Aktualisiert 15/01/2025
In Kraft

Ursprungsrechtsakt
Änderungen
Aufsichtsmitteilung zur Umsetzung von DORA
Aktualisiert: 19/09/2024
Veröffentlicht: 08/07/2024
Art. 8
Suche im Rechtsakt
DORA ToolDelegierte Verordnung 2024/1774
Artikel 8

Artikel 8 - Richtlinien und Verfahren für IKT-Vorgänge

Artikel 8

Richtlinien und Verfahren für IKT-Vorgänge

(1)   Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Richtlinien und Verfahren für das Management der IKT-Vorgänge. In diesen Richtlinien und Verfahren wird festgelegt, wie Finanzunternehmen ihre IKT-Assets betreiben, überwachen, kontrollieren und wiederherstellen, einschließlich der Dokumentation der IKT-Vorgänge.

(2)   Die in Absatz 1 genannten Richtlinien und Verfahren für IKT-Vorgänge enthalten alle folgenden Elemente:

a)

eine Beschreibung der IKT-Assets, einschließlich aller folgenden Elemente:

i)

Anforderungen an die sichere Installation, Wartung, Konfiguration und Deinstallation eines IKT-Systems,

ii)

Anforderungen an das Management von Informationsassets, die von IKT-Assets genutzt werden, einschließlich ihrer automatisierten und manuellen Verarbeitung und Behandlung,

iii)

Anforderungen an die Ermittlung und Kontrolle von IKT-Altsystemen;

b)

Kontrollen und Überwachung für IKT-Systeme, einschließlich aller folgenden Elemente:

i)

Anforderungen an die Sicherung und Wiederherstellung von IKT-Systemen,

ii)

Anforderungen an zeitliche Abläufe unter Berücksichtigung der Interdependenzen zwischen den IKT-Systemen,

iii)

Protokolle für Prüfpfad- und Systemprotokollinformationen,

iv)

Anforderungen, mit denen sichergestellt wird, dass bei der Durchführung einer internen Prüfung und anderer Tests Störungen des Geschäftsbetriebs minimiert werden,

v)

Anforderungen an die Trennung von IKT-Produktionsumgebungen von Entwicklungs-, Test- und anderen Nicht-Produktionsumgebungen,

vi)

Anforderungen hinsichtlich der Durchführung von Entwicklungs- und Testtätigkeiten in Umgebungen, die von der Produktionsumgebung getrennt sind,

vii)

Anforderungen im Zusammenhang mit Situationen, in denen die Entwicklungs- und Testtätigkeiten in Produktionsumgebungen durchgeführt werden;

c)

Fehlerbehandlung bei IKT-Systemen, einschließlich aller folgenden Elemente:

i)

Verfahren und Protokolle für die Fehlerbehandlung,

ii)

Unterstützung und Ansprechpartner im Eskalationsfall, einschließlich externer Ansprechpartner für die Unterstützung im Falle unerwarteter operationaler oder technischer Probleme,

iii)

Verfahren für den Neustart, das Zurücksetzen und die Wiederherstellung von IKT-Systemen im Falle einer Störung des IKT-Systems.

Für die Zwecke von Buchstabe b Ziffer v werden bei der Trennung alle Komponenten der Umgebung berücksichtigt, einschließlich Konten, Daten oder Verbindungen, wie in Artikel 13 Absatz 1 Buchstabe a festgelegt.

Für die Zwecke von Buchstabe b Ziffer vii ist in den in Absatz 1 genannten Richtlinien und Verfahren vorzusehen, dass die Fälle, in denen Tests in einer Produktionsumgebung durchgeführt werden, eindeutig zu identifizieren, zu begründen und zeitlich zu begrenzen sind und von der betreffenden Funktion im Einklang mit Artikel 16 Absatz 6 genehmigt werden. Die Finanzunternehmen stellen während der Entwicklungs- und Testtätigkeiten in der Produktionsumgebung die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von IKT-Systemen und -Produktionsdaten sicher.