Verfahren für die Daten- und Systemsicherheit

Contents

Verfahren für die Daten- und Systemsicherheit (Art. 11 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)
Zentrale Inhalte gemäß Art. 11 RTS RMF
Verbindung zu Art. 9 Abs. 2 DORA
Prüfungserwartung

Verfahren für die Daten- und Systemsicherheit (Art. 11 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)

Die Anforderungen an die Daten- und Systemsicherheit nach DORA sind umfangreich: Finanzunternehmen müssen sicherstellen, dass ihre IKT-Systeme, Endgeräte, Speicher, Daten und Kommunikationswege gegen Manipulation, Verlust und Missbrauch geschützt sind. Dabei kommt es auf eine klare Klassifikation, technische Schutzmaßnahmen, rollenbasierte Zugriffskontrollen und die Berücksichtigung externer Anbieter an.

Zentrale Inhalte gemäß Art. 11 RTS RMF

1. Zugriffskontrollen und Konfigurationssicherheit

Zugangsbeschränkungen auf Basis der Datenklassifizierung gemäß Art. 21 DORA
Definition einer sicheren Konfigurationsbasis für IKT-Assets
Regelmäßige Überprüfung, ob diese Baselines eingehalten werden

2. Schutzmaßnahmen für Systeme und Software

Sicherstellung, dass nur autorisierte Software und Endgeräte verwendet werden
Einsatz technischer Mittel gegen Schadsoftware und Datenverlust
Schutz vor Datenlecks durch unsichere Medien oder Übertragungswege

3. Mobile Sicherheit & Telearbeit

Sicherheitsanforderungen für tragbare Endgeräte, BYOD und Telearbeit
Einsatz von Mobile Device Management (MDM), Fernlöschung, manipulationssicheren Mechanismen
Einschränkungen beim Einsatz mobiler Datenträger

4. Datenlöschung und Entsorgung

Verfahren zur sicheren Löschung nicht mehr benötigter Daten
Richtlinien zur sicheren Entsorgung von Datenträgern, insbesondere solcher mit sensiblen Informationen

5. Sicherheit bei IKT-Drittdienstleistern

Sicherheitsanforderungen für ausgelagerte IKT-Dienste, basierend auf Klassifizierung und Risikobewertung
Klare Rollen- und Verantwortlichkeitsverteilung gemäß Art. 28 DORA
Dokumentierte technische und organisatorische Maßnahmen, z. B. für Cloud-Infrastrukturen oder SaaS-Angebote

Verbindung zu Art. 9 Abs. 2 DORA

Das Verfahren zur Daten- und Systemsicherheit ist ein zentraler Baustein des IKT-Sicherheitsrahmens. Es trägt direkt zur Sicherstellung der Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit geschäftskritischer Daten und Systeme bei.

Prüfungserwartung

Aufsichtsbehörden erwarten:

Ein detailliertes, dokumentiertes Verfahren zur Daten- und Systemsicherheit
Technische Nachweise zu Zugriffsschutz, Konfigurationen, Malware-Abwehr und Datenlöschung
Rollenverantwortlichkeiten bei interner Nutzung und ausgelagerten IKT-Diensten
Regelmäßige Aktualisierungen und Prüfung der Wirksamkeit der Maßnahmen