Register aller Zertifikate und Zertifikatspeicher für diejenigen IKT-Assets, die kritische o. wichtige Funktionen unterstützen

Contents

Register aller Zertifikate und Zertifikatspeicher für diejenigen IKT-Assets, die kritische o. wichtige Funktionen unterstützen (Art. 7 Abs. 4 RTS RMF)
Inhaltliche Anforderungen laut Art. 7 Abs. 4 RTS RMF
Prüfungsrelevanz

Register aller Zertifikate und Zertifikatspeicher für diejenigen IKT-Assets, die kritische o. wichtige Funktionen unterstützen (Art. 7 Abs. 4 RTS RMF)

Im Rahmen der DORA-Verordnung müssen Finanzunternehmen ein aktuelles Register aller Zertifikate und Zertifikatspeicher führen, wenn diese mit IKT-Assets verknüpft sind, die kritische oder wichtige Funktionen unterstützen. Ziel ist es, die Integrität und Verfügbarkeit vertrauenswürdiger digitaler Infrastrukturen zu gewährleisten – insbesondere bei verschlüsselter Kommunikation, Authentifizierung und Datenübertragung.

Inhaltliche Anforderungen laut Art. 7 Abs. 4 RTS RMF

1. Vollständiges Zertifikatsregister

Erstellung eines strukturierten Registers aller eingesetzten Zertifikate (z. B. TLS, S/MIME, Code Signing)
Erfassung von Schlüsselattributen wie: Aussteller, Seriennummer, Gültigkeitszeitraum, zugeordnete Systeme
Dokumentation der Zertifikatsbeziehungen (z. B. Chain-of-Trust)
Zuordnung der Zertifikate zu den unterstützten IKT-Assets und Funktionen

2. Verwaltung der Zertifikatspeicher

Identifikation und Dokumentation aller verwendeten Zertifikatspeicher (z. B. Systemzertifikatsspeicher, HSMs, zentrale Key Stores)
Angabe von Zugriffsrechten, Standort, Backup-Verfahren und Integritätsschutz
Aktualisierungspflichten bei Änderung, Austausch oder Löschung von Zertifikaten

3. Regelmäßige Aktualisierung und Pflege

Pflicht zur laufenden Pflege und Prüfung des Registers auf Aktualität
Automatisierte Prozesse zur Ablaufüberwachung und Erneuerung von Zertifikaten empfohlen
Frühzeitige Identifikation von Risiken durch ablaufende oder kompromittierte Zertifikate

Prüfungsrelevanz

Prüfer und Aufsichtsbehörden erwarten eine lückenlose Nachvollziehbarkeit sämtlicher Zertifikate, die sicherheitskritische IKT-Assets absichern. Wesentliche Nachweise:

Existenz eines zentral gepflegten Zertifikatsregisters
Nachweis der vollständigen Zuordnung zu kritischen Funktionen
Prüfpfade für Zertifikatsänderungen und Ablaufmanagement
Klar geregelte Verantwortlichkeiten für Verwaltung und Kontrolle