Richtlinien für das Management der Netzwerksicherheit

Richtlinien für das Management der Netzwerksicherheit (Art. 13 RTS RMF)

Die Richtlinie für das Management der Netzwerksicherheit ist ein zentrales Steuerungsinstrument zur digitalen Resilienz gemäß DORA. Sie verpflichtet Finanzunternehmen, ihre Netzwerkarchitekturen, Verbindungen, Zugänge und Datenflüsse systematisch zu dokumentieren, zu segmentieren und abzusichern – um Manipulationen, Datenlecks und Cyberangriffe zuverlässig zu verhindern.

Ziel der Netzwerksicherheitsrichtlinie

Die Richtlinie dient dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller netzwerkbasierten IKT-Systeme – insbesondere solcher, die kritische oder wichtige Funktionen unterstützen. Sie konkretisiert, wie Finanzunternehmen:

  • Netzwerke logisch und physisch segmentieren,
  • Angriffsflächen kontrollieren,
  • Netzwerkverkehr absichern,
  • Zugriffspunkte und Endgeräte überwachen,
  • sowie Netzwerkkonfigurationen regelbasiert steuern.

Inhalte gemäß Art. 13 RTS RMF

1. Netzsegmentierung & Trennung

  • Trennung von IKT-Systemen nach Kritikalität, Klassifizierung und Risikoprofil
  • Spezialnetzwerke für das Management besonders sensibler Systeme (z. B. Administrationsnetze)

2. Netzwerk-Dokumentation & Architektur

  • Vollständige Dokumentation aller Verbindungen und Datenflüsse
  • Jährliche Überprüfung der Netzwerkarchitektur (bei kritischen Funktionen mindestens halbjährlich)
  • Berücksichtigung führender Sicherheitsstandards und Normen

3. Zugriffsschutz & Zugangskontrollen

  • Kontrolle und Blockade nicht autorisierter Endpunkte (z. B. BYOD, externe Geräte)
  • Vorgaben zur Verschlüsselung von Netzwerkverbindungen in:
    • Unternehmensnetzwerken
    • öffentlichen Netzwerken
    • Netzwerken von Dritten
    • drahtlosen Netzwerken
  • Begrenzung und Beendigung inaktiver System- oder Fernsitzungen

4. Firewall-Management & Verbindungskontrollen

  • Regelmäßige Überprüfung von Firewall-Regeln & Filtern
    • Kritische Systeme: mindestens alle 6 Monate
  • Klare Verfahren zur Erstellung, Änderung und Freigabe von Regeln

5. Netzwerkkonfiguration & Absicherung

  • Absicherung aller Komponenten (Router, Switches, Firewalls, VPNs) gemäß:
    • Herstellervorgaben
    • EN-Normen (z. B. ISO/IEC 27033)
    • Best Practices wie „Secure Baseline Configurations“

6. Isolierung & Notfallmaßnahmen

  • Temporäre Isolierung gefährdeter Teilnetze im Angriffsfall
  • Unterstützung bei Forensik und Incident Response durch Netzwerksegmentierung

7. Vereinbarungen mit Dienstleistern

  • Klare Anforderungen für gruppeninterne und externe Netzwerkdienstleister:
    • Sicherheitsmaßnahmen
    • SLA-Vorgaben
    • Managementprozesse

Warum ist die Netzwerksicherheitsrichtlinie prüfungsrelevant?

Bei DORA-Prüfungen und Resilienztests (z. B. TLPT) stehen insbesondere folgende Fragen im Fokus:

  • Gibt es eine vollständige Netzwerkübersicht?
  • Ist die Segmentierung dokumentiert, begründet und getestet?
  • Werden Netzwerkverbindungen nach Klassifikation verschlüsselt?
  • Werden Firewall- und Verbindungskontrollen regelmäßig geprüft und aktualisiert?

Umsetzungspflicht bis 17. Januar 2025

Alle DORA-pflichtigen Finanzunternehmen müssen ihre Netzwerksicherheitsrichtlinie bis spätestens 17. Januar 2025 implementieren. Die Inhalte müssen regelmäßig überprüft, dokumentiert angepasst und im Rahmen von Schwachstellenanalysen bewertet werden.