Contents
Richtlinien für das IKT-Änderungsmanagement (Art. 9 Abs. 4 lit. e DORA)
Die Richtlinie für das IKT-Änderungsmanagement bildet das Rückgrat für eine sichere und kontrollierte Weiterentwicklung der IKT-Systemlandschaft in Finanzunternehmen. Sie definiert verbindliche Regeln und Prozesse zur Handhabung von Änderungen an Software, Hardware, Systemen, Sicherheitsparametern oder Infrastruktur – unter konsequenter Berücksichtigung von Risiko, Nachvollziehbarkeit und Genehmigungspflicht.
Ziel der Richtlinie
Ziel der Richtlinie ist es, ungeplante Auswirkungen, Sicherheitslücken oder Betriebsunterbrechungen zu vermeiden. Änderungen dürfen nur umgesetzt werden, wenn sie:
- nachvollziehbar dokumentiert,
- risikoorientiert bewertet,
- angemessen getestet,
- ordnungsgemäß freigegeben
- und kontrolliert eingeführt werden.
Gesetzliche Anforderung gemäß Art. 9 Abs. 4 lit. e DORA
Nach der Verordnung (EU) 2022/2554 müssen alle Finanzunternehmen:
„… Richtlinien, Verfahren und Kontrollen für das IKT-Änderungsmanagement implementieren und dokumentieren, einschließlich Änderungen an Software, Hardware, Firmware-Komponenten, den Systemen oder von Sicherheitsparametern, die auf einem Risikobewertungsansatz basieren […].“
Diese Vorgaben sind integraler Bestandteil des IKT-Risikomanagementrahmens gemäß Art. 6 Abs. 1 DORA.
Kerninhalte der Änderungsmanagement-Richtlinie
| Bereich | Inhalt |
|---|---|
| Geltungsbereich | Änderungen an Software, Hardware, Systemkomponenten, Cloud-Services, Sicherheitseinstellungen |
| Change-Kategorisierung | Standard Changes, Notfalländerungen, größere geplante Änderungen |
| Risikobewertung | Technische und betriebliche Auswirkungen, Rückrollrisiken, Sicherheitsbewertung |
| Genehmigungsprozess | Rollenbasiertes Freigabeverfahren (Change Manager, IKT-Asset Owner, Sicherheitsverantwortliche) |
| Tests & Validierung | Abnahmetests, Regressionsprüfung, IT-Security-Test, ggf. TLPT-relevant |
| Dokumentation | Änderungsbeschreibung, Risikoanalyse, Testergebnisse, Genehmigungen, Protokolle |
| Nachverfolgung & Review | Implementierungsüberwachung, Nachkontrolle, Lessons Learned |
| Verknüpfung mit Release-/Deployments | Integration in die Releaseplanung und in DevSecOps-Pipelines (CI/CD) |
Vermeidung typischer Risiken
Fehlendes oder unzureichendes Änderungsmanagement ist eine Hauptursache für:
- Ausfälle kritischer Systeme
- Datenschutzverletzungen
- Audit-Feststellungen wegen fehlender Genehmigung
- Unkontrollierte DevOps-Umgehungslösungen
Eine DORA-konforme Richtlinie verhindert diese Risiken durch klare Strukturierung, Risikoorientierung und Rollenzuordnung.
Verbindung zu anderen DORA-Vorgaben
Diese Richtlinie ergänzt insbesondere:
- IKT-Projektmanagement (Art. 15 RTS RMF)
- Netzwerksicherheit (Art. 13 RTS RMF)
- Management der IKT-Vorgänge (Art. 8 RTS RMF)
- Patch- und Updatemanagement (Art. 9 Abs. 4 lit. f DORA)