Richtlinien für Patches und Updates (Art. 9 Abs. 4 lit. f DORA)
Die Richtlinie für Patches und Updates ist eine verpflichtende Maßnahme gemäß Art. 9 Abs. 4 lit. f DORA. Sie legt verbindlich fest, wie Finanzunternehmen ihre Systeme und Anwendungen durch regelmäßige Aktualisierungen sicher, stabil und widerstandsfähig gegen Cyberbedrohungen halten.
Ziel der Patch- und Update-Richtlinie
Die Richtlinie dient dem Schutz der digitalen Betriebsfähigkeit – insbesondere gegen:
- Sicherheitslücken in Betriebssystemen, Middleware und Anwendungen
- veraltete Softwarestände (End-of-Life)
- Zero-Day-Exploits und bekannte Schwachstellen (CVEs)
- Fehler in produktiven IKT-Systemen
Sie ist zentral für die Informationssicherheit, die digitale operationale Resilienz und für die Einhaltung von IKT-Kontinuitätspflichten nach DORA.
Rechtlicher Rahmen: Art. 9 Abs. 4 lit. f DORA
„Als Teil des IKT-Risikomanagementrahmens […] besitzen Finanzunternehmen angemessene und umfassende dokumentierte Richtlinien für Patches und Updates.“
Diese Richtlinie muss im Gesamtzusammenhang mit dem IKT-Risikomanagementrahmen gemäß Art. 6 DORA stehen. Sie ist kein reines IT-Dokument, sondern Bestandteil der strategischen Sicherheitsarchitektur des Unternehmens.
Inhalte einer DORA-konformen Richtlinie für Patches und Updates
| Bereich | Inhalt |
|---|---|
| Geltungsbereich | Alle IKT-Assets (Server, Endpoints, Netzwerke, Anwendungen, Cloud-Komponenten) |
| Patch-Kategorien | Betriebssysteme, Drittanbietersoftware, Sicherheitslösungen, Netzwerkgeräte |
| Update-Quellen | Trusted Vendor Channels, Softwarelieferanten, interne Entwicklung |
| Klassifizierung von Updates | Kritisch / Hoch / Mittel / Niedrig (z. B. nach CVSS) |
| Reaktionszeiten | Maximalzeiten bis zur Installation nach Schweregrad |
| Test und Freigabe | Vorabprüfung in separater Testumgebung, Rollout-Freigabe |
| Dokumentation & Nachverfolgbarkeit | Patch-Level, Änderungsvermerke, Versionsstände, Logs |
| Ausnahmen & manuelle Freigabeprozesse | Bei Abhängigkeiten, Legacy-Systemen oder Geschäftskritikalität |
| Überwachung & Reporting | Automatisierte Patch-Management-Systeme, Dashboards, interne Audits |
Verknüpfung mit weiteren DORA-Anforderungen
Die Patch-Management-Richtlinie ist eng verbunden mit:
- dem IKT-Asset-Register (Art. 4 RTS RMF)
- dem Schwachstellenmanagement (Art. 11 RTS RMF)
- der Richtlinie für das Management von IKT-Vorgängen (Art. 8 RTS RMF)
- dem Vorfallmanagement (Art. 15 ff. DORA)
Warum ist Patch-Management prüfungsrelevant?
Auditoren und Aufsichtsbehörden prüfen insbesondere:
- Ist ein regelmäßiger, dokumentierter Patch-Zyklus definiert?
- Gibt es ein zentrales Patch-Management-Tool mit Reporting-Funktion?
- Werden kritische Schwachstellen fristgerecht geschlossen?
- Gibt es ein Rollout-Konzept mit Fallback-Szenarien?
Umsetzungspflicht bis 17. Januar 2025
Alle von DORA erfassten Institute müssen diese Richtlinie bis spätestens 17. Januar 2025 erstellt, implementiert und mit dem IKT-Risikomanagementrahmen verzahnt haben. Sie muss regelmäßig aktualisiert und intern überprüft werden.