Dienstag, 17. Dezember 2024

Notfallmanagement neu gedacht: Anforderungen aus DORA für die Revision

DORA ersetzt BAIT und fordert Banken heraus: erweiterte Anforderun-gen, stärkere Prüfungen, mehr Resilienz

Björn Seebach, Fachbereichsleiter Banksteuerung, IT & Stäbe, FCH AG

Managementrahmen für das Notfallmanagement

DORA fordert die Einführung eines umfassenden Managementrahmens für das Notfallmanagement, der strategische und operative Aspekte vereint. Neben der Definition von Zielen und Rahmenbedingungen werden Banken angehalten, risikoorientierte Notfallszenarien zu identifizieren und jährliche Aktualisierungen sowie Tests des Notfallmanagements vorzunehmen. Quartalsweise Berichte an die Geschäftsleitung über den Zustand des Notfallmanagements werden ebenfalls erwartet.

Analyse von Auswirkungen und Risiken

Die Identifikation kritischer Geschäftsprozesse basiert auf einer Business-Impact-Analyse (BIA), ergänzt durch eine Risikoanalyse. In der BIA werden potenzielle Auswirkungen von Unterbrechungen bewertet, einschließlich finanzieller, operativer und reputationsbezogener Schäden.

Die Risikoanalyse erweitert diese Perspektive durch die Bewertung von Eintrittswahrscheinlichkeiten und Schadensausmaß. Zeitkritische Prozesse sind dabei solche, deren Unterbrechung innerhalb eines definierten Zeitraums zu einem nicht mehr tragbaren Schaden führt.

Notfallszenarien und Verzahnung

DORA betont die Integration unterschiedlicher Szenarien, darunter der Ausfall von Standorten, IT-Systemen, Kommunikationsinfrastrukturen oder Dienstleistern. Zusätzlich verlangt die Verordnung eine stärkere Vernetzung des Notfallmanagements mit IT-Betrieb, Gebäudemanagement und Auslagerungssteuerung. Ziel ist nicht nur die Reaktion auf Notfälle, sondern auch präventive Maßnahmen zur Schadensminimierung.

Anforderungen an Notfallpläne

Für zeitkritische Geschäftsprozesse und unterstützende IT-Systeme verlangt DORA detaillierte Notfallpläne. Diese umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne. Zudem müssen Parameter wie die Recovery Time Objective (RTO) und die Recovery Point Objective (RPO) berücksichtigt werden. Die Pläne sollten Abhängigkeiten zwischen Prozessen, IT-Systemen und externen Dienstleistern explizit dokumentieren.

Notfalltests und Übungen

Regelmäßige Übungen und Tests sind ein zentraler Bestandteil der DORA-Anforderungen. Mindestens jährlich müssen alle relevanten Szenarien überprüft werden. IT-Systeme, die kritische Geschäftsprozesse unterstützen, sind in die Tests vollständig einzubeziehen. Ergebnisse aus den Übungen sollen dokumentiert, analysiert und in Anpassungen des Notfallmanagements einfließen.

Praxistipps
  • Datenquellen nutzen: Greifen Sie auf vorhandene Daten aus dem Informationsrisikomanagement (z. B. Schutzbedarfsanalysen) und der Auslagerungssteuerung (z. B. Notfallkonzepte der Dienstleister) zurück, um die Anforderungen effizient umzusetzen.
  • Analyse und Dokumentation: Führen Sie nachvollziehbare Auswirkungs- und Risikoanalysen durch und entwickeln Sie risikoorientierte Notfallpläne für relevante Szenarien.
  • Flexibilität bei Übungen: Obwohl jährliche Übungen verpflichtend sind, kann die Intensität je nach Risikogehalt variieren. Dies ermöglicht eine ressourcenschonende Umsetzung.
  • Berichterstattung sicherstellen: Sorgen Sie für eine regelmäßige, quartalsweise Information der Geschäftsleitung über den Status des Notfallmanagements.

Die Umsetzung der DORA-Vorgaben bietet der Internen Revision eine hervorragende Gelegenheit, ihre Prüfmethoden weiterzuentwickeln und einen wichtigen Beitrag zur operativen Resilienz der Bank zu leisten.


Beitragsnummer: 22832

Beitrag teilen:

Produkte zum Thema:

Produkticon
Bearbeitungs- und Prüfungsleitfaden: Neue MaRisk, 6. Auflage

99,00 € inkl. 7 %

Produkticon
Zertifizierter BCM - Notfallmanager in der Kreditwirtschaft (FCH)

2.016,00 € exkl. 19 %

18.02.2025 - 21.02.2025

Produkticon
Zertifizierter Auslagerungsbeauftragter (FCH)

2.116,00 € exkl. 19 %

24.03.2025 - 27.03.2025

Beiträge zum Thema:

Beitragsicon
Die Bank als Hauptangriffsziel von Cyberkriminellen

Die Angriffsvektoren, die Cyberkriminelle vor allem im Hinblick auf Banken nutzen, sind vielfältig - Ein Überblick

20.03.2024

Beitragsicon
Schrittweise Aufhebung der BAIT beschlossen

Aufhebung der Rundschreiben zu BAIT erfolgt in zwei Schritten

22.01.2025

Beitragsicon
Quereinsteiger – Lösung für den Fachkräftemangel der Banken?

Quereinsteiger - ein Lösungsansatz für den Fachkräftemangel in der Kreditwirtschaft?

03.02.2025

Beitragsicon
DORA-Herausforderung für Auslagerungen und die digitale Transformation

Der Artikel analysiert, wie DORA neue Anforderungen an das Outsourcing und die IT-Sicherheit im Finanzsektor stellt, um die digitale Resilienz der Institute z

09.12.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.