Contents
Informationssicherheitsleitlinie (Art. 9 Abs. 4 lit. a DORA)
Die Informationssicherheitsleitlinie ist ein verpflichtendes Dokument gemäß Art. 9 Abs. 4 lit. a der Verordnung (EU) 2022/2554 (DORA). Sie ist ein zentrales Element des IKT-Risikomanagementrahmens und definiert verbindliche Regeln für den Schutz sämtlicher Informations- und IKT-Assets – einschließlich der Daten von Kunden.
Was ist eine Informationssicherheitsleitlinie?
Die Leitlinie legt die grundlegenden Schutzziele und Verhaltensregeln für die Verarbeitung, Speicherung und Übertragung von Informationen fest – insbesondere im Hinblick auf:
- Verfügbarkeit (Daten sind zugänglich, wenn sie benötigt werden)
- Authentizität (Daten stammen aus verifizierten Quellen)
- Integrität (Daten sind vollständig und unverändert)
- Vertraulichkeit (Zugang nur für autorisierte Personen)
Die Leitlinie schafft eine verbindliche Grundlage für Informationssicherheit im gesamten Unternehmen – technisch, organisatorisch und personell.
Gesetzliche Anforderung (Art. 9 Abs. 4 lit. a DORA)
„Finanzunternehmen erarbeiten und dokumentieren eine Informationssicherheitsleitlinie, in der Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten und der Informations- und IKT-Assets, gegebenenfalls einschließlich derjenigen ihrer Kunden, festgelegt sind.“
Diese Leitlinie ist kein IT-Dokument, sondern ein strategisch-normatives Rahmenwerk, das regelmäßig überprüft und vom Leitungsorgan genehmigt werden muss. Sie gilt für:
- alle internen Systeme, Prozesse und Datenflüsse
- ausgelagerte IKT-Dienstleistungen
- kritische Infrastrukturen und Kundeninformationen
Was muss die Leitlinie enthalten?
| Bestandteil | Beschreibung |
|---|---|
| Schutzziele | Definition der vier Kernziele gemäß DORA |
| Geltungsbereich | Unternehmensweit inkl. Tochtergesellschaften, ausgelagerte Funktionen |
| Rollen & Verantwortlichkeiten | CISO, IT, Fachbereiche, Geschäftsleitung |
| Klassifizierung von Informationen | z. B. „öffentlich“, „intern“, „vertraulich“, „streng vertraulich“ |
| Schutzmaßnahmen & technische Kontrollen | Verschlüsselung, Zugriffsschutz, Backup, Protokollierung |
| Verhaltenserwartungen | z. B. sichere Passwörter, Meldepflicht bei Sicherheitsvorfällen |
| Verknüpfung zu weiteren Richtlinien | Zugriffskontrolle, Identitätsmanagement, Vorfallmanagement etc. |
| Review & Aktualisierung | Vorgaben zur turnusmäßigen Überprüfung und Anpassung |
Warum ist die Leitlinie prüfungsrelevant?
Die Informationssicherheitsleitlinie ist ein Basis-Dokument für alle DORA-Audits. Sie zeigt, dass das Unternehmen Informationssicherheit strategisch verankert und einheitlich regelt. In Verbindung mit BAIT/VAIT/KAIT ist sie auch national aufsichtlich etabliert.
Bei Prüfungen wird typischerweise hinterfragt:
- Ist die Leitlinie verabschiedet und aktuell?
- Ist sie verbindlich für alle Mitarbeitenden?
- Sind die Inhalte operationalisiert und kontrolliert?
Umsetzungspflicht bis 17. Januar 2025
Die Leitlinie muss spätestens zum 17. Januar 2025 erstellt, verabschiedet und allen relevanten Personen zugänglich gemacht werden. Ohne dokumentierte Leitlinie gilt der IKT-Risikomanagementrahmen als unvollständig.