Nach dem Inkrafttreten von DORA im Januar 2025 zeichnet sich nach Berichten der Bafin im Fachgremium IKT eine erste Prüfpraxis in den folgenden Prüffeldern ab:
- Governance und Organisation,
- IKT-Risikomanagementrahmen,
- IKT-Drittparteienrisikomanagement,
- Schutz und Prävention,
- Identitätsmanagement und Zugangskontrolle
- Erkennung,
- IKT-Projekte und Anwendungsentwicklung (inkl. IDV) sowie
- IKT-Geschäftsfortführungsmanagement.
Drei Schwerpunktfelder zeigen nach Prüfung der Bafin bisher höhere Feststellungen. Zuvörderst betrifft dies den IKT-Risikomanagementrahmen. Hier wurden insbesondere die kritischen oder wichtigen Funktionen nicht immer vollständig identifiziert und vor dem Hintergrund die IKT-Sicherheitsmaßnahmen nicht ausreichend risikoorientiert abgeleitet. Auch die mangelnde Unabhängigkeit der DOR-Funktion wurde festgestellt.
Im Bereich Erkennung zeigte sich in Prüfungen, dass IKT-Systeme, die kritische oder wichtige Funktionen unterstützen, nicht vollständig an das SIEM angebunden sind. Ferner wurden Detektionsszenarien nicht systematisch entwickelt und getestet. Eine Methodik zur Abdeckung fehlte in einigen Fällen. Gerade die Alarmbearbeitung außerhalb der Geschäftszeiten und zeitnahe Eskalation sei nicht sichergestellt.
Im Bereich des IKT-Geschäftsfortführungsmanagement seien nicht für alle Business Impact Analysen durchgeführt und dokumentiert worden. Die Geschäftsfortführungs- und Wiederherstellungspläne seien in einigen Fällen lückenhaft und veraltet. Es wurde moniert, das Tests und Übungen nicht realitätsnah seien.
In den VÖB-Gremien haben bislang geprüfte Mitgliedsinstitute ihre Prüfungsergebnisse geteilt. Wir entwickeln die Prüfungspraxis weiter, sammeln Auffälligkeiten systematisch und adressieren diese gegenüber der Bafin bzw. im Rahmen der DORA-Review.