Finanzdienstleister-Lösungen
ICT-Risikomanagement nach DORA
ICT-Risikoregister, Drittanbieter-Register und Incident Reporting nach DORA für Finanzdienstleister.
Art. 5-16 im Detail: Was die BaFin prüft
Die Artikel 5 bis 16 der DORA-Verordnung bilden das Fundament des gesamten Regulierungsrahmens. Sie definieren, wie Finanzunternehmen ihre ICT-Risiken identifizieren, bewerten, steuern und überwachen müssen. Für die BaFin sind diese Artikel das primäre Prüffeld bei DORA-Untersuchungen. Die Erwartung ist klar: Nicht nur Dokumentation, sondern nachweisbare Umsetzung.
Art. 5 legt die Governance-Grundlage. Die Geschäftsleitung deines Instituts trägt die Gesamtverantwortung für den ICT-Risikomanagementrahmen. Das bedeutet nicht bloße Kenntnisnahme, sondern aktive Steuerung: Die Geschäftsleitung muss die ICT-Risikostrategie genehmigen, regelmäßig überprüfen und bei Bedarf anpassen. Sie muss sicherstellen, dass ausreichende Ressourcen (Budget, Personal, Technologie) für das ICT-Risikomanagement bereitgestellt werden. Und sie haftet persönlich, wenn diese Pflichten vernachlässigt werden.
Art. 6 konkretisiert den ICT-Risikomanagementrahmen selbst. Dein Institut muss einen dokumentierten Rahmen vorhalten, der mindestens folgende Elemente umfasst: eine ICT-Risikostrategie, einen ICT-Risikoappetit, Richtlinien zur Identifikation und Bewertung von ICT-Risiken, Verfahren zur Behandlung und Überwachung sowie klare Rollen und Verantwortlichkeiten. Die BaFin erwartet, dass dieser Rahmen nicht in einer Schublade liegt, sondern aktiv gelebt wird. Das heißt: regelmäßige Reviews, dokumentierte Änderungen und Nachweise der Umsetzung.
Art. 8 adressiert die Identifizierung und Klassifizierung von ICT-Assets. Jedes Finanzunternehmen muss ein vollständiges, aktuelles Inventar aller ICT-Assets führen. Dazu gehören Hardware, Software, Netzwerkkomponenten, Datenbanken und Cloud-Dienste. Jedes Asset muss klassifiziert sein: Wer ist der Eigentümer? Welche Geschäftsprozesse hängen davon ab? Welche Kritikalität hat es? Ohne dieses Inventar ist eine fundierte Risikoanalyse unmöglich.
Art. 9 und 10 befassen sich mit Schutz und Prävention. Dein Institut muss technische und organisatorische Maßnahmen implementieren, die dem Stand der Technik entsprechen: Patch- und Schwachstellenmanagement, Zugriffskontrolle nach dem Least-Privilege-Prinzip, Netzwerksegmentierung, Verschlüsselung sensibler Daten und physische Sicherheit für ICT-Infrastruktur. Die BaFin prüft nicht nur, ob diese Maßnahmen existieren, sondern ob sie wirksam sind und regelmäßig getestet werden.
Art. 11 verlangt Business Impact Analysen und Wiederherstellungspläne. Für jede kritische Geschäftsfunktion muss klar definiert sein: Wie lange darf sie maximal ausfallen (Recovery Time Objective)? Wie viel Datenverlust ist tolerierbar (Recovery Point Objective)? Die Wiederherstellungspläne müssen regelmäßig getestet werden, und die Ergebnisse der Tests müssen dokumentiert und an die Geschäftsleitung berichtet werden.
ICT-Risikoregister aufbauen
Das ICT-Risikoregister ist das zentrale Steuerungsinstrument für dein ICT-Risikomanagement unter DORA. Es ist mehr als eine einfache Liste von Risiken. Es ist ein strukturiertes, lebendes Dokument, das den gesamten Risikozyklus abbildet: Identifikation, Bewertung, Behandlung und Überwachung.
Struktur des Registers: Jeder Risikoeintrag sollte mindestens folgende Felder enthalten: eine eindeutige Risiko-ID, eine Beschreibung des Risikos, die betroffenen ICT-Assets und Geschäftsprozesse, die Eintrittswahrscheinlichkeit, die potenzielle Schadenshöhe, den resultierenden Risikowert, den Risikoeigentümer (mit Name und Funktion), den aktuellen Behandlungsstatus und die definierten Maßnahmen. Die BaFin erwartet, dass jedes Risiko einem konkreten Verantwortlichen zugeordnet ist, der für die Umsetzung der Maßnahmen haftet.
Risikobewertungsmethodik: DORA schreibt keine spezifische Methodik vor, aber die BaFin erwartet eine nachvollziehbare, konsistente Bewertung. Bewährt hat sich eine Kombination aus qualitativer Bewertung (Risikomatrix mit Eintrittswahrscheinlichkeit und Schadenshöhe) und quantitativer Untermauerung, wo möglich. Für kritische Risiken solltest du Szenarien durchspielen: Was passiert bei einem vollständigen Ausfall der Kernbankenanwendung für 24 Stunden? Welche finanziellen und operativen Auswirkungen hat ein Datenverlust bei einem Cloud-Provider?
Klassifizierung: Dein Register sollte Risiken mindestens in vier Kategorien einteilen: kritisch, hoch, mittel und niedrig. Kritische Risiken sind solche, die bei Eintreten die Geschäftstätigkeit deines Instituts substanziell gefährden könnten, etwa der Totalausfall des Zahlungsverkehrs oder ein großflächiger Datenverlust. Für jede Kategorie müssen klare Eskalationspfade und Behandlungsfristen definiert sein.
Pflege und Review: Das Register ist kein einmaliges Projekt. DORA verlangt regelmäßige Reviews, mindestens jährlich und zusätzlich nach wesentlichen Änderungen (neue Systeme, Auslagerungen, Sicherheitsvorfälle). Die Geschäftsleitung muss über den aktuellen Stand des Registers und die Top-Risiken informiert sein. Ein Risikoregister, das seit zwölf Monaten nicht aktualisiert wurde, ist für die BaFin ein Red Flag.
Drittanbieter-Register nach Art. 28
Art. 28 DORA verlangt von jedem Finanzunternehmen ein vollständiges Register aller ICT-Drittanbieter. Das betrifft jeden externen Dienstleister, der ICT-Dienste für dein Institut erbringt: Cloud-Provider, Rechenzentren, Softwarehersteller, Managed-Service-Provider, aber auch spezialisierte Fintech-Dienstleister und Datenlieferanten.
Das Register muss für jeden Anbieter mindestens dokumentieren: den Vertragsstatus, die erbrachten Dienste, die Kritikalität der Dienste für die Geschäftsprozesse, die Datenlokation, die Unterauftragsverhältnisse und die Exit-Strategie. Besonderes Augenmerk legt die BaFin auf Konzentrationsrisiken: Wenn ein großer Teil deiner kritischen IT-Infrastruktur bei einem einzigen Anbieter liegt (zum Beispiel AWS oder Azure), musst du dieses Risiko explizit bewerten und Mitigationsmaßnahmen definieren. Das kann Alternative-Provider-Strategien, Multi-Cloud-Ansätze oder vertraglich vereinbarte Backup-Lösungen umfassen.
Die Due-Diligence-Anforderungen für ICT-Drittanbieter sind unter DORA deutlich strenger als unter BAIT. Vor Vertragsabschluss musst du die Informationssicherheit des Anbieters bewerten, Auditrechte vertraglich vereinbaren und sicherstellen, dass der Anbieter selbst angemessene ICT-Risikomanagement-Maßnahmen implementiert hat. Für kritische oder wichtige Funktionen gelten verschärfte Anforderungen: Hier muss die BaFin vorab informiert werden, und Exit-Pläne müssen praktisch umsetzbar sein.
ICT-Risikomanagement in Echtzeit
So sieht das ICT-Risikoregister in Kopexa aus. Framework wählen, Risiken prüfen, Maßnahmen steuern.
Risikomanagement entdecken| Risiko | Schwere | Verantwortlich | Status |
|---|---|---|---|
Ausfallrisiko IT-Systeme | Hoch | IT-Leitung | In Bearbeitung |
Drittanbieter-Abhängigkeit | Mittel | Einkauf | Offen |
Cyberangriffe | Kritisch | CISO | In Bearbeitung |
Datenverlust | Niedrig | DPO | Mitigiert |
Compliance-Verstoß | Mittel | Compliance | Offen |
Incident Reporting nach Art. 17-23
Die DORA-Meldepflichten für ICT-bezogene Vorfälle sind wesentlich strukturierter als bisherige Regelungen. Art. 17 verlangt zunächst einen robusten Prozess zur Erkennung, Steuerung und Meldung von ICT-Vorfällen. Dieser Prozess muss klar definierte Rollen, Eskalationspfade und Kommunikationskanäle umfassen.
Art. 18 legt die Klassifizierungskriterien für Vorfälle fest. Ein ICT-Vorfall wird als schwerwiegend eingestuft, wenn er bestimmte Schwellenwerte überschreitet: Dauer des Ausfalls, Anzahl betroffener Kunden, Höhe des finanziellen Schadens, Datenverlust oder Auswirkungen auf kritische Dienste. Die konkreten Schwellenwerte sind in den RTS/ITS definiert.
Die Meldefristen sind gestaffelt. Innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend muss eine Erstmeldung an die BaFin erfolgen. Innerhalb von 72 Stunden folgt ein detaillierter Zwischenbericht mit Ursachenanalyse und ergriffenen Maßnahmen. Der Abschlussbericht ist innerhalb eines Monats nach dem Vorfall fällig und muss die Ursachen, die Auswirkungen und die Lehren aus dem Vorfall umfassend dokumentieren. Dein Institut muss die technische Infrastruktur vorhalten, um diese Berichte fristgerecht und in den von der BaFin geforderten Formaten zu übermitteln.
Wie Kopexa hilft
Die Anforderungen von DORA Art. 5-16 sind komplex, aber mit der richtigen Tool-Unterstützung beherrschbar. Kopexa bietet dir die Werkzeuge, die du brauchst, um die DORA-Anforderungen strukturiert umzusetzen:
- ICT-Risikoregister: Baue dein Risikoregister direkt in Kopexa auf, mit vorkonfigurierten Feldern, die den DORA-Anforderungen entsprechen. Risikoeigentümer, Maßnahmen-Tracking und Review-Zyklen sind integriert.
- Drittanbieter-Übersicht: Verwalte dein ICT-Drittanbieter-Register mit Kopexa. Erfasse Verträge, Kritikalität, Datenlokation und Konzentrationsrisiken an einem zentralen Ort.
- Policy-Management: Erstelle, versioniere und verteile Richtlinien mit integrierten Freigabe-Workflows. Kopexa trackt, wer welche Policy gelesen und bestätigt hat.
- Evidence Collection: Sammle Nachweise für die BaFin-Prüfung zentral. Jeder Nachweis ist mit dem zugehörigen DORA-Artikel verknüpft und exportierbar.
Mit Kopexa reduzierst du den Aufwand für DORA-Compliance um 40 bis 60 % im Vergleich zu manuellen Prozessen. Statt Excel-Listen und E-Mail-Ketten arbeitest du mit einer integrierten Plattform, die den gesamten Compliance-Lifecycle abbildet.
Nächste Schritte
Du möchtest tiefer in verwandte Themen einsteigen? Hier findest du weiterführende Inhalte:
- Risikomanagement in Kopexa mit ICT-Risikoregister, Maßnahmen-Tracking und Dashboard-Übersichten
- DORA für Banken und Finanzdienstleister mit dem vollständigen Überblick über alle 5 Säulen und Sanktionen
- BaFin-Readiness mit Kopexa mit TLPT-Anforderungen, Resilienztests und Export-Formaten für BaFin-Meldungen
- DORA-Katalog mit dem vollständigen Anforderungskatalog und Umsetzungsleitfäden
Lass uns gemeinsam prüfen, wo du stehst
Kostenlos & unverbindlich