Contents
IKT-Reaktions- und Wiederherstellungspläne (Art. 11 Abs. 3 DORA i.V.m. Art. 5 Abs. 2 lit. e DORA; Art. 24 u. 26 RTS RMF)
Die Verordnung (EU) 2022/2554 (DORA) schreibt in Art. 11 Abs. 3 vor, dass jedes Finanzunternehmen – außer Kleinstunternehmen – IKT-Reaktions- und Wiederherstellungspläne als integralen Bestandteil des IKT-Risikomanagementrahmens entwickelt und regelmäßig überprüft. Diese Pläne müssen dokumentiert, getestet, für Mitarbeitende leicht zugänglich und durch die interne Revision geprüft sein.
Das Leitungsorgan trägt nach Art. 5 Abs. 2 lit. e DORA die volle Verantwortung für Genehmigung, Überwachung und regelmäßige Evaluierung der Umsetzung.
Zielsetzung der Wiederherstellungspläne
Die IKT-Reaktions- und Wiederherstellungspläne (Disaster Recovery Plans, DRP) sollen gewährleisten, dass:
- der Geschäftsbetrieb zeitnah und sicher wiederhergestellt werden kann,
- die Verfügbarkeit, Integrität und Kontinuität kritischer IKT-Systeme erhalten bleibt,
- klare Prozesse für Aktivierung, Kommunikation, Wiederanlauf und Eskalation vorliegen.
Kernelemente gemäß Art. 26 RTS RMF
| Bereich | Anforderung |
|---|---|
| Aktivierungskriterien | Klare Auslöser und Bedingungen für Start und Ende des Plans |
| Szenarienabdeckung | Breite Risiko-Szenarien wie Cyberangriffe, Stromausfall, Naturkatastrophen, Personalausfall, Insiderbedrohungen, politische Instabilität |
| Dokumentation | Vollständige Dokumentation, klare Zuständigkeiten, schnelle Verfügbarkeit im Notfall |
| Kurz- & Langfriststrategien | Notfallmaßnahmen und Wiederanlaufoptionen für verschiedene Zeithorizonte |
| Tests & Prüfungen | Regelmäßige Tests gemäß Art. 24 RTS RMF, insbesondere bei Systemänderungen |
| Schnittstellen | Harmonisierung mit Business Continuity Management, Kommunikationsplänen und Ausstiegsstrategien |
Best Practice: Integration in die BCM-Architektur
Die IKT-Reaktionspläne müssen vollständig in die IKT-Geschäftsfortführungsleitlinie (Art. 24 RTS RMF) eingebettet sein. Dazu gehört:
- Schnittstelle zur BIA (Business Impact Analysis)
- Wiederherstellungszeitziele (RTO) und Wiederherstellungspunktziele (RPO)
- Eskalationsprozesse und Ressourcenplanung
- Definition kritischer Dienstleistungen und Zuständigkeiten