Contents
Richtlinien für das Management der IKT-Vorgänge (Betrieb) (Art. 8 RTS RMF i.V.m. Art. 9 Abs. 2 DORA)
Die Richtlinie für das Management der IKT-Vorgänge definiert, wie Finanzunternehmen ihre digitalen Systeme und Prozesse sicher betreiben, überwachen, kontrollieren und im Störungsfall wiederherstellen. Sie ist ein Pflichtbestandteil des IKT-Risikomanagements nach der DORA-Verordnung und konkretisiert die technischen Anforderungen an den IKT-Betrieb gemäß Art. 8 RTS RMF.
Ziel und Bedeutung der IKT-Vorgangsrichtlinie
Die Richtlinie schafft einheitliche, dokumentierte Vorgaben für den Betrieb aller IKT-Assets – von Servern und Netzwerken bis zu geschäftskritischen Anwendungen. Sie stellt sicher, dass der IKT-Betrieb:
- sicher und kontrolliert abläuft,
- fehlerresistent und wiederherstellbar ist,
- und dabei Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten dauerhaft gewährleistet bleiben.
Anforderungen gemäß Art. 8 RTS RMF
Die Richtlinie muss folgende Pflichtinhalte umfassen:
1. Beschreibung der IKT-Assets
- Vorgaben zur sicheren Installation, Wartung, Konfiguration und Deinstallation von IKT-Systemen
- Anforderungen an die Informationsverarbeitung (manuell & automatisiert)
- Regelungen zum Umgang mit IKT-Altsystemen
2. Kontrolle und Überwachung
- Protokolle zur Sicherung und Wiederherstellung von IKT-Systemen (z. B. Backup, RTO/RPO)
- Zeitliche Koordination von Systemvorgängen und Abhängigkeitsmanagement
- Anforderungen an Audit-Trails und Systemprotokolle
- Minimierung von Betriebsstörungen bei Audits und Resilienztests
- Trennung zwischen:
- Produktivumgebungen und
- Entwicklungs-/Testumgebungen
- Sonderregelung: Wenn Tests in Produktivumgebungen durchgeführt werden, müssen sie:
- dokumentiert,
- begründet,
- zeitlich befristet
- und genehmigt sein (gemäß Art. 16 Abs. 6 DORA)
3. Fehlerbehandlung und Wiederanlauf
- Verfahren und Eskalationsprotokolle bei Systemfehlern und Ausfällen
- Interne und externe Ansprechpartner (z. B. IT-Dienstleister, Support-Teams)
- Wiederanlaufprozeduren inkl. Reset, Neustart, Datenwiederherstellung
Verknüpfung mit Art. 9 Abs. 2 DORA
Die Richtlinie ist Teil der DORA-Anforderung, hohe Standards für IKT-Sicherheit aufrechtzuerhalten. Sie unterstützt die Ziele von Art. 9 Abs. 2 DORA in Bezug auf:
- Resilienz und Wiederherstellbarkeit
- Unterstützung kritischer Funktionen
- Verlässliche Betriebsfähigkeit auch im Krisenfall
Warum ist diese Richtlinie prüfungsrelevant?
In Audits, IT-Prüfungen und TLPT-Tests ist der dokumentierte IKT-Betrieb ein zentraler Prüfpunkt. Die Richtlinie zeigt:
- Wie systematisch der Betrieb organisiert ist,
- Welche Notfallmechanismen existieren,
- Wie Trennung von Produktiv- und Testumgebung technisch und organisatorisch umgesetzt ist,
- Und wie Betriebsstörungen nachvollziehbar minimiert werden.
Umsetzungspflicht bis 17. Januar 2025
Alle Finanzunternehmen, die DORA unterliegen, müssen diese Richtlinie bis spätestens 17. Januar 2025 erstellt, freigegeben und in Betrieb genommen haben. Die Inhalte müssen regelmäßig überprüft, getestet und dokumentiert angepasst werden.