[
  {
    "kategorie": "dokumentarisch",
    "nummer": 1,
    "punkt": "Schriftliche Klassifizierungspolitik fur Vorfalle, von der Geschaftsleitung unterzeichnet (Schweregradmatrix zu DORA- und NIS2-Reporting)",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Vom Vorstand unterzeichnetes PDF-Dokument + versionierte Schweregrad-/Reporting-Matrix"
  },
  {
    "kategorie": "dokumentarisch",
    "nummer": 2,
    "punkt": "Dokumentiertes Verfahren der DORA-Meldung nach 4 Stunden, von der Rechtsabteilung validiert, jahrlich aktualisiert",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "DORA-Runbook + Visum der Rechtsabteilung + Protokoll der jahrlichen Uberprufung"
  },
  {
    "kategorie": "dokumentarisch",
    "nummer": 3,
    "punkt": "Dokumentiertes Verfahren der NIS2-Meldung nach 24 Stunden, ausgerichtet am nationalen Portal (MonEspaceNIS2, BSI, ACN)",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "NIS2-Runbook + Portal-Mapping je Gerichtsbarkeit + Benutzerkonten"
  },
  {
    "kategorie": "dokumentarisch",
    "nummer": 4,
    "punkt": "Mit dem Status-Page-Anbieter unterzeichnetes DSGVO-DPA einschliesslich Liste der Unterauftragnehmer",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Gegengezeichnetes DPA + aktueller Unterauftragnehmer-Anhang"
  },
  {
    "kategorie": "dokumentarisch",
    "nummer": 5,
    "punkt": "Aktuelles Register der ICT-Dienstleister, konform zu DORA Artikel 28 Absatz 3",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Excel/SaaS-Register + CIFA-Feld + Datum der letzten Uberprufung"
  },
  {
    "kategorie": "dokumentarisch",
    "nummer": 6,
    "punkt": "Jahrlich getestete und dokumentierte Exit-Strategie des Status-Page-Anbieters",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Exit-Plan + Bericht des jahrlichen Tests"
  },
  {
    "kategorie": "dokumentarisch",
    "nummer": 7,
    "punkt": "Vom Vorstand validierter Krisenkommunikationsplan (Rollen, Standardnachrichten, Kanale)",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Vom Vorstand unterzeichnetes Dokument + RACI + Kommunikationsvorlagen"
  },
  {
    "kategorie": "technisch",
    "nummer": 8,
    "punkt": "Status Page ausserhalb der Anwendungs-Infrastruktur gehostet, mit Nachweis der getesteten Unabhangigkeit",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Architekturdiagramm + Ergebnis des Isolationstests (Chaos Test)"
  },
  {
    "kategorie": "technisch",
    "nummer": 9,
    "punkt": "Zeitstempel RFC 3339 UTC uberall, ohne Ausnahme (Interface, API, Exporte)",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Screenshot der Oberflache + API-Payload + JSON/RSS-Export mit UTC-Datum"
  },
  {
    "kategorie": "technisch",
    "nummer": 10,
    "punkt": "Schweregrad in mindestens 4 Stufen codiert (operational, degraded, partial outage, major outage)",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Produktdokumentation + Status-Screenshot + interne Zuordnungstabelle"
  },
  {
    "kategorie": "technisch",
    "nummer": 11,
    "punkt": "Strukturierter Export verfugbar in JSON, RSS und Atom, erganzt durch ICS fur die Wartung",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Offentliche Feed-URLs + archivierte Payload-Beispiele"
  },
  {
    "kategorie": "technisch",
    "nummer": 12,
    "punkt": "Sichtbarer Audit Trail bei jeder Aktualisierung, der den Autor identifiziert (mindestens nach Rolle)",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Screenshot der Oberflache + Auszug Audit-Log + Rollenrichtlinie"
  },
  {
    "kategorie": "technisch",
    "nummer": 13,
    "punkt": "Versionierung der Vorfallaktualisierungen, niemals ruckwirkende Uberschreibung",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Demonstration der Vorfallhistorie + Anderungsrichtlinie"
  },
  {
    "kategorie": "technisch",
    "nummer": 14,
    "punkt": "Multi-Region-Monitoring in mindestens 4 Zonen (EU, US, APAC, UK)",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Sondenliste je Region + monatlicher Abdeckungsbericht"
  },
  {
    "kategorie": "technisch",
    "nummer": 15,
    "punkt": "Funktionierende kanaluberschreitende Benachrichtigungen: E-Mail, Webhook, RSS, optional SMS",
    "prioritat": "Mittel",
    "erforderlicher_nachweis": "Liste der aktiven Kanale + vierteljahrlicher Versand-Test"
  },
  {
    "kategorie": "technisch",
    "nummer": 16,
    "punkt": "Unveranderliche WORM-Archivierung oder signiertes Register uber mindestens 6 Jahre",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Archivierungsstrategie + Unveranderlichkeitsnachweis (Hash, S3 Object Lock, Glacier)"
  },
  {
    "kategorie": "technisch",
    "nummer": 17,
    "punkt": "Sicherheit der Status-Domain: aktives DNSSEC, striktes HTTPS, HSTS, CAA, validierter HSTS-Test",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "DNSSEC-Bericht + HSTS-Preload-Screenshot + CAA-Record + TLS-Scan"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 18,
    "punkt": "Rolle DORA Incident Notifier schriftlich benannt, mit Backup (entspricht der CSSF-eDesk-Rolle)",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Ernennungsschreiben + Backup + Auszug Organigramm"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 19,
    "punkt": "24/7-Bereitschaft auf dem Status-Page-Kanal, mit dokumentierter Rotation und Jahreskalender",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Bereitschaftskalender + Paging-Tool + Rotationspolitik"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 20,
    "punkt": "Vierteljahrlicher 4-Stunden-Drill als Tabletop Exercise, gefolgt von einem Drill-Post-Mortem",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Drill-Bericht + Aktionsplan + signiertes Post-Mortem"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 21,
    "punkt": "Dokumentiertes Mapping der nationalen Behorden nach Gerichtsbarkeit (ACPR / BaFin / ACN / CSSF / Banca d'Italia + NIS2-CSIRT + CNIL und DSGVO-Aquivalente)",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Zuordnungstabelle + offizielle URLs und Kontakte je Land"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 22,
    "punkt": "KPI delay-to-publish kontinuierlich verfolgt, mit Zielwert unter 15 Minuten",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Internes Dashboard + monatlicher Bericht + Alarmschwellen"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 23,
    "punkt": "Vor-redigierte Kundenkommunikation je Szenario, vom DPO und der Rechtsabteilung validiert",
    "prioritat": "Mittel",
    "erforderlicher_nachweis": "Bibliothek der Standardnachrichten + DPO-Visum + Visum der Rechtsabteilung"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 24,
    "punkt": "Jahrliche Schulung der SRE- und Kommunikationsteams zu den DORA- und NIS2-Pflichten",
    "prioritat": "Hoch",
    "erforderlicher_nachweis": "Schulungsplan + Anwesenheitsliste + Bewertungsbogen"
  },
  {
    "kategorie": "organisatorisch",
    "nummer": 25,
    "punkt": "Jahrliche Uberprufung durch Vorstand und Aufsichtsrat zu den schwerwiegenden Vorfallen (DORA Artikel 17)",
    "prioritat": "Kritisch",
    "erforderlicher_nachweis": "Vorstandsprotokoll + Aufsichtsratsbeschluss + Vorfallindikatoren"
  }
]