Contents
Richtlinien für Personalpolitik (Art. 19 RTS RMF)
Personalrichtlinien spielen eine zentrale Rolle in der digitalen Resilienzstrategie. Sie definieren nicht nur Compliance-Vorgaben für Mitarbeitende und Dienstleister, sondern sind auch Schlüsselmechanismen zur Verankerung von IKT-Sicherheitsverantwortung im Unternehmen. Der Artikel 19 der RTS zum DORA-Rahmen (Verordnung (EU) 2022/2554) verpflichtet Finanzunternehmen zur Integration konkreter IKT-bezogener Anforderungen in ihre Personalpolitik.
Ziel der Richtlinie
Die Personalpolitik gemäß DORA schützt IKT-Systeme und Informationsassets über organisatorische und menschliche Kontrollen. Sie stellt sicher, dass alle Mitarbeitenden – intern wie extern – die Sicherheitsregeln kennen, einhalten und aktiv unterstützen.
Rechtsgrundlage – Art. 19 RTS RMF
„Finanzunternehmen nehmen in ihre Richtlinien für Personalpolitik alle IKT-sicherheitsbezogenen Elemente auf – einschließlich Zuständigkeiten, Verhaltensanforderungen und Rückgabe von Assets.“
Pflichtinhalte der DORA-konformen Personalrichtlinie
| Bereich | Anforderungen laut Art. 19 RTS RMF |
|---|---|
| Zuständigkeiten | Klare Zuweisung spezifischer Aufgaben im Bereich der IKT-Sicherheit an Mitarbeitende, Führungskräfte, IKT-Verantwortliche |
| Verhaltenspflichten | Pflicht zur Kenntnis und Einhaltung aller unternehmensweiten Richtlinien, Verfahren und Protokolle zur IKT-Sicherheit |
| Meldewege | Aufklärung über Meldekanäle für Sicherheitsverstöße und verdächtige Aktivitäten – inklusive Hinweisgebersystem nach Richtlinie (EU) 2019/1937 |
| Asset-Rückgabe | Verpflichtung zur Rückgabe aller IKT- und Informationsassets bei Beendigung des Arbeits- oder Dienstverhältnisses |
Empfohlene Umsetzung
Die DORA-konforme Personalrichtlinie kann als eigenständige Sicherheitsrichtlinie oder als Sicherheits-Addendum zur bestehenden Personalpolitik ausgestaltet werden. Best Practices umfassen:
- Ergänzung von Rollenprofilen um IKT-Sicherheitsaufgaben (z. B. Systemverantwortliche, DPO, CISO)
- Onboarding-Verpflichtungen zur Kenntnisnahme von IKT-Richtlinien
- Awareness-Trainingsprogramme mit Fokus auf Resilienz, Phishing-Prävention und Datenschutz
- Vertragliche Verpflichtungen für IKT-Drittdienstleister und Leiharbeitende
Verknüpfte DORA-Dokumente
Diese Richtlinie steht in unmittelbarem Zusammenhang mit:
- Informationssicherheitsleitlinie (Art. 9 Abs. 4 lit. a DORA)
- Identitäts- und Zugriffsrichtlinien (Art. 6, Art. 21 RTS RMF)
- Awareness- und Schulungsprogramme (Art. 20 RTS RMF)
- Ausstattungsrichtlinien für Mitarbeitergeräte und BYOD (Art. 4 & Art. 12 RTS RMF)