Inventar aller kritischen Informations- und IKT-Assets

Contents

Inventar aller (kritischen) Informations- und IKT-Assets (Art. 8 Abs. 1, 4 und 6 DORA)
Inhaltliche Anforderungen laut DORA
Prüfungsrelevanz

Inventar aller (kritischen) Informations- und IKT-Assets (Art. 8 Abs. 1, 4 und 6 DORA)

Nach Art. 8 Abs. 1, 4 und 6 DORA müssen Finanzunternehmen sämtliche Informations- und IKT-Assets, die Unternehmensfunktionen unterstützen, vollständig erfassen, klassifizieren und dokumentieren – insbesondere, wenn sie als kritisch gelten. Das betrifft nicht nur Software und Datenbanken, sondern auch Hardware, Netzwerke und externe Standorte.

Ziel ist die vollständige Transparenz über Abhängigkeiten, Interdependenzen und Konfigurationen, um Risiken gezielt steuern, Vorfälle eingrenzen und Wiederherstellungen effizient durchführen zu können.

Inhaltliche Anforderungen laut DORA

1. Identifikation kritischer IKT-Assets (Art. 8 Abs. 1)

Erfassung aller IKT-Assets, die kritische oder wichtige Unternehmensfunktionen unterstützen
Klassifikation nach Kritikalität und Vertraulichkeitsgrad
Dokumentation technischer Abhängigkeiten zu anderen Assets, Rollen und Prozessen
Bewertung der IKT-Risiken auf Basis dieser Zuordnungen

2. Erfassung technischer Details und Verbindungen (Art. 8 Abs. 4)

Beschreibung der physischen und virtuellen Infrastruktur (Server, Endgeräte, Netzwerkkomponenten etc.)
Einbezug von externen Standorten, Cloud-Komponenten und ausgelagerten IT-Diensten
Dokumentation der Konfigurationen, Schnittstellen und Verbindungen
Aufzeichnung von Interdependenzen und Datenflüssen zwischen Assets

3. Aufbau und Pflege eines strukturierten Inventars (Art. 8 Abs. 6)

Aufbau eines aktuellen Asset-Inventars mit eindeutiger ID, Verantwortlichem, Standort, Schutzbedarf etc.
Regelmäßige Überprüfung mindestens jährlich oder bei jeder wesentlichen Änderung
Anbindung an CMDB, ISMS, BCM- und Drittparteienregister
Versionierung, Zugriffsrechte, Verknüpfung mit IKT-Vorfällen und Wiederanlaufplänen

Prüfungsrelevanz

Aufsicht und interne Revision fordern:

Existenz eines vollständigen und gepflegten IKT-Asset-Inventars
Nachvollziehbare Erfassung kritischer Konfigurationen und deren Relevanz für Geschäftsprozesse
Aktualisierungsnachweise bei Changes oder Architekturänderungen
Verknüpfung mit Recovery-Zeiten, Incident-Dokumentation und Schutzbedarfsklassifikation
Konsistenz mit Drittparteienverzeichnis, Notfall- und Wiederanlaufplänen