Contents
Verfahren für die Datensicherung (Backup) (Art. 12 Abs. 1 lit. a und Abs. 2 DORA)
Finanzunternehmen müssen gemäß Artikel 12 DORA Teil eines wirksamen IKT-Risikomanagementrahmens sicherstellen, dass bei Ausfällen oder Cyberangriffen:
- wichtige Daten wiederhergestellt werden können,
- Ausfallzeiten und Verluste minimiert bleiben,
- und dabei Integrität, Authentizität, Vertraulichkeit und Verfügbarkeit der Daten gewahrt werden.
1. Backup-Richtlinie und Verfahren (Art. 12 Abs. 1 lit. a DORA)
Die Backup-Verfahren müssen:
| Pflichtinhalt | Beschreibung |
|---|---|
| Backup-Umfang | Festlegung, welche Daten regelmäßig gesichert werden müssen (z. B. kritische Kundendaten, Transaktionsprotokolle) |
| Backup-Frequenz | Definition der Mindesthäufigkeit, abgestimmt auf die Kritikalität und den Vertraulichkeitsgrad der jeweiligen Informationen |
| Dokumentation | Die Verfahren müssen schriftlich dokumentiert, implementiert und regelmäßig überprüft werden. |
2. Wiedergewinnung und Wiederherstellung (Art. 12 Abs. 1 lit. b DORA)
Neben Backups müssen geeignete Verfahren und Methoden entwickelt und dokumentiert werden, um:
- Systeme nach Störungen wiederherzustellen
- Daten vollständig und sicher zurückzuspielen
- einen möglichst unterbrechungsfreien Weiterbetrieb zu ermöglichen
Dabei muss der Prozess auch technische Recovery-Tests und Fallback-Szenarien einschließen.
3. Technische Umsetzung und Tests (Art. 12 Abs. 2 DORA)
| Anforderung | Umsetzung |
|---|---|
| Systemeinsatz | Finanzunternehmen müssen ein oder mehrere Backup-Systeme betreiben, die sich regelkonform aktivieren lassen, ohne Sicherheit oder Verfügbarkeit zu gefährden |
| Testpflicht | Regelmäßige Tests der Backup- und Wiederherstellungssysteme sind vorgeschrieben – inkl. Prüfung auf: Datenintegrität, Wiederanlaufzeit (RTO), Wiederherstellungspunkt (RPO) |
| Datensicherheit | Aktivierung darf keine negativen Auswirkungen auf Netzwerk- oder Informationssicherheit haben |