Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat im Rahmen der Einführung des Digital Operational Resilience Act (DORA) neue, strengere Vorgaben für den IT-Betrieb im Finanzmarkt veröffentlicht. Diese sind in der Aufsichtsmitteilung „Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement“ festgehalten.
Die neuen DORA-Richtlinien gehen über die bisherigen BAIT-, KAIT- und VAIT-Richtlinien hinaus und zielen darauf ab, die digitale Resilienz der Finanzinstitute zu stärken. Im Hinblick auf die Umsetzung von DORA im ITK-Risikomanagement und ITK-Drittparteienrisikomanagement sind hier die wichtigsten Änderungen und Anforderungen im Überblick:
1. Erhöhte Bedeutung des IT-Betriebs
Der IT-Betrieb rückt stärker in den Fokus und wird als zentrale Komponente zur Stärkung der digitalen Resilienz betrachtet. Finanzinstitute müssen sicherstellen, dass ihre IT-Infrastrukturen und damit deren Anbieter/Dienstleister robust und widerstandsfähig gegenüber digitalen Bedrohungen sind.
2. Strengere Anforderungen an IKT-Systeme
Die neuen Vorgaben verlangen, dass Informations- und Kommunikationstechnologie (IKT)-Systeme stets aktuell, zuverlässig und technologisch resilient sind. Dies bedeutet, dass Finanzinstitute kontinuierlich in die Modernisierung und Wartung ihrer Systeme investieren müssen.
3. Engere Verzahnung mit Geschäftsfunktionen
Die Übersicht und Verwaltung der IKT-Systeme wird enger mit den Geschäftsfunktionen verknüpft. Dies soll sicherstellen, dass IT- und Geschäftsprozesse nahtlos ineinandergreifen und somit die betriebliche Effizienz und Resilienz erhöhen.
4. Umfassende Inventarisierung
IKT-Systeme, die darin enthaltenen Informationen und deren Wechselwirkungen müssen gemeinsam identifiziert, klassifiziert und inventarisiert werden. Diese umfassende Inventarisierung hilft dabei, potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben.
5. Erweiterte Anforderungen im Änderungsmanagement
Änderungen an den IKT-Systemen müssen nun noch strenger im Rahmen des Änderungsmanagements berücksichtigt werden. Dies bedeutet, dass jede Änderung sorgfältig geplant, dokumentiert und überwacht werden muss, um die Integrität und Sicherheit der Systeme zu gewährleisten.
6. Verbesserte Datenwiederherstellung
Die Sicherung und Wiederherstellung von Daten wird durch zusätzliche Anforderungen ergänzt. Dazu gehören die Nutzung getrennter Systeme für Backups und Mehrfachprüfungen nach einer Wiederherstellung, um die Datenintegrität sicherzustellen.
Fazit
Die neuen Vorgaben der BaFin im Rahmen von DORA stellen eine bedeutende Verschärfung der bisherigen Richtlinien dar. Sie zielen darauf ab, die IT-Systeme im Finanzmarkt widerstandsfähiger gegenüber digitalen Bedrohungen zu machen und die betriebliche Resilienz zu erhöhen. IT-Entscheider in Finanzinstituten sollten diese Änderungen genau im Blick behalten und entsprechende Maßnahmen ergreifen, um den neuen Anforderungen gerecht zu werden.
Wir sind DORA-ready
Wir von oraïse helfen Ihnen, die Erfüllung mit diesen Notwendigkeiten fest in Ihren Firmenstrukturen zu verankern. Mit unserer langjährigen Erfahrung mit regulatorischen Anforderungen, die an den Betrieb von Infrastruktur und Applikationen in der Finanzmarkt-IT gestellt werden, unterstützen wir sowohl Finanz- als auch IKT-Dienstleister beim regulatorisch konformen Betrieb und der technischen Umsetzung von Compliance und Regulatorik.
oraïse erfüllt strenge Sicherheitsstandards – darunter Risikobewertungen, Sicherheitsrichtlinien und kontinuierliche Überwachung – um sicherzustellen, dass alle Daten geschützt sind. Im Rahmen des Business Continuity Management Systems (BCMS) stellen wir die Kontinuität des Geschäftsbetriebs in Krisen- und Notfallsituationen sicher. Zudem liefern wir eine ganzheitliche Betrachtung von Risiken auf allen Unternehmensebenen. Wenn in 2025 DORA rechtskräftig wird, sind unsere Kunden bestens gerüstet.
Haben Sie Fragen rund um DORA? Wir stehen Ihnen mit Rat und Tat zur Seite.