Contents
Verfahren zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme (Art. 24 Abs. 5 DORA)
Im Rahmen von Artikel 24 Absatz 5 der DORA-Verordnung müssen Finanzunternehmen (außer Kleinstunternehmen) ein strukturiertes Verfahren etablieren, um alle bei digitalen Resilienztests aufgedeckten Schwächen systematisch zu priorisieren, zu klassifizieren, zu beheben und intern zu validieren.
| Vorschrift | Inhalt |
|---|---|
| Art. 24 Abs. 5 DORA | Verpflichtung zur Schwachstellenbehandlung inkl. Klassifikation, Priorisierung, Behebung und Validierung nach Resilienztests |
Ziel der Vorschrift
Sicherstellen, dass Schwachstellen aus digitalen Resilienztests – insbesondere technischen Tests wie TLPTs – nicht nur erkannt, sondern wirksam behoben und nachverfolgt werden. Nur so kann gewährleistet werden, dass IKT-Risiken dauerhaft reduziert werden.
Kernelemente der Pflicht
| Maßnahme | Erläuterung |
|---|---|
| Priorisierung | Bewertung der gefundenen Schwächen nach Kritikalität, z. B. basierend auf Auswirkungen auf kritische Funktionen |
| Klassifizierung | Einordnung der Art der Schwäche (z. B. Konfigurationsfehler, Schwachstelle, organisatorisches Versäumnis) |
| Behebung | Definition und Durchführung technischer oder organisatorischer Maßnahmen zur Risikominderung |
| Validierung | Interne Überprüfung, ob die Behebung wirksam war (z. B. durch Re-Testing, Peer Review, Audit) |
Anforderungen an das Verfahren
Das Verfahren muss:
- dokumentiert, geprüft und regelmäßig aktualisiert werden,
- alle Phasen der Schwachstellenbehandlung abdecken (von der Entdeckung bis zur Wirksamkeitsprüfung),
- mit dem IKT-Risikomanagementprozess nach Art. 6 DORA verzahnt sein,
- die Zuständigkeiten und Eskalationsstufen klar definieren.
Best Practices für Finanzunternehmen
| Maßnahme | Umsetzung |
|---|---|
| Standardisierte Ticketsysteme | Zur Nachverfolgung jeder gefundenen Schwäche inkl. Status, Fristen, Verantwortlichen |
| Risikobasierte Schwellenwerte | Z. B. CVSS > 7 → Sofortmaßnahme |
| Berichtsstruktur für das Leitungsorgan | Monatliches Reporting über offene Schwächen und ihre Behandlung |
| Validierungsmethoden | Technische Tests (z. B. Re-Scan), Reviews oder unabhängige Kontrollinstanzen |
Einbindung in das DORA-Compliance-Framework
Das Verfahren ist Teil der übergreifenden Anforderungen an das digitale Resilienztestprogramm nach Art. 24 und ergänzt:
- Art. 23 DORA: Teststrategie und -planung
- Art. 25 DORA: Testdurchführung und Lessons Learned
- Art. 26 DORA: Bedrohungsbasierte Tests (TLPT)