Contents
Bericht über die Überprüfung des IKT-Risikomanagementrahmens (Art. 6 Abs. 5 DORA i.V.m. Art. 27 RTS RMF)
Nach Art. 6 Abs. 5 DORA sind Finanzunternehmen verpflichtet, den IKT-Risikomanagementrahmen mindestens jährlich oder anlassbezogen zu überprüfen und darüber einen vollständigen Bericht zu erstellen. Dies gilt insbesondere bei:
- schwerwiegenden IKT-bezogenen Vorfällen,
- Feststellungen aus Audits, TLPT oder Resilienztests,
- aufsichtlichen Anweisungen oder Aufforderungen zur Vorlage.
Art. 27 RTS RMF legt Format, Inhalte und Struktur dieses Berichts verbindlich fest.
Inhaltliche Anforderungen laut RTS RMF (Art. 27)
1. Einleitung und Kontext
- Identifikation des Finanzunternehmens, ggf. inklusive Gruppenstruktur
- Beschreibung der Dienstleistungen, Organisation, kritischen Funktionen und Abhängigkeiten
- Zusammenfassung der Veränderungen seit dem letzten Bericht
- Aktuelles IKT-Risikoprofil, Bedrohungslage, Kontrollwirksamkeit und Sicherheitslage
2. Genehmigung und Anlass der Überprüfung
- Datum der Genehmigung durch das Leitungsorgan
- Angabe des konkreten Anlassgrundes (z. B. Vorfall, Prüfung, behördliche Anweisung)
- Zeitlicher Umfang der Überprüfung (Beginn und Ende)
- Nennung der verantwortlichen Funktion (interne Stelle)
3. Veränderungen und Bewertung
- Beschreibung aller vorgenommenen Veränderungen am IKT-Rahmen
- Auswirkungen auf Strategie, IKT-Governance und Kontrollrahmen
- Zusammenfassung der Ergebnisse der Überprüfung
- Bewertung der Schwere von Schwächen, Mängeln und Lücken
4. Maßnahmen zur Behebung
- Beschreibung aller geplanten oder umgesetzten Maßnahmen
- Terminierung und Stand der Umsetzung je Maßnahme
- Nennung verantwortlicher Funktionen und eingesetzter Tools (intern/extern)
- Auswirkungen auf Ressourcen (finanziell, personell, technisch)
- Ggf. Begründung für toleriertes Restrisiko bei nicht behobenen Schwächen
- Information über Kommunikationswege zur zuständigen Aufsichtsbehörde
5. Weiterentwicklungen und Schlussfolgerungen
- Geplante Weiterentwicklung des IKT-Risikomanagementrahmens
- Management-Fazit zur Resilienzlage und Umsetzung
- Erkenntnisse für strategische, technische oder prozessuale Anpassungen
6. Rückblick und Historie
- Liste bisheriger Überprüfungen und Berichte
- Umsetzungsstand früherer Maßnahmen
- Reflexion über unwirksame oder herausfordernde Korrekturmaßnahmen
- Vorschläge zur Verbesserung des Maßnahmenprozesses
7. Informationsquellen
- Ergebnisse der Internen Revision (nicht für Kleinstunternehmen verpflichtend)
- Compliance-Bewertungen
- Ergebnisse aus digitalen Resilienztests und ggf. TLPT
- Externe Prüfquellen oder Beraterberichte
Prüfungsrelevanz
Dieser Bericht ist ein zentrales Nachweisdokument bei DORA-Prüfungen durch:
- Aufsichtsbehörden (EZB, BaFin, CSSF etc.)
- Interne Revision und externe Prüfer
- TLPT-Anbieter oder Audit-Partner
Fehlende, verspätete oder unvollständige Berichte gelten als Verstoß gegen Art. 6 DORA.