Verfahren für das IKT-Risikomanagement

Contents

Verfahren für das IKT-Risikomanagement (Art. 3 RTS RMF)
Inhaltliche Anforderungen laut Art. 3 RTS RMF
Prüfungsrelevanz

Verfahren für das IKT-Risikomanagement (Art. 3 RTS RMF)

Ein zentrales Element der Digital Operational Resilience nach DORA ist ein fundiertes Verfahren für das IKT-Risikomanagement. Gemäß Art. 3 der RTS RMF müssen Finanzunternehmen ein vollständiges, dokumentiertes System zur Risikoerkennung, Risikobewertung und Risikosteuerung aufbauen – einschließlich eines Nachweises über eingegangene Restrisiken und der Überprüfung der Risikotoleranz.

Inhaltliche Anforderungen laut Art. 3 RTS RMF

1. Bezug zur Risikotoleranzschwelle (Art. 3 lit. a)

Verweis auf die vom Leitungsorgan genehmigte Risikotoleranz für IKT-Risiken gemäß Art. 6 Abs. 8 lit. b DORA
Dokumentation der Schwelle, ab der Maßnahmen verpflichtend sind

2. Risikobewertungsverfahren (Art. 3 lit. b)

Standardisierte Methodik zur Identifikation von Schwachstellen und Bedrohungen
Messung von Eintrittswahrscheinlichkeit und Schadensausmaß (qualitativ/quantitativ)
Erfassung der betroffenen Unternehmensfunktionen, Systeme und Assets

3. Behandlung identifizierter IKT-Risiken (Art. 3 lit. c)

Maßnahmen zur Reduktion auf oder unterhalb der Risikotoleranz
Dokumentation der umgesetzten Sicherheitsmaßnahmen
Kontinuierliche Bewertung der Wirksamkeit

4. Verfahren für IKT-Restrisiken (Art. 3 lit. d)

Inventar aller bewusst eingegangenen Restrisiken mit Begründung
Zuweisung von Zuständigkeiten für Entscheidung und Überprüfung
Mindestens jährliche Neubewertung der Gültigkeit von Restrisikobegründungen
Prüfung verfügbarer Alternativen zur Risikominderung

5. Laufende Überwachung (Art. 3 lit. e)

Kontinuierliche Analyse der Risikolage, Bedrohungslandschaft und Schwachstellen
Frühzeitige Erkennung von Veränderungen im IKT-Risikoprofil
Integration externer Erkenntnisse (z. B. CERT, ISAC, Cyber-Bulletins)

6. Strategische Kohärenz (Art. 3 lit. f)

Sicherstellung der Konsistenz mit der Geschäftsstrategie
Abgleich mit der übergeordneten Strategie für digitale operationale Resilienz
Berücksichtigung geplanter Änderungen (Fusionen, Cloud-Transformation etc.)

Prüfungsrelevanz

Eine schlüssige Verfahrensbeschreibung für das IKT-Risikomanagement wird von Aufsicht und Revision erwartet. Insbesondere müssen folgende Punkte nachweisbar sein:

Abgestimmte Verfahren mit dem Risikotoleranzrahmen
Vollständige Risiko- und Bedrohungsanalyse (auch für Lieferketten und Alt-Systeme)
Detailliertes Inventar der Restrisiken inkl. Begründung und Reviewzyklen
Protokolle über die risikobasierte Entscheidungsfindung
Konsistenz mit Asset-Inventaren, BIA und Resilienztests