Contents
Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen (Art. 18 RTS RMF)
Physische Sicherheit und Schutz vor Umweltereignissen sind essenzielle Bausteine digitaler Resilienz. Im Rahmen der Digital Operational Resilience Act (DORA) verpflichtet Art. 18 RTS RMF Finanzunternehmen dazu, physische Schutzmaßnahmen und Umweltprävention als Teil ihrer IKT-Risikomanagementstrategie zu dokumentieren, umzusetzen und kontinuierlich zu verbessern.
Ziel der Richtlinie
Die Richtlinie soll sicherstellen, dass alle kritischen IKT- und Informationsassets – unabhängig vom Standort – gegen unbefugten physischen Zugang, Umweltgefahren, Manipulation, Diebstahl und Zerstörung geschützt sind. Ebenso werden Maßnahmen definiert, die im Falle eines Vorfalls die Wiederherstellbarkeit und Verfügbarkeit der betroffenen Systeme gewährleisten.
Rechtsgrundlage – Art. 18 RTS RMF
„Finanzunternehmen verfassen, dokumentieren und implementieren Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen […] unter Berücksichtigung des Gesamtrisikoprofils der IKT-Assets und der Klassifizierung gemäß Art. 8 Abs. 1 DORA.“
Pflichtinhalte der DORA-Richtlinie für physische Sicherheit
| Bereich | Beschreibung |
|---|---|
| Verknüpfung mit Zugangsrichtlinien | Verweis auf Abschnitt zur Kontrolle der Zugangs- und Zugriffsrechte (Art. 21 Abs. 1 g RTS RMF) |
| Schutz kritischer Räume | Maßnahmen zum Schutz von Rechenzentren, Serverräumen, sensiblen Zonen (z. B. Videoüberwachung, Zutrittskontrolle, Brandfrühwarnsysteme) |
| Schutz mobiler und dezentraler IKT-Assets | Sicherheitsvorkehrungen für unbeaufsichtigte Geräte, Außendienstgeräte, Remote Work, z. B. Sicherungsschlösser, Geofencing, Verschlüsselung |
| Umweltbezogene Prävention | Schutz vor Brand, Wasser, Stromausfall, extremen Temperaturen, mit Maßnahmen wie Sensorik, Redundanzsysteme, Notstromversorgung |
| Sicherer Betrieb der Infrastruktur | Wartungsvorgaben für Zutrittssysteme, Türsensoren, Racks, Klimatisierung und Datenleitungen |
| „Clear Desk & Clear Screen“-Policy | Vorgabe: Keine ungesicherten Informationen am Arbeitsplatz / auf Bildschirmen – zur Wahrung von Vertraulichkeit |
| Bezug zur IKT-Risikobewertung | Alle Maßnahmen basieren auf der unternehmensweiten IKT-Risikoanalyse – insbesondere in Bezug auf physische Angriffspunkte und Umweltrisiken |
Umsetzungsempfehlung für Finanzunternehmen
Eine DORA-konforme Umsetzung erfordert:
- Vollständige Standortanalyse (inkl. Homeoffice, Co-Working, Nearshoring etc.)
- Definition sensibler Zonen mit differenzierten Zutrittslevels
- Aufnahme der Umweltrisiken in das BIA (Business Impact Assessment)
- Regelmäßige Überprüfung der physischen Sicherheit in Audits, Penetration Tests und TLPT-Szenarien
- Dokumentation aller Maßnahmen, Vorkommnisse und Wartungsnachweise
Verknüpfung mit weiteren DORA-Dokumenten
Diese Richtlinie steht in direktem Zusammenhang mit:
- Informationssicherheitsleitlinie (Art. 9 Abs. 4 lit. a DORA)
- Leitlinie für Zutritts- und Zugriffsrechte (Art. 21 Abs. 1 lit. g RTS RMF)
- Notfallplänen und Business Continuity Management (Art. 11 und 13 RTS RMF)