Verfahren für das Management der IKT-Vorgänge (Betrieb)

Contents

Verfahren für das Management der IKT-Vorgänge (Betrieb) (Art. 8 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)
Inhaltliche Anforderungen laut Art. 8 RTS RMF
Inhaltliche Anforderungen laut Art. 9 Abs. 2 DORA
Prüfungserwartung

Verfahren für das Management der IKT-Vorgänge (Betrieb) (Art. 8 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Im Rahmen der DORA-Verordnung verlangt der europäische Gesetzgeber, dass Finanzunternehmen betriebssichere Verfahren für den IKT-Betrieb entwickeln, dokumentieren und aktiv umsetzen. Diese Anforderungen sollen sicherstellen, dass sämtliche IKT-Systeme stabil, überprüfbar und jederzeit wiederherstellbar betrieben werden – auch bei Fehlern oder Störungen.

Die Artikel 8 RTS RMF und 9 Abs. 2 DORA sind zentrale Vorschriften zur Stärkung der operativen Resilienz im täglichen IT-Betrieb.

Inhaltliche Anforderungen laut Art. 8 RTS RMF

1. IKT-Asset-Betrieb und -Dokumentation

Beschreibung aller IKT-Assets inklusive Anforderungen an Installation, Konfiguration und Deinstallation
Regeln für die sichere Verarbeitung von Informationsassets – manuell und automatisiert
Identifikation und Kontrolle von Altsystemen (Legacy-IT)

2. Betriebskontrollen und Überwachung

Vorgaben für Backup, Wiederherstellung und Systemverfügbarkeit
Zeitsensitive Steuerung von Interdependenzen zwischen IKT-Systemen
Protokollierung von Systemaktivitäten und Audit-Trails
Anforderungen an die Trennung von Produktions-, Entwicklungs- und Testumgebungen
Sonderregelungen bei Tests in Produktionsumgebungen (z. B. Genehmigung, Begrenzung, Schutzmaßnahmen)

3. Fehlerbehandlung und Eskalationsmanagement

Verfahren zur Fehlererkennung, Behandlung und Behebung
Eskalationswege mit internen und externen Ansprechstellen
Neustart-, Reset- und Wiederherstellungsprozesse im Störfall

Inhaltliche Anforderungen laut Art. 9 Abs. 2 DORA

Implementierung von Sicherheitsrichtlinien, -tools und -protokollen zur Sicherung von:
• Verfügbarkeit
• Authentizität
• Integrität
• Vertraulichkeit
Schutz über alle Phasen: Speicherung, Verarbeitung, Übertragung
Gilt insbesondere für Systeme zur Unterstützung kritischer oder wichtiger Funktionen

Prüfungserwartung

Revisoren und Aufsichtsbehörden fordern für diese DORA-Anforderung:

Detaillierte Betriebsrichtlinien mit Lifecycle-Betrachtung
Getrennte Dokumentationen für Produktions- und Testbetrieb
Nachweise zur Durchführung und Prüfung von Fehler- und Recovery-Prozessen
Risikoanalysen für Tests in Produktionsumgebungen (inkl. Freigaben)