Contents
Prozess für die Behandlung IKT-bezogener Vorfälle (Art. 17 DORA; Art. 23 RTS RMF)
Gemäß Artikel 17 DORA sind Finanzunternehmen verpflichtet, einen strukturierten Vorfallbehandlungsprozess zu entwickeln und anzuwenden. Dieser muss sowohl Erkennung, Reaktion als auch Meldung abdecken – und wird durch Art. 23 RTS RMF konkretisiert.
Anforderungen an den Vorfallbehandlungsprozess
| Bereich | Erforderliche Maßnahmen |
|---|---|
| Erkennung | Einrichtung von Frühwarnindikatoren, Monitoring-Tools und Alarmschwellen |
| Behandlung | Protokollierung, Klassifizierung, Eskalation, Ursachenanalyse, Reaktion |
| Meldung | Interne Eskalation (bis zur Geschäftsleitung), Kundenbenachrichtigung, externe Meldung |
| Dokumentation | Lückenlose Erfassung aller Vorfälle & Cyberbedrohungen, inkl. Analyse und Lessons Learned |
| Kommunikation | Pläne für interne Kommunikation, Kundenkommunikation und Medienhandling |
| Ressourcensteuerung | Zuständigkeiten, Dienstzeiten, Reaktionszeiten, Reaktionsfähigkeit auch nachts und am Wochenende |
Zielsetzung gemäß DORA
Der Prozess dient der frühzeitigen Erkennung, systematischen Bearbeitung und risikoorientierten Behandlung von IKT-Störungen, um potenzielle Auswirkungen auf Kritikalität, Verfügbarkeit, Integrität und Vertraulichkeit digitaler Assets zu minimieren.
Zusätzliche Anforderungen laut RTS RMF Art. 23
- Tools für automatische Anomalieerkennung (auf Basis vordefinierter Regeln)
- Integration interner & externer Quellen (inkl. Dienstleisterwarnungen, Bedrohungsszenarien)
- Schutz der Vorfallsprotokolle gegen unbefugten Zugriff und Manipulation
- Priorisierung und Klassifizierung von Alarmevents
- Erfassung von Datum, Uhrzeit und Art der Vorfälle
Was ist zu dokumentieren?
| Dokumentationspflicht | Beispiel |
|---|---|
| Datum & Uhrzeit des Vorfalls | z. B. 17.05.2025, 02:13 Uhr |
| Art der Störung | z. B. DDoS-Angriff, Systemabsturz, Fehlkonfiguration |
| Erkannte Auswirkungen | z. B. Datenverlust, Verfügbarkeitsproblem, Integritätsrisiko |
| Getroffene Maßnahmen | z. B. temporäre Abschaltung, Rücksetzung, Eskalation |
| Lessons Learned | z. B. Lücken in Firewall-Konfiguration entdeckt |