Contents
Verfahren für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen (Art. 16 Abs. 2 RTS RMF)
Nach Art. 16 Abs. 2 RTS RMF sind Finanzunternehmen verpflichtet, ein vollständiges Verfahren für die Beschaffung, Entwicklung und Wartung von IKT-Systemen zu etablieren. Dieses Verfahren muss insbesondere sicherstellen:
- dass alle Systeme vor Einsatz und nach Wartung getestet und genehmigt werden,
- dass der Testumfang risikobasiert an der Kritikalität des jeweiligen IKT-Systems ausgerichtet ist,
- dass die Tests auch die Qualität intern entwickelter Software prüfen,
- dass interessierte externe Parteien bei bestimmten Systemen (z. B. CCPs und CSDs) einbezogen werden.
Anforderungen im Überblick
| Pflichtfeld | Erläuterung |
|---|---|
| Testpflicht vor Einsatz | Vor Nutzung neuer oder gewarteter Systeme muss ein dokumentierter Genehmigungsprozess durchlaufen werden |
| Testumfang nach Kritikalität | Umfang, Tiefe und Art der Tests richten sich nach der Funktion (z. B. kritisch/wichtig) |
| Software-Qualität | Auch selbst entwickelte Software muss einem strukturierten Qualitätstest unterzogen werden |
| Einbindung externer Parteien | Für CCPs/CSDs: Einbindung von Clearingmitgliedern, Nutzern, kritischen Dritten und interoperablen Gegenparteien |
Dokumentationspflichten und Beispiel-Dokumente
| Bereich | Beispiel-Dokumente |
|---|---|
| Entwicklung | Entwicklungsrichtlinie, Coding Guidelines, Change Requests |
| Test | Teststrategie, Testplan, Testprotokolle (Unit, Integration, UAT) |
| Freigabe | Freigabeprotokoll, Risikofreigabe, Betriebsübergabeprotokoll |
| Wartung | Patchplan, Wartungshistorie, Regressionstests |
Relevanz für kritische Marktinfrastrukturen
Zentrale Gegenparteien (CCPs) und Zentralverwahrer (CSDs) unterliegen einer erweiterten Pflicht zur Integration externer Stakeholder in das Testverfahren:
- CCPs: Einbindung von Clearingmitgliedern, interoperablen CCPs, Kunden
- CSDs: Einbindung von Nutzern, kritischen Versorgungsbetrieben, anderen CSDs, Marktinfrastrukturen
Diese Verpflichtung folgt dem Prinzip der wechselseitigen Abhängigkeiten und ist im Sinne der operationellen Resilienz strategisch bedeutsam.