Contents
Richtlinien für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen (Art. 16 Abs. 1 RTS RMF)
Die Richtlinie für die Beschaffung, Entwicklung und Wartung von IKT-Systemen ist ein zentrales Element der DORA-Compliance. Sie regelt, wie Finanzunternehmen ihre IT-Systeme sicher auswählen, entwickeln und im laufenden Betrieb pflegen – unter voller Beachtung der Anforderungen an Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von Daten.
Ziel der Richtlinie
Diese Richtlinie sorgt dafür, dass neue und bestehende IKT-Systeme:
- sicher beschafft,
- systematisch entwickelt,
- und kontrolliert gewartet werden – ohne die digitale operationale Resilienz zu gefährden.
Sie adressiert alle Lebenszyklusphasen von IT-Systemen – von der Spezifikation über die Einführung bis zur Wartung und Stilllegung.
Anforderungen gemäß Art. 16 Abs. 1 RTS RMF
1. Sicherheitskonzepte für Beschaffung, Entwicklung und Wartung
Die Richtlinie muss verbindlich vorgeben, dass Sicherheitsaspekte von Anfang an berücksichtigt werden („Security by Design“):
- Auswahl sicherheitszertifizierter Komponenten und Anbieter
- Absicherung von Entwicklungsumgebungen
- Schutz vor Manipulationen während Installation, Betrieb und Wartung
2. Technische Spezifikationen & IKT-Sicherheitsanforderungen
- Vorgabe zur Erfassung von:
- Technischen Systemanforderungen (gemäß Art. 2 Nr. 4 VO (EU) 1025/2012)
- Technischen IKT-Spezifikationen (gemäß Art. 2 Nr. 5 VO (EU) 1025/2012)
- Anforderungen an:
- Softwarefunktionen, Schnittstellen, Protokolle
- Backup-/Recovery-Kompatibilität
- Dokumentationspflichten
Diese Anforderungen müssen von:
- der verantwortlichen Geschäftseinheit
- und dem jeweiligen IKT-Asset-Eigentümer
geprüft und freigegeben werden (Four-Eyes-Prinzip gemäß interner Governance).
3. Schutzmaßnahmen gegen Manipulation
- Maßnahmen zur Vermeidung ungewollter Veränderungen in allen Phasen:
- Entwicklung: Zugriffskontrolle, Versionsverwaltung, Code-Reviews
- Wartung: Patching, Logging, Zugriffsnachweise
- Einführung in Produktion: Deployment-Abläufe mit Abnahme, Notfallplan, Rollback-Möglichkeiten
Beispielhafte Inhalte der Richtlinie
| Abschnitt | Inhalt |
|---|---|
| Beschaffungsprozess | Anbieterprüfung, Sicherheitsanforderungen, Compliance-Kriterien |
| Entwicklungsrichtlinie | Nutzung sicherer Frameworks, Testverfahren, Sandbox-Umgebungen |
| Wartungspolitik | Patchzyklen, Zugriffsbeschränkung bei Wartungsarbeiten, Protokollierung |
| Freigabeprozess | Genehmigungsablauf, Sicherheitsabnahme, Rolloutplanung |
| Manipulationsschutz | Zugriffsrechte, Integritätschecks, Änderungsfreigaben |
Verbindung zu weiteren DORA-Anforderungen
Diese Richtlinie ist eng verknüpft mit:
- der IKT-Projektmanagementrichtlinie (Art. 15 RTS RMF)
- dem Change-Management-Prozess
- den Richtlinien für Verschlüsselung, Test, Segmentierung und Produktionsumgebung
Umsetzungspflicht bis 17. Januar 2025
Finanzunternehmen müssen die Richtlinie bis spätestens 17. Januar 2025 dokumentiert, intern verabschiedet und operativ umgesetzt haben. Sie gilt für alle Eigenentwicklungen, Anpassungen, Integrationen und Standardsoftware im Einsatz.