IKT-Geschäftsfortführungsleitlinie

Contents

IKT-Geschäftsfortführungsleitlinie (Art. 11 DORA i.V.m. Art. 5 Abs. 2 lit. e und Art. 8 DORA; Art. 24 RTS RMF)
- Umsetzungspflichten
- Prüfungsrelevanz

IKT-Geschäftsfortführungsleitlinie (Art. 11 DORA i.V.m. Art. 5 Abs. 2 lit. e und Art. 8 DORA; Art. 24 RTS RMF)

Die IKT-Geschäftsfortführungsleitlinie ist ein zentrales Element der Digital Operational Resilience im Finanzsektor. Sie verpflichtet Finanzunternehmen, ihre Betriebsfähigkeit bei schwerwiegenden IKT-Störungen oder Cyberangriffen sicherzustellen und Wiederanlaufpläne präventiv, dokumentiert und testbar zu gestalten. Ziel ist es, kritische oder wichtige Funktionen auch unter Krisenbedingungen zuverlässig fortführen zu können.

Umsetzungspflichten

Finanzunternehmen müssen eine eigenständige, schriftlich dokumentierte IKT-Geschäftsfortführungsleitlinie erstellen, die fester Bestandteil ihrer allgemeinen Geschäftsfortführungsstrategie ist.

Struktur und Inhalte gemäß Art. 24 RTS RMF

Beschreibung der Ziele, des Geltungsbereichs, Zeitrahmens und Aktivierungskriterien.
Klare Governance- und Eskalationsstrukturen mit Aufgaben- und Ressourcenverantwortung.
Vollständige Abstimmung mit der allgemeinen Geschäftsfortführung, inkl. potenzieller Ausfallszenarien, Wiederherstellungszeiten (RTO/RPO) und risikobasierter Priorisierung.

Business-Impact-Analyse (BIA)

Ermittlung kritischer Unternehmensfunktionen, Abhängigkeiten (inkl. Dritte) und Informationsassets gemäß Art. 11 Abs. 5 DORA und Art. 8 DORA.
Regelmäßige Aktualisierung bei Änderungen an Netzwerken, Systemen oder Verfahren.
Vollständige Dokumentation in einem belastbaren Funktions- und Abhängigkeitsinventar.

Tests und Aktualisierungen

Mindestens jährliche Tests (oder bei wesentlichen Änderungen) von IKT-Systemen, Plänen und Krisenkommunikationsstrategien gemäß Art. 11 Abs. 6 DORA.
Pflicht zur Einbeziehung von Cyberangriffsszenarien, Failover-Tests und Backup-Umstellungen.
Regelmäßige Überprüfung und Anpassung der Leitlinie basierend auf Testergebnissen, Audits und aufsichtlichen Feststellungen.

Rolle des Leitungsorgans

Genehmigung, Überwachung und regelmäßige Kontrolle durch das Leitungsorgan gemäß Art. 5 Abs. 2 lit. e DORA.

Dokumentations- und Meldepflichten

Führung von Aufzeichnungen zu Aktivitäten vor und während der Aktivierung der Pläne.
Meldepflicht gegenüber zuständigen Behörden bei aggregierten jährlichen Kosten und Verlusten infolge schwerwiegender IKT-Störungen (Art. 11 Abs. 10 DORA).
Bei Zentralverwahrern zusätzlich: Pflicht zur Einreichung der Testergebnisse bei den zuständigen Behörden.

Spezialregelungen für zentrale Gegenparteien, Handelsplätze und Zentralverwahrer

Wiederherstellung kritischer Funktionen innerhalb von 2 Stunden.
Anforderungen an sekundäre Standorte, Personalverfügbarkeit und geografisch getrennte Verarbeitungskapazitäten (Art. 24 Abs. 2–4 RTS RMF).
Minimierung von Datenverlusten bei Handelsplätzen („Nahe 0“).

Prüfungsrelevanz

Auditoren und Aufsichtsbehörden erwarten eine vollständig dokumentierte, regelmäßig getestete und aktuell gehaltene Leitlinie.

Wesentliche Prüfpunkte:

Existenz und Angemessenheit der IKT-Geschäftsfortführungsleitlinie inkl. Abgrenzung zur allgemeinen BCP.
Durchgeführte BIA mit Risikoeinstufung kritischer Funktionen, Prozesse, Abhängigkeiten und IKT-Assets.
Testprotokolle inkl. Szenarienabdeckung und Ergebnisse von Wiederherstellungstests.
Dokumentierte Eskalationsverfahren und Kommunikation im Krisenfall (intern/extern).
Nachweis über regelmäßige Überprüfung durch das Leitungsorgan (z. B. Sitzungsprotokolle, Reports).
Im Falle zentraler Gegenparteien: Einhaltung der 2-Stunden-RTO und voll funktionsfähiger Zweitstandorte.