Verfahren für das Patch-Management

Contents

Verfahren für das Patch-Management (Art. 10 Abs. 3 und 4 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)
Inhaltliche Anforderungen laut Art. 10 RTS RMF
Verbindung zu Art. 9 Abs. 2 DORA
Prüfungserwartung

Verfahren für das Patch-Management (Art. 10 Abs. 3 und 4 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Patch-Management ist essenziell für die digitale Resilienz und Angriffserkennung. Unter DORA müssen Finanzunternehmen strukturierte, dokumentierte Verfahren für die Identifikation, Bewertung und Implementierung von Software- und Hardware-Patches einführen. Dabei sind Automatisierung, Priorisierung und Notfallfähigkeit zentrale Prüfpunkte.

Inhaltliche Anforderungen laut Art. 10 RTS RMF

1. Automatisierte Identifikation von Patches

Nutzung automatisierter Tools zur Erkennung verfügbarer Software- und Hardware-Patches
Regelmäßige Prüfung auf sicherheitsrelevante Aktualisierungen
Bewertung der Relevanz und Kritikalität identifizierter Patches

2. Notfall-Patching-Verfahren

Vorhaltung von Notfallplänen für die kurzfristige Installation sicherheitskritischer Updates
Festgelegte Prozesse für das beschleunigte Patching außerhalb regulärer Wartungsfenster
Sicherstellung der operativen und regulatorischen Handlungsfähigkeit in akuten Bedrohungslagen

3. Testverfahren vor Einführung

Definition technischer und organisatorischer Anforderungen an Patch-Tests
Umsetzung in getrennten Testumgebungen gemäß Art. 8 Abs. 2 Buchst. b Ziffern v–vii DORA
Minimierung des Risikos für Systemausfälle durch fehlerhafte Updates

4. Fristen und Eskalation

Setzen von verbindlichen Fristen zur Implementierung sicherheitsrelevanter Patches
Einrichtung eines Eskalationsmechanismus bei Nichteinhaltung dieser Fristen
Nachweisbare Protokollierung und Überwachung der Termintreue

Verbindung zu Art. 9 Abs. 2 DORA

Das Patch-Management ist integraler Bestandteil der Sicherheitsrichtlinien und Resilienzmaßnahmen nach DORA. Es trägt zur Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten und IKT-Systemen bei – sowohl im normalen Betrieb als auch unter Krisenbedingungen.

Prüfungserwartung

Aufsichtsbehörden erwarten:

Ein vollständig dokumentiertes Patch-Management-Verfahren
Einsatz automatisierter Patch-Erkennungstools
Nachweise über regelmäßige und ereignisgetriebene Patching-Prozesse
Eskalationsnachweise bei Fristverzug
Testprotokolle zu sicherheitsrelevanten Updates