Inventar aller IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten

Contents

Inventar aller IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten (Art. 8 Abs. 1 und 6 DORA)
Inhaltliche Anforderungen laut DORA (Art. 8 Abs. 1 und 6)
Prüfungsrelevanz

Inventar aller IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten (Art. 8 Abs. 1 und 6 DORA)

Nach Art. 8 Abs. 1 und 6 DORA müssen Finanzunternehmen ein vollständiges, aktuelles und strukturiertes Inventar aller IKT-gestützten Unternehmensfunktionen, Rollen und unterstützenden Assets führen. Dieses Inventar ist eine zentrale Grundlage für das IKT-Risikomanagement und muss regelmäßig – mindestens jährlich – oder bei wesentlichen Änderungen aktualisiert werden.

Ziel ist es, Transparenz über IKT-abhängige Prozesse, Verantwortlichkeiten und Risiken zu schaffen – und damit die Basis für Resilienz, Klassifikation, Schutzbedarf, Wiederherstellung und Drittrisikoanalyse zu legen.

Inhaltliche Anforderungen laut DORA (Art. 8 Abs. 1 und 6)

1. Erfassung aller IKT-gestützten Funktionen

Identifikation aller geschäftsrelevanten Prozesse, die auf IKT-Systeme angewiesen sind
Zuordnung zu kritischen oder wichtigen Funktionen
Berücksichtigung ausgelagerter, automatisierter und hybrider Abläufe

2. Klassifikation der Funktionen, Rollen und Assets

Zuordnung verantwortlicher Rollen und Funktionen innerhalb des Unternehmens
Beschreibung der unterstützenden Informations- und IKT-Assets
Analyse der jeweiligen Risikobeziehungen und Interdependenzen

3. Dokumentation und Nachvollziehbarkeit

Aufbau eines strukturieren Inventars (z. B. in Excel, GRC-Tool, Datenbank)
Referenzierung zu BIA, Reaktionsplänen und Notfallmaßnahmen
Nachvollziehbare Versionierung und Freigabeprozesse

4. Aktualisierungs- und Prüfungspflicht

Mindestens jährliche Überprüfung auf Vollständigkeit und Relevanz
Pflicht zur sofortigen Aktualisierung bei wesentlichen Änderungen (z. B. neue Applikation, Organisationsumbau, Migration in Cloud)
Einbindung in Change-Management-Prozesse

Prüfungsrelevanz

Aufsicht und Revision prüfen:

Existenz eines vollständigen Inventars gemäß Art. 8 DORA
Dokumentation von Prozessen, Rollen, Abhängigkeiten und Assets
Regelmäßige Aktualisierung und systematische Prüfung
Anbindung an BCM, Schutzbedarf, Wiederanlaufplanung und Drittparteienrisiken
Konsistenz mit Asset-Management, Architekturübersichten und Notfallplänen