Björn Seebach, Fachbereichsleiter Banksteuerung, IT & Stäbe, FCH AG
Managementrahmen für das Notfallmanagement
DORA fordert die Einführung eines umfassenden Managementrahmens für das Notfallmanagement, der strategische und operative Aspekte vereint. Neben der Definition von Zielen und Rahmenbedingungen werden Banken angehalten, risikoorientierte Notfallszenarien zu identifizieren und jährliche Aktualisierungen sowie Tests des Notfallmanagements vorzunehmen. Quartalsweise Berichte an die Geschäftsleitung über den Zustand des Notfallmanagements werden ebenfalls erwartet.
Analyse von Auswirkungen und Risiken
Die Identifikation kritischer Geschäftsprozesse basiert auf einer Business-Impact-Analyse (BIA), ergänzt durch eine Risikoanalyse. In der BIA werden potenzielle Auswirkungen von Unterbrechungen bewertet, einschließlich finanzieller, operativer und reputationsbezogener Schäden.
Die Risikoanalyse erweitert diese Perspektive durch die Bewertung von Eintrittswahrscheinlichkeiten und Schadensausmaß. Zeitkritische Prozesse sind dabei solche, deren Unterbrechung innerhalb eines definierten Zeitraums zu einem nicht mehr tragbaren Schaden führt.
Notfallszenarien und Verzahnung
DORA betont die Integration unterschiedlicher Szenarien, darunter der Ausfall von Standorten, IT-Systemen, Kommunikationsinfrastrukturen oder Dienstleistern. Zusätzlich verlangt die Verordnung eine stärkere Vernetzung des Notfallmanagements mit IT-Betrieb, Gebäudemanagement und Auslagerungssteuerung. Ziel ist nicht nur die Reaktion auf Notfälle, sondern auch präventive Maßnahmen zur Schadensminimierung.
Anforderungen an Notfallpläne
Für zeitkritische Geschäftsprozesse und unterstützende IT-Systeme verlangt DORA detaillierte Notfallpläne. Diese umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne. Zudem müssen Parameter wie die Recovery Time Objective (RTO) und die Recovery Point Objective (RPO) berücksichtigt werden. Die Pläne sollten Abhängigkeiten zwischen Prozessen, IT-Systemen und externen Dienstleistern explizit dokumentieren.
Notfalltests und Übungen
Regelmäßige Übungen und Tests sind ein zentraler Bestandteil der DORA-Anforderungen. Mindestens jährlich müssen alle relevanten Szenarien überprüft werden. IT-Systeme, die kritische Geschäftsprozesse unterstützen, sind in die Tests vollständig einzubeziehen. Ergebnisse aus den Übungen sollen dokumentiert, analysiert und in Anpassungen des Notfallmanagements einfließen.
Praxistipps
- Datenquellen nutzen: Greifen Sie auf vorhandene Daten aus dem Informationsrisikomanagement (z. B. Schutzbedarfsanalysen) und der Auslagerungssteuerung (z. B. Notfallkonzepte der Dienstleister) zurück, um die Anforderungen effizient umzusetzen.
- Analyse und Dokumentation: Führen Sie nachvollziehbare Auswirkungs- und Risikoanalysen durch und entwickeln Sie risikoorientierte Notfallpläne für relevante Szenarien.
- Flexibilität bei Übungen: Obwohl jährliche Übungen verpflichtend sind, kann die Intensität je nach Risikogehalt variieren. Dies ermöglicht eine ressourcenschonende Umsetzung.
- Berichterstattung sicherstellen: Sorgen Sie für eine regelmäßige, quartalsweise Information der Geschäftsleitung über den Status des Notfallmanagements.
Die Umsetzung der DORA-Vorgaben bietet der Internen Revision eine hervorragende Gelegenheit, ihre Prüfmethoden weiterzuentwickeln und einen wichtigen Beitrag zur operativen Resilienz der Bank zu leisten.
Beitragsnummer: 22832