Contents
Validierungsmethoden (Art. 24 Abs. 5 DORA)
Artikel 24 Absatz 5 der Verordnung (EU) 2022/2554 (DORA) verpflichtet Finanzunternehmen, interne Validierungsmethoden zu definieren, um die Wirksamkeit der Maßnahmen zur Behebung identifizierter Schwächen aus digitalen Resilienztests sicherzustellen.
| Vorschrift | Inhalt |
|---|---|
| Art. 24 Abs. 5 DORA | Pflicht zur Festlegung interner Validierungsmethoden nach Durchführung von IKT-Resilienztests |
Ziel der Validierungsmethoden
Validierungsmethoden dienen dazu, nachweislich sicherzustellen, dass erkannte Schwächen aus Tests (z. B. Penetrationstests, TLPT, Recovery-Tests) wirksam und vollständig beseitigt wurden.
Anforderungen an die Validierungsmethoden
| Anforderung | Inhalt |
|---|---|
| Intern | Die Validierung erfolgt durch Personen oder Einheiten mit hinreichender Unabhängigkeit vom Testdurchführenden |
| Dokumentiert | Vorgehen, Bewertungskriterien, Ergebnisse und Freigabeprozesse müssen schriftlich festgehalten werden |
| Wirksamkeitsnachweis | Es muss objektiv belegt werden, dass das identifizierte Problem vollständig gelöst wurde |
| Verzahnt mit Risikomanagement | Die Validierung fließt zurück in die Risiko- und Schwachstellenbewertung nach Art. 6 DORA |
Beispiele für geeignete Validierungsmethoden
| Methode | Beschreibung |
|---|---|
| Re-Test / Re-Scan | Wiederholte Durchführung desselben Tests zur Bestätigung der Schwachstellenbehebung |
| Technischer Review | Überprüfung durch Second Line oder unabhängige Dritte |
| Dokumentenprüfung | Vergleich von Vorher-/Nachher-Konfigurationen, Change Requests und Systemprotokollen |
| Funktionstests | Validierung, dass kritische Prozesse nach Maßnahmen technisch und funktional abgesichert sind |
Best Practices für Unternehmen
- Etabliere ein internes Freigabeverfahren für alle abgeschlossenen Behebungsmaßnahmen
- Integriere die Validierung in ein zentrales Schwachstellen- und Maßnahmenregister
- Ziehe – bei kritischen Schwächen – die Interne Revision oder Dritte hinzu
- Dokumentiere vollständig: Testergebnis → Maßnahme → Validierung → Lessons Learned
Verbindung zu anderen DORA-Pflichten
Die Validierungsmethoden nach Art. 24 Abs. 5 DORA stehen in direkter Verbindung zu:
- Art. 25 DORA: Testdurchführung und Berichterstattung
- Art. 10 DORA i.V.m. Art. 23 RTS RMF: Erkennung von Schwächen
- Art. 6 DORA: IKT-Risikomanagementrahmen und Maßnahmenintegration