Contents
Richtlinie für das Management von IKT-Assets (Art. 4 RTS RMF i.V.m. Art. 9 Abs. 2 und 4 lit. c DORA)
Die Richtlinie für das Management von IKT-Assets ist eine zentrale Vorgabe der technischen Regulierungsstandards (RTS RMF) zur DORA-Umsetzung. Sie definiert, wie Finanzunternehmen ihre IKT-Systeme, Geräte, Plattformen und Datenquellen erfassen, klassifizieren, dokumentieren und über ihren gesamten Lebenszyklus hinweg verwalten müssen.
Was sind IKT-Assets?
IKT-Assets sind alle digitalen Komponenten, die zur Erbringung von Finanzdienstleistungen genutzt werden. Dazu zählen:
- Server, Endgeräte, Datenbanken, Netzwerke, Software, Cloud-Dienste
- Anwendungen zur Geschäftsfortführung und für kritische Funktionen
- Schnittstellen, APIs und Drittanbietersysteme
Ein strukturiertes Asset-Management ist essenziell für die digitale Resilienz, Informationssicherheit und regulatorische Nachvollziehbarkeit.
Rechtsgrundlage: Art. 4 RTS RMF + Art. 9 DORA
Gemäß Art. 4 der RTS RMF müssen Finanzunternehmen eine formalisierte Richtlinie entwickeln, dokumentieren und umsetzen. Diese wird durch Art. 9 Abs. 2 und Abs. 4 lit. c DORA ergänzt, der insbesondere Anforderungen an Schutz, Zugriff und Kontinuität stellt.
Mindestinhalt der IKT-Asset-Management-Richtlinie
Die Richtlinie muss folgende Kernpunkte abdecken:
1. IKT-Asset-Lebenszyklussteuerung
- Prozesse für Erfassung, Klassifizierung, Nutzung, Aktualisierung, Stilllegung
- Identifikation gemäß Art. 8 Abs. 1 DORA (kritisch vs. nicht-kritisch)
2. Aufzeichnungs- und Dokumentationspflichten
Die Richtlinie muss sicherstellen, dass jedes IKT-Asset eindeutig dokumentiert ist – inklusive:
- Eindeutiger Kennung
- Standort (physisch oder logisch)
- Klassifikation (z. B. kritisch, sensibel, extern)
- Asset-Eigentümer
- Unterstützte Geschäftsprozesse
- Wiederanlaufzeit (RTO) und Wiederherstellungspunkt (RPO)
- Netzwerkzugriff (z. B. öffentlich, VPN, internetbasiert)
- Verbindungen zu anderen Systemen
- Supportlaufzeiten & End-of-Support-Daten (EoL)
3. IKT-Altsysteme
- Separate Risikobewertung aller veralteten Systeme (Legacy-IT) gemäß Art. 8 Abs. 7 DORA
- Einschätzung der Betriebssicherheit und Handlungsbedarf (z. B. Ersatz, Isolierung)
4. Zugangs- und Zugriffskontrollen
- Die Richtlinie muss sicherstellen, dass physischer und logischer Zugriff auf Assets:
- streng zweckgebunden
- rollenbasiert
- und dokumentiert und überprüft erfolgt
- Verknüpfung mit den Richtlinien für Identitäts- und Zugriffsmanagement (Art. 9 Abs. 4 lit. c DORA)
Warum ist die Asset-Richtlinie so wichtig?
Ein vollständiges IKT-Asset-Inventar und klare Richtlinien bilden die Grundlage für:
- effektive Informationssicherheit
- Störfallmanagement & Wiederherstellungspläne
- Resilienztests (z. B. TLPT)
- Audits & aufsichtsrechtliche Nachweise
Umsetzung bis spätestens 17. Januar 2025
Die Richtlinie muss spätestens zum Inkrafttreten von DORA am 17. Januar 2025 erstellt, eingeführt und geprüft werden. Sie ist integraler Bestandteil des IKT-Risikomanagementrahmens nach Art. 6 DORA.