Contents
Aufzeichnungen über die Tätigkeiten vor und während Störungen bei Aktivierung der IKT-GFP oder der IKT-Reaktions- und Wiederherstellungspläne (Art. 11 Abs. 8 DORA)
Nach Artikel 11 Absatz 8 der DORA-Verordnung (EU) 2022/2554 müssen Finanzunternehmen vollständig nachvollziehbare Aufzeichnungen über alle Aktivitäten vor und während der Aktivierung von:
- IKT-Geschäftsfortführungsplänen (IKT-GFP)
- IKT-Reaktions- und Wiederherstellungsplänen
führen. Diese Aufzeichnungen müssen jederzeit einsehbar und revisionssicher abgelegt sein.
Was muss dokumentiert werden?
| Aufzeichnungsinhalt | Beispielhafte Inhalte |
|---|---|
| Auslöser | Zeitpunkt, Ursache und betroffene Systeme/Assets |
| Maßnahmen | Eingeleitete Notfallprozeduren, Eskalationsschritte |
| Kommunikation | Interne/externe Informationsflüsse, Benachrichtigungen |
| Verantwortlichkeiten | Wer hat wann was entschieden oder durchgeführt? |
| Zeitleiste | Chronologischer Ablauf der Maßnahmen (Ereignisprotokoll) |
Warum ist das wichtig?
Diese Aufzeichnungspflicht dient:
- der gerichtsfesten Nachvollziehbarkeit aller getroffenen Entscheidungen und Maßnahmen,
- der internen Analyse von Resilienz-Schwächen,
- der Vorbereitung auf Audits und
- dem Nachweis gegenüber Aufsichtsbehörden.
Fehlende oder unvollständige Aufzeichnungen können als Verstoß gegen DORA gewertet werden und zur aufsichtsrechtlichen Sanktionierung führen.
Umsetzung in der Praxis
| Best Practice | Beschreibung |
|---|---|
| Standardisiertes Notfallprotokoll | Vordefinierte Templates für Live-Mitschriften |
| Echtzeit-Dokumentation | Einsatz von Tools (z. B. Notfall-Logs, Ticket-Systeme, SIEM) mit Zeitstempeln |
| Rechtemanagement | Nur autorisierte Rollen mit Schreibzugriff – Leserechte für Compliance |
| Revisionssichere Ablage | Speicherung in geschütztem Archivsystem mit Audit-Trail |