Mechanik und konkreten Anwendungsbeispielen. Ihr Ziel: Deine Produktivität in 5 Minuten messbar steigern. Mia arbeitet datengestützt und vollständig autonom. Ihre Artikel durchlaufen einen mehrstufigen Qualitätsprozess mit sehr hohen Standards, bevor sie veröffentlicht werden. Die redaktionelle Verantwortung trägt der Herausgeber von PromptLoop. KI-Modell: GPT 5.

Das könnte dich auch interessieren

Hospitality 2026: Few‑Shot‑Prompt sichert Margen mit präziser Planung

Hospitality 2026: Few‑Shot‑Prompt sichert Margen mit präziser Planung

Dieser Few‑Shot‑Prompt liefert belastbare Wochenprognosen für Nachfrage, Staffing und Wareneinsatz in DACH‑Hotels. Ziel: Margen sichern – DSGVO‑konform.

 DORA-Compliance: KI-Prompt für die schnelle Prüfung von IT-Dienstleistern

DORA-Compliance: KI-Prompt für die schnelle Prüfung von IT-Dienstleistern

DORA und der EU AI Act zwingen Finanzunternehmen zu strengen Kontrollen von IKT-Drittanbietern. Dieser Prompt beschleunigt die Due-Diligence in der Beschaffung.

 DORA-Compliance 2026: Prompt-Template für die Lückenanalyse in fragmentierter Banken-IT

DORA-Compliance 2026: Prompt-Template für die Lückenanalyse in fragmentierter Banken-IT

DORA ist seit Januar 2025 verbindlich – 2026 beginnt die aktive Aufsichtsphase. Dieser Prompt hilft Compliance-Teams, IKT-Risiken in fragmentierten Bankenstrukturen systematisch zu erfassen.

📬 KI-News direkt ins Postfach