Verfahren für das Schwachstellen-Management

Contents

Verfahren für das Schwachstellen-Management (Art. 10 Abs. 1 und 2 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)
Inhaltliche Anforderungen laut Art. 10 RTS RMF
Verbindung zu Art. 9 Abs. 2 DORA
Prüfungserwartung

Verfahren für das Schwachstellen-Management (Art. 10 Abs. 1 und 2 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Schwachstellenmanagement ist ein zentraler Bestandteil digitaler Resilienz. Finanzunternehmen müssen laut DORA strukturierte Verfahren implementieren, um Schwachstellen in IKT-Systemen und -Assets frühzeitig zu erkennen und zu beheben. Dabei geht es nicht nur um technische Sicherheit, sondern auch um Governance, Dokumentation und Lieferketten-Transparenz.

Inhaltliche Anforderungen laut Art. 10 RTS RMF

1. Sensibilisierung und Informationsbasis

Nutzung relevanter, vertrauenswürdiger Informationsquellen (z. B. CVE-Datenbanken, CERTs)
Aufbau eines kontinuierlichen Sicherheitsbewusstseins im Unternehmen

2. Automatisierte Schwachstellenscans

Wöchentliche automatisierte Scans bei kritischen IKT-Assets
Risikoorientierte Scan-Frequenz auf Basis der Klassifizierung gemäß Art. 8 DORA
Dokumentation der Scan-Ergebnisse und identifizierten Risiken

3. Einbeziehung von IKT-Drittdienstleistern

Pflicht zur Untersuchung und Behebung gemeldeter Schwachstellen
Transparente Berichterstattung über kritische Schwachstellen und deren Trends
Prüfung, ob Patches und Gegenmaßnahmen tatsächlich umgesetzt wurden

4. Kontrolle von Drittanbieter-Bibliotheken

Nachverfolgung und Bewertung von eingesetzten Drittanbieter- und Open-Source-Bibliotheken
Gilt besonders für eigen- oder fremdentwickelte Systeme zur Unterstützung kritischer Funktionen
Regelmäßige Aktualitätsprüfung dieser Komponenten

5. Verantwortungsvolle Offenlegung

Verfahren für die externe Kommunikation relevanter Schwachstellen an Kunden, Geschäftspartner und ggf. die Öffentlichkeit
Erfüllung regulatorischer Transparenz- und Benachrichtigungspflichten

6. Patch- und Abhilfemanagement

Priorisierung von Sicherheitsupdates auf Basis Kritikalität und Risikoprofil
Dokumentation und Überwachung der Umsetzung
Fristenkontrolle und Statusverfolgung zur Einhaltung von Compliance-Anforderungen

7. Monitoring und Dokumentation

Vollständige Aufzeichnung aller identifizierten Schwachstellen
Statusverfolgung von Maßnahmen zur Behebung
Regelmäßige Review-Prozesse zur Effektivitätsprüfung

Verbindung zu Art. 9 Abs. 2 DORA

Das Schwachstellenmanagement ist ein integraler Teil der IKT-Sicherheitsrichtlinien gemäß Art. 9 Abs. 2 DORA. Es stellt sicher, dass:

Verfügbarkeits-, Integritäts- und Vertraulichkeitsziele eingehalten werden
Resilienz und Kontinuität der IKT-Systeme durch frühzeitige Reaktion auf Schwächen erhöht werden
Sicherheitslücken nicht unkontrolliert zur Eskalation oder zum Systemausfall führen

Prüfungserwartung

Aufsichtsbehörden prüfen insbesondere:

Bestehen eines dokumentierten Schwachstellen-Management-Verfahrens
Nachweise automatisierter Schwachstellenscans mit definierten Intervallen
Patch-Management-Protokolle und Abhilfepläne
Einbindung und Kontrolle von Drittdienstleistern und deren Reaktion auf Schwächen
Nachvollziehbare Übersicht aller offenen, behobenen oder akzeptierten Schwächen