Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme

Contents

Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme (Art. 24 Abs. 5 DORA)

Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme (Art. 24 Abs. 5 DORA)

Resilienztests wie IT-Notfalltests, Wiederherstellungsübungen oder Threat-Led Penetration Testing (TLPT) sind nur dann wirksam, wenn ihre Ergebnisse auch ausgewertet und in konkrete Maßnahmen überführt werden. Genau das verlangt Art. 24 Abs. 5 DORA: Finanzunternehmen (außer Kleinstunternehmen) müssen alle identifizierten Schwächen, Lücken und Mängel aus Tests dokumentiert, priorisiert, klassifiziert und wirksam behoben haben.

Darüber hinaus sind interne Validierungsmethoden erforderlich, um die Umsetzung und Wirksamkeit der Korrekturmaßnahmen zu überprüfen.

Gesetzliche Grundlage: Art. 24 Abs. 5 DORA

Finanzunternehmen müssen im Rahmen der Tests zur digitalen operationalen Resilienz:

Verfahren zur Priorisierung, Klassifizierung und Behebung aufgetretener Schwachstellen definieren
Leitlinien zur strukturierten Auswertung der Testergebnisse aufstellen
Interne Validierungsprozesse etablieren, um sicherzustellen, dass alle Mängel nachhaltig beseitigt werden

Kernelemente der Umsetzungsrichtlinie

1. Systematische Klassifizierung von Testproblemen

Kategorisierung nach Art (z. B. technische Schwachstelle, organisatorisches Defizit, Kommunikationsproblem)
Klassifikation nach Risikolevel: kritisch – hoch – mittel – gering
Erfassung im Testprotokoll mit eindeutiger ID, Testkontext, Ursache und Relevanz

2. Priorisierung von Korrekturmaßnahmen

Risikoorientierte Bewertungsmatrix (z. B. Eintrittswahrscheinlichkeit x Auswirkung)
Abhängigkeit von Geschäftsprozessen und kritischen Funktionen
Fristvorgaben für Behebung je nach Kritikalität (z. B. innerhalb von 5 Tagen bei kritischen Findings)

3. Behebung und Nachverfolgung

Definition von Verantwortlichkeiten und Ressourcen
Integration in bestehende Change-, Incident- oder Problem-Managementprozesse
Laufende Nachverfolgung offener Findings inkl. Statuskennzeichnung und Deadlines

4. Interne Validierung

Methoden zur Überprüfung der Wirksamkeit (z. B. Re-Test, Kontrollaktivität, Audit)
Unabhängige Bewertung durch Interne Revision oder Second Line of Defense
Ergebnisdokumentation zur Vorlage bei der Aufsicht oder in Prüfungen

Prüfungsrelevanz: Was Auditoren und Aufsichtsbehörden erwarten

Existenz eines formalen Testnachbereitungsprozesses mit Priorisierungslogik
Klassifikationsschema für Schwächen inkl. Risiko- und Auswirkungsanalyse
Umsetzungskontrollen, Fristmanagement und Zuständigkeitsregelung
Validierungsdokumente (z. B. Nachtest, Behebungsnachweis, Kontrollbericht)
Abgleich von Testergebnissen mit Lessons Learned oder Risikoregister