Richtlinien für die Behandlung IKT-bezogener Vorfälle

Richtlinien für die Behandlung IKT-bezogener Vorfälle (Art. 22 und 23 RTS RMF)

Finanzunternehmen sind nach der Digital Operational Resilience Regulation (DORA) verpflichtet, ein systematisches und dokumentiertes Vorgehen für den Umgang mit IKT-bezogenen Vorfällen und anormalen Aktivitäten zu etablieren. Ziel ist es, Cyberangriffe, Systemausfälle und sonstige kritische Störungen frühzeitig zu erkennen, wirksam zu behandeln und regulatorisch korrekt zu dokumentieren.

Die Anforderungen aus Art. 22 und 23 der RTS zum Risikomanagementrahmen (RTS RMF) konkretisieren die Umsetzungspflichten zur Vorfallbehandlung, wie sie in Art. 17 DORA grundlegend angelegt sind.

Gesetzliche Grundlagen

Die Richtlinien müssen sich stützen auf:

  • Art. 22 RTS RMF – Dokumentation, technische Mechanismen, Analyseprozesse, Vorfallnachweise
  • Art. 23 RTS RMF – Mechanismen zur Erkennung anomaler Aktivitäten, Priorisierung, Logging, Schutz

Wesentliche Umsetzungspflichten für Finanzunternehmen

1. Formale Vorfallbehandlungsrichtlinie

  • Dokumentation des gesamten Vorfallmanagementprozesses gemäß Art. 17 DORA
  • Zentrale Koordination, Rollen und Zuständigkeiten klar definiert
  • Integration in den IKT-Risikomanagementrahmen und Reaktionsplan

2. Kontaktliste für Vorfallsbehandlung

  • Interne Schlüsselpersonen (IT, Informationssicherheit, Compliance, Krisenteam)
  • Externe Ansprechpartner: z. B. CERT, IKT-Dienstleister, Aufsichtsbehörden
  • Kontaktverzeichnis regelmäßig aktualisieren und verfügbar halten

3. Technische und organisatorische Mechanismen

  • Frühzeitige Erkennung anomaler Aktivitäten in Netzen, Systemen und Prozessen
  • Automatisierte Warnmeldungen mit Priorisierung nach Kritikalität
  • Tools zur Verhaltensanalyse und Mustererkennung bei IKT-Assets

4. Vorfallanalyse & Nachweissicherung

  • Analyse wiederkehrender Vorfälle und Bedrohungsmuster
  • Langzeitarchivierung von Vorfallsnachweisen gem. Art. 15 DVO 2024/1772
  • Manipulationssicheres Logging: Zeitstempel, Art des Vorfalls, Reaktion

5. Kriterien zur Vorfallklassifikation und -auslösung

  • Hinweise auf böswillige Aktivitäten (z. B. Malware, unautorisierter Zugriff)
  • Auswirkungen auf Datenverfügbarkeit, -integrität und -vertraulichkeit
  • Unterbrechung von Transaktionen oder IT-Diensten
  • Berücksichtigung der Kritikalität der betroffenen Services

Anforderungen an die Anomalieerkennung (Art. 23 RTS RMF)

  • Sammlung interner und externer Hinweise (z. B. Protokolle, Nutzerfeedback)
  • Integration von Drittdienstleister-Meldungen
  • Automatisierte Warnmeldesysteme mit vordefinierten Anomalie-Regeln
  • Protokollierung von Datum, Uhrzeit und Art jeder Abweichung
  • Schutz aller Protokolldaten vor Manipulation – auch während Übertragung

Prüfungsrelevanz und typische Schwachstellen

Bei DORA-Prüfungen und Audits wird besonders bewertet:

  • Vorhandensein einer dokumentierten Richtlinie zur Vorfallbehandlung
  • Automatisierte Mechanismen zur Anomalieerkennung (z. B. SIEM, IDS)
  • Ausgelöste Vorfallsreaktionen mit Protokollen, Zeitstempeln und Analysen
  • Nachweise über Ursachenanalysen bei wiederholten Vorfällen
  • Sichere, prüfungstaugliche Vorfallnachweise und Archivierungsverfahren
  • Konkrete Klassifikationskriterien und Schwellenwerte zur Auslösung