Kontrollen für das IKT-Änderungsmanagement

Contents

Kontrollen für das IKT-Änderungsmanagement (Art. 17 RTS RMF; Art. 9 Abs. 4 lit. e DORA)
Kontrollpflichten bei IKT-Änderungen – im Überblick
Erweiterte Testkontrollen für zentrale Infrastrukturen
- Eingebundene Stakeholder:
Praxisumsetzung der Änderungs-Kontrollen

Kontrollen für das IKT-Änderungsmanagement (Art. 17 RTS RMF; Art. 9 Abs. 4 lit. e DORA)

Unkontrollierte Änderungen an IKT-Systemen führen häufig zu Systemausfällen, Datenlecks oder Integritätsverlust. DORA schreibt daher präzise Kontrollen für jede IKT-Änderung vor – technisch, organisatorisch und dokumentiert. Diese Kontrollen sind Teil des IKT-Risikomanagementrahmens nach Art. 9 Abs. 4 lit. e DORA und werden durch Art. 17 RTS RMF konkretisiert.

Kontrollpflichten bei IKT-Änderungen – im Überblick

Kontrollbereich	Beschreibung gemäß DORA
Sicherheitsprüfung	Jede Änderung wird im Vorfeld auf Einhaltung der IKT-Sicherheitsanforderungen geprüft
Trennung von Rollen	Beantragung, Umsetzung und Genehmigung der Änderung müssen organisatorisch getrennt sein
Aufgaben & Zuständigkeiten	Jede Änderung ist in Bezug auf Planung, Übergang, Test und Qualitätssicherung klar zugewiesen
Dokumentation	Jede Änderung wird mit Zweck, Umfang, Zeitplan und erwarteten Ergebnissen dokumentiert
Fallback-Strategien	Rückfall- und Wiederherstellungspläne müssen vorliegen und verantwortlich zugewiesen sein
Notfallkontrollen	Es sind Tools und Verfahren für ungeplante Änderungen mit nachträglicher Neubewertung erforderlich
Auswirkungsprüfung	Jede Änderung muss hinsichtlich zusätzlicher Sicherheitsmaßnahmen bewertet werden

Erweiterte Testkontrollen für zentrale Infrastrukturen

Für Zentrale Gegenparteien (CCPs) und Zentralverwahrer (CSDs) gilt:
Bei erheblichen Änderungen an IKT-Systemen müssen Stresstests unter realitätsnahen Bedingungen durchgeführt werden.

Eingebundene Stakeholder:

Bei CCPs: Clearingmitglieder, interoperable CCPs, Kunden
Bei CSDs: Nutzer, kritische Versorger, andere Infrastrukturen (z. B. T2S, andere CSDs)

Praxisumsetzung der Änderungs-Kontrollen

Phase	Kontrollmaßnahmen
Vor Änderung	Sicherheitsfreigabe, Risikobewertung, Trennung der Rollen, Testplanung
Während Änderung	Monitoring der Umsetzung, Abbruchoptionen, Fallback-Aktivierung
Nach Änderung	Dokumentation, Qualitätssicherung, Bewertung der Auswirkungen, Lessons Learned