Contents
Richtlinien für das IKT-Projektmanagement (inkl. IKT-Projektrisikobewertung) (Art. 15 RTS RMF)
Die Richtlinie für das IKT-Projektmanagement ist ein zentrales Steuerungsinstrument im Rahmen des IKT-Risikomanagements gemäß DORA. Sie sorgt dafür, dass alle IT-bezogenen Projekte – ob Beschaffung, Wartung oder Entwicklung – kontrolliert, sicherheitsbewusst und risikoorientiert durchgeführt werden.
Sie basiert auf Art. 15 der technischen Regulierungsstandards (RTS RMF) zur Verordnung (EU) 2022/2554.
Ziel der IKT-Projektmanagementrichtlinie
Die Richtlinie regelt den strukturierten Ablauf von IKT-Projekten mit dem Ziel:
- die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten und Systeme zu schützen,
- Risiken zu erkennen und zu beherrschen,
- kritische Abhängigkeiten und Funktionseinflüsse frühzeitig zu identifizieren,
- und das Leitungsorgan systematisch einzubinden.
Sie gilt für alle Projekte, die das IT-System, die Infrastruktur oder Sicherheitsarchitektur eines Finanzunternehmens beeinflussen.
Pflichtinhalte gemäß Art. 15 RTS RMF
1. Projektziele
- Dokumentation der beabsichtigten Ergebnisse, Funktionen und Systeme
- Definition, welche Geschäfts- oder Unterstützungsprozesse betroffen sind
2. Projektgovernance
- Klare Rollen und Verantwortlichkeiten:
- Projektleitung
- Projektauftraggeber
- Informationssicherheitsbeauftragter
- Fachbereiche
- Regelung von Berichtspflichten und Entscheidungswegen
3. Zeitplanung und Meilensteine
- Projektstrukturplan mit Etappenzielen, Abhängigkeiten und Fristen
- Definition der Freigabepunkte und Übergabeschritte
4. IKT-Projektrisikobewertung
- Risikoeinschätzung vor Projektstart (z. B. Ausfall, Datenverlust, Nichtkonformität)
- Bewertung nach Art der betroffenen Systeme (kritisch / wichtig)
- Dokumentation der Risiken und Maßnahmen im Projekt-Risikoregister
5. Informationspflicht gegenüber der Geschäftsleitung
- Das Leitungsorgan wird regelmäßig unterrichtet:
- Einzeln oder gruppiert, je nach Bedeutung der Projekte
- Regelmäßig und anlassbezogen bei Änderungen, Verzögerungen oder Risikoverschärfungen
6. Änderungsmanagement
- Genaue Regelung zur Genehmigung, Dokumentation und Bewertung von Change Requests
- Definition von Eskalationsstufen für sicherheitsrelevante Änderungen
7. Tests & Produktionsfreigabe
- Durchführung umfassender funktionaler, sicherheitstechnischer und integrativer Tests
- Dokumentiertes Verfahren zur Abnahme und Freigabe für die Produktion
- Vorgabe für Backout-/Rollback-Pläne bei Migrationsprojekten
Einbindung der betroffenen Geschäftsbereiche
Die Richtlinie stellt sicher, dass Fachbereiche aktiv eingebunden werden, die von den Projektergebnissen betroffen sind. Das betrifft insbesondere:
- Kundenprozesse
- Datenflüsse
- Sicherheitsfunktionen
- Outsourcing-Schnittstellen
Bedeutung für Prüfung & Aufsicht
Prüfer achten auf:
- Formalisierte Projektrichtlinien
- Dokumentierte Risikoanalysen und Projektfreigaben
- Nachweise zur Governance und zur Beteiligung der Leitungsebene
- IT-Sicherheitsanforderungen in Projektunterlagen
Insbesondere Projekte mit Cloud-, Infrastruktur-, oder Drittanbieterbezug werden kritisch bewertet.
Umsetzungspflicht bis 17. Januar 2025
Alle DORA-pflichtigen Finanzunternehmen müssen die Richtlinie bis spätestens 17. Januar 2025 erstellt, eingeführt und aktiv in alle IKT-Projekte integriert haben. Die IKT-Projektrisikobewertung ist bei kritischen Projekten verpflichtend und regelmäßig zu aktualisieren.