Contents
Verfahren für das Management von IKT-Assets (Art. 5 RTS RMF)
Ein zentrales Element des IKT-Risikomanagementrahmens nach DORA ist ein dokumentiertes Verfahren für das Management von IKT-Assets. Es sorgt dafür, dass alle relevanten Informations- und IKT-Systeme strukturiert bewertet, gesteuert und abgesichert werden – basierend auf ihrer Kritikalität und dem potenziellen Schadensausmaß.
Inhaltliche Anforderungen laut Art. 5 RTS RMF
1. Dokumentiertes IKT-Asset-Managementverfahren
Finanzunternehmen müssen ein formelles Verfahren entwickeln, dokumentieren und umsetzen, das den gesamten Lebenszyklus der IKT-Assets umfasst – von der Erfassung über die Bewertung bis zur Kontrolle und Abschaltung.
2. Bewertung der Kritikalität von Informations- und IKT-Assets
Das Verfahren muss eine systematische Bewertung der Kritikalität aller Assets vorsehen, die Unternehmensfunktionen unterstützen. Dabei sind folgende Kriterien verbindlich:
a) IKT-Risiken und funktionale Abhängigkeiten
- Wie stark ist die Unternehmensfunktion von einem bestimmten Asset abhängig?
- Welche Rolle spielt das Asset bei der Aufrechterhaltung kritischer oder wichtiger Funktionen?
b) Auswirkungen auf Vertraulichkeit, Integrität, Verfügbarkeit (CIA)
- Welche Schäden entstehen, wenn das Asset kompromittiert, gestört oder zerstört wird?
- Wie wirken sich Datenverluste auf Geschäftsprozesse, Kundendaten oder Marktoperationen aus?
3. Ergebnis: Risikobasierte Priorisierung
Basierend auf der Kritikalitätsbewertung werden IKT-Assets priorisiert, in Risikokategorien eingeordnet und mit angemessenen Sicherheits- und Wiederherstellungsmaßnahmen versehen – im Einklang mit der Gesamtstrategie zur digitalen operationellen Resilienz.
Prüfungsrelevanz
Aufsichtsbehörden und interne Revisoren prüfen, ob ein solches Verfahren dokumentiert, nachvollziehbar und wirksam umgesetzt ist. Insbesondere wird erwartet:
- Nachvollziehbare Bewertungslogik für Kritikalität
- Zuordnung der IKT-Assets zu kritischen Unternehmensfunktionen
- Konsistenz mit dem BIA, Asset-Inventar und IKT-Risikobewertungen
- Schnittstelle zu Backup-Konzepten, Resilienztests und Exit-Strategien