Dokumentation der Tests der IKT-GFP

Contents

Dokumentation der Tests der IKT-GFP (Art. 25 Abs. 5 RTS RMF)
Was muss dokumentiert werden?
Warum ist diese Dokumentation kritisch?
Umsetzungstipps für Institute

Dokumentation der Tests der IKT-GFP (Art. 25 Abs. 5 RTS RMF)

Der IKT-Geschäftsfortführungsplan (IKT-GFP) ist das Herzstück der digitalen Resilienzstrategie. Art. 25 Abs. 5 der Delegierten Verordnung (EU) 2024/1774 (RTS RMF) verpflichtet Finanzunternehmen dazu, sämtliche Testergebnisse systematisch zu dokumentieren, Schwachstellen zu analysieren und dem Leitungsorgan zu berichten.

Was muss dokumentiert werden?

Dokumentationspflicht	Inhalt laut RTS RMF
Testergebnisse	Alle Ergebnisse der regelmäßigen GFP-Tests (gem. Art. 25 Abs. 1)
Schwachstellen	Identifizierte Lücken, Fehler oder Unwirksamkeiten im Plan
Analysemaßnahmen	Ursachenanalyse, Risikobewertung, Folgenabschätzung
Behebungsmaßnahmen	Konkrete technische und organisatorische Verbesserungen
Bericht an Leitung	Weiterleitung der Analyse- und Behebungsmaßnahmen an das Leitungsorgan zur Genehmigung und Steuerung

Warum ist diese Dokumentation kritisch?

Die lückenlose Testdokumentation ist kein formaler Selbstzweck, sondern dient:

der Sicherstellung der Wirksamkeit des IKT-GFP
der Ableitung gezielter Verbesserungsmaßnahmen
der Haftungsvermeidung auf Leitungsebene
der Vorbereitung auf DORA-Aufsichtsprüfungen

Fehlende oder unvollständige Dokumentation ist ein direkter DORA-Compliance-Verstoß.

Umsetzungstipps für Institute

Best Practice	Beschreibung
Zentrale GFP-Testdokumentation	Einheitliche Vorlage für alle Testberichte und Lessons Learned
Schwachstellen-Tracking	Register für offene Punkte mit Verantwortlichkeiten und Fristen
Vorstandsreporting	Periodischer Management-Bericht über GFP-Testergebnisse und Abhilfemaßnahmen
Audit-Trail sichern	Alle Ergebnisse und Maßnahmen versioniert und revisionssicher ablegen