IKT-Geschäftsfortführungspläne (IKT-GFP) (Art. 11 Abs. 6 lit. a DORA; Art. 24 und 25 RTS RMF)
Die Verordnung (EU) 2022/2554 (DORA) verpflichtet Finanzunternehmen dazu, für sämtliche kritischen oder wichtigen Funktionen IKT-Geschäftsfortführungspläne (IKT-GFP) zu entwickeln, jährlich zu testen und bei jeder wesentlichen Systemänderung zu aktualisieren (Art. 11 Abs. 6 lit. a DORA). Ziel: Im Ernstfall müssen Funktionen und Services so rasch und verlustfrei wie möglich wiederhergestellt werden.
Anforderungen aus Art. 24 RTS RMF – Was muss der Plan enthalten?
Die IKT-Geschäftsfortführungsleitlinie ist das zentrale Dokument. Sie beschreibt den Aufbau, die Ziele und die organisatorische Umsetzung der Pläne. Folgende Punkte sind verpflichtend:
| Bereich | Anforderungen |
|---|---|
| Ziele & Umfang | Beschreibung der Ziele, Abdeckungszeitraum, Wechselwirkungen mit allgemeinem BCM |
| Aktivierungskriterien | Klar definierte Bedingungen zur Aktivierung und Deaktivierung |
| Governance | Klare Zuständigkeiten, Ressourcenplanung, Eskalationsverfahren |
| Abstimmung | Verknüpfung mit allgemeinen Notfallplänen, Kommunikationsstrategie, Krisenmanagement |
| Risikoorientierung | Entwicklung risikobasierter Maßnahmen zur Wiederaufnahme des Betriebs |
Spezialvorschriften gelten für zentrale Gegenparteien, Zentralverwahrer und Handelsplätze – u. a. muss die Wiederherstellung innerhalb von zwei Stunden möglich sein.
Testpflicht: Vorgaben gemäß Art. 25 RTS RMF
Die IKT-Geschäftsfortführungspläne müssen jährlich getestet werden – unter Berücksichtigung der Business Impact Analyse (BIA) und der IKT-Risikobewertung. Die Tests müssen:
- auf realistischen und schwerwiegenden Störungsszenarien basieren,
- IKT-Drittdienstleister und Backup-Infrastruktur einbeziehen,
- auf die Plausibilität aller Annahmen und Eskalationsprozesse abzielen,
- dokumentiert und dem Leitungsorgan zur Entscheidung vorgelegt werden,
- Szenarien wie Ausfall, Cyberangriff, Naturkatastrophe, Pandemien oder Personalausfall prüfen.
Ergebnisse und Schwachstellen müssen analysiert und adressiert werden.