Contents
Richtlinien für das IKT-Risikomanagement (Art. 3 RTS RMF)
Die Richtlinien für das IKT-Risikomanagement sind ein zentrales Steuerungsinstrument für die digitale Resilienz von Finanzunternehmen nach DORA. Artikel 3 der RTS RMF (Regulatory Technical Standards zum IKT-Risikomanagementrahmen) verpflichtet Finanzunternehmen dazu, formalisierte, nachvollziehbare und dokumentierte Prozesse zur Steuerung von IKT-Risiken umzusetzen.
Was sind IKT-Risikomanagement-Richtlinien?
Diese Richtlinien bilden die verbindliche Grundlage für die Identifikation, Bewertung, Behandlung, Überwachung und Dokumentation von Risiken, die mit Informations- und Kommunikationstechnologien (IKT) verbunden sind – inklusive Cyberrisiken, Systemausfällen, Datenverlusten und Schwachstellen in der Lieferkette.
Anforderungen gemäß Art. 3 RTS RMF
Die Richtlinien müssen alle der folgenden Elemente enthalten:
1. Verankerung der Risikotoleranzschwelle
- Dokumentierter Verweis auf die genehmigte IKT-Risikotoleranz gemäß Art. 6 Abs. 8 lit. b DORA.
- Diese Schwelle legt fest, wie viel Risiko das Unternehmen maximal akzeptiert.
2. IKT-Risikobewertungsverfahren
- Methode zur Erkennung von Schwachstellen und Bedrohungen, die auf IKT-Assets, Systeme und unterstützte Geschäftsprozesse wirken könnten.
- Quantitative und qualitative Risikomessgrößen (KPIs/KRIs) zur Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe.
3. Behandlung identifizierter IKT-Risiken
- Konkrete Maßnahmen zur Reduktion der Risiken unter die Risikotoleranzgrenze.
- Maßnahmenkatalog inkl. Zuständigkeiten, Fristen und Umsetzungskontrolle.
4. IKT-Restrisiken
- Verfahren zur Identifikation, Bewertung und dokumentierten Akzeptanz von Restrisiken, die trotz Maßnahmen verbleiben.
- Erstellung eines Restrisiko-Inventars mit Begründungen.
- Jährliche Überprüfung der eingegangenen Restrisiken inkl. Bewertung von Änderungen, Gegenmaßnahmen und deren Wirksamkeit.
5. Kontinuierliche Überwachung
- Beobachtung von:
- Änderungen im IKT-Risiko- und Bedrohungsprofil
- Internen/externen Schwachstellen
- Relevanten technologischen oder organisatorischen Entwicklungen
6. Anpassung an Strategieänderungen
- Sicherstellung, dass Änderungen der Geschäftsstrategie oder der DOR-Strategie Auswirkungen auf das IKT-Risikomanagement finden.
- Dynamische Weiterentwicklung der Richtlinien bei strukturellen Veränderungen.
Operative Anforderungen an das Verfahren
Zusätzlich verlangt die RTS RMF:
- Wirksamkeitsprüfung der umgesetzten Maßnahmen
- Erreichung der Risikotoleranz prüfen
- Anpassung und Korrekturmaßnahmen bei Abweichungen
Diese Elemente müssen messbar und dokumentiert sein – z. B. im Rahmen eines internen Kontrollsystems (IKS) oder einer Risikomanagement-Software.
Umsetzungspflicht & Prüfungsrelevanz
Die Richtlinien für das IKT-Risikomanagement müssen:
- spätestens zum 17. Januar 2025 vollständig erstellt, genehmigt und operativ umgesetzt sein,
- mit anderen DORA-Dokumenten (z. B. Informationssicherheitsleitlinie, DOR-Strategie) konsistent sein,
- von der Leitungsebene verantwortet und überprüft werden,
- bei Audits nachweislich aktuell und wirksam sein.