Neue DORA- und Aufsichts-Anforderungen an (IKT-)Notfallmanagement & BCM

• Erweiterte DORA-/MaRisk-Anforderungen an das (IKT-)Notfallmanagement und die (IT-)Notfallkonzepte
• Häufig identifizierte Schwachstellen und Prozess-Schwächen
• Neue Pflichten der Mitglieder des Notfall-/Krisen-Managements
• DORA-konforme Aufbau- und Ablauforganisation des BCM / ITSCM
• Risikoorientierte Einbindung von IKT-Drittdienstleistern
• Prüfung, Begleitung und Auswertung (Maßnahmen!) von Notfallübungen und Notfallsimulationen in der Praxis

Die neuen DORA-Vorgaben in Verbindung mit den MaRisk fordern eine deutliche Verbesserung des IKT-Notfallmanagements und der IT-Notfallkonzepte sowie des Business Continuity Managements (BCM) und des IT Service Continuity Management (ITSCM) der Institute und Dienstleister(!), um gravierende Risiken und Bedrohungen frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren.

Zunehmend schwerwiegendere Feststellungen in den Bereichen Auslagerungsmanagement und Notfallmanagement sowie eine starke Zunahme der Cyber-Risiken haben zu deutlich erweiterten Anforderungen der Aufsicht geführt.

Verantwortlichkeiten der Notfallbeauftragten und des Krisenstabs sowie Maßnahmen und Vorgehensweisen im Notfall müssen genauer festgelegt, dokumentiert und ggü. den Mitarbeitenden kommuniziert werden. Zudem erwartet die Aufsicht regelmäßigere (GESAMT-)Notfalltests und die Einbindung der Dienstleister in Notfallübungen und Notfallkonzepte.

Das BCM muss daher so aufgesetzt sein, dass die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse ständig verbessert wird, auf Schadensereignisse angemessen reagiert werden kann (SIEM) und die Geschäftstätigkeiten nach einem Notfall so schnell wie möglich wieder aufgenommen werden können.