Contents
Verfahren für das IKT-Änderungsmanagement (Art. 17 RTS RMF; Art. 9 Abs. 4 lit. e DORA)
Änderungen an IKT-Systemen sind ein Risikofaktor – egal ob geplant oder im Notfall. Darum schreiben Art. 17 RTS RMF und Art. 9 Abs. 4 lit. e DORA ein vollständiges Änderungsmanagementverfahren vor. Dieses muss sicherstellen:
- dass alle Änderungen kontrolliert und risikobasiert erfolgen,
- dass Änderungen getestet, dokumentiert und genehmigt werden,
- dass Notfalländerungen gesondert erfasst und nachträglich bewertet werden,
- dass Testverantwortung und Änderungsumsetzung personell getrennt sind.
Inhaltliche Pflichtbausteine des Änderungsmanagements
| Anforderung | Pflichtinhalt laut DORA |
|---|---|
| Sicherheitsprüfung | Vor jeder Änderung ist zu prüfen, ob alle Sicherheitsanforderungen erfüllt bleiben |
| Funktionskontrolle | Trennung von Beantragung, Umsetzung und Genehmigung von Änderungen |
| Dokumentation | Umfang, Zeitplan, Ziel, Auswirkungen und Übergangsmaßnahmen jeder Änderung |
| Notfallmanagement | Verfahren für ungeplante Änderungen inkl. nachträglicher Bewertung und Patches |
| Auswirkungsanalyse | Prüfung, ob zusätzliche Sicherheitsmaßnahmen notwendig werden |
| Simulationstests | Bei CCPs und CSDs: Stresstests vor Umsetzung signifikanter Änderungen |
Erweiterte Anforderungen für zentrale Gegenparteien und Zentralverwahrer
Besonders regulierte Infrastrukturen wie CCPs und CSDs müssen bei erheblichen Änderungen weitere Stakeholder einbinden – z. B.:
- Clearingmitglieder, Kunden, interoperable CCPs
- Nutzer, kritische Drittdienstleister, andere Marktinfrastrukturen
Diese Pflicht ergibt sich aus den wechselseitigen Abhängigkeiten der Marktinfrastruktur und muss dokumentiert nachgewiesen werden.
Umsetzung in der Praxis
| Phase | Umsetzung |
|---|---|
| Antragstellung | Änderungsbeschreibung inkl. Risikoanalyse und geplanten Maßnahmen |
| Genehmigung | Formelle Freigabe durch Sicherheitsverantwortliche |
| Test | Funktionstest, Regressionstest, ggf. Simulation mit externen Stakeholdern |
| Produktivnahme | Gesteuerte Umsetzung mit Rückfallplan |
| Dokumentation | Vollständige Änderungsakte inkl. Lessons Learned bei Notfällen |