ICT Risk Management

[aɪ siː tiː rɪsk ˈmænɪdʒmənt] · auch: IKT-Risikomanagement, digitales Risikomanagement

ICT Risk Management umfasst den systematischen Prozess zur Identifikation, Bewertung, Behandlung und Ueberwachung von Risiken aus IKT-Systemen und -Abhaengigkeiten -- als regulatorische Kernpflicht unter DORA und Teil des operationellen Risikomanagements von Finanzunternehmen.

Warum ICT Risk Management wichtig ist

DORA stellt das IKT-Risikomanagement ins Zentrum der regulatorischen Anforderungen an Finanzunternehmen. Anders als allgemeine Risikomanagementsysteme fokussiert DORA explizit auf IKT-Risiken -- also auf Abhaengigkeiten von Technologiesystemen, Cloud-Diensten und externen IKT-Anbietern. Das Leitungsorgan traegt nach DORA Art. 5 die direkte Verantwortung und muss selbst Kenntnisse im IKT-Bereich nachweisen.

Wo ICT Risk Management gefordert wird

Framework	Referenz	Anforderung
DORA	Art. 5-16	IKT-Risikomanagement-Rahmen: Vollstaendige Anforderungen an Governance, Strategie, Richtlinien, Resilienztests und Drittparteienmanagement.
DORA	Art. 5	Governance und Organisation: Leitungsorgan traegt direkte Verantwortung fuer IKT-Risikomanagement.
DORA	Art. 6	IKT-Risikomanagement-Rahmen: Vollstaendige, dokumentierte und genehmigte Richtlinie als Pflicht.
DORA	Art. 8	Identifizierung: Vollstaendige Inventarisierung aller IKT-Assets und -Abhaengigkeiten.
EBA/ESMA/EIOPA	RTS Art. 6	Technische Regulierungsstandards konkretisieren Mindestinhalte des IKT-Risikomanagement-Rahmens.

BAM-Objektreferenz

BAM-Objekt CROSS-IRM-01

BeschreibungCompliance-Objekt mit Framework-Mapping und Evidence-Anforderungen

GitHubBAM Core →

Haeufige Audit-Fehler

Kein vollstaendiges IKT-Asset-Inventar als Basis des Risikomanagements
IKT-Risiken nicht im allgemeinen Risikoregister erfasst
Leitungsorgan nicht aktiv in IKT-Risikogoverance eingebunden
Keine Dokumentation der IKT-Risikoappetit-Festlegung

Kernelemente des DORA-IKT-Risikomanagement-Rahmens

DORA Art. 6 fordert einen vollstaendigen IKT-Risikomanagement-Rahmen mit: IKT-Strategie und Sicherheitsrichtlinien, vollstaendigem IKT-Asset-Inventar, Risikobewertungsprozessen fuer alle IKT-Systeme und Abhaengigkeiten, Business-Continuity- und Wiederherstellungsplaenen, IKT-Vorfalls-Management, Drittparteienrisiko-Management und Resilienztest-Programm. Alle Elemente muessen dokumentiert, genehmigt und regelmaessig ueberprueft werden.

Leitungsorganhaftung nach DORA Art. 5

DORA weicht von klassischen Rahmenwerken ab, indem es die direkte Verantwortung des Leitungsorgans festschreibt: Vorstands- und Aufsichtsratsmitglieder muessen ausreichende Kenntnisse zu IKT-Risiken besitzen, den IKT-Risikomanagement-Rahmen genehmigen und regelmassig dessen Wirksamkeit ueberwachen. Schulungen des Leitungsorgans und Nachweise dieser Schulungen sind DORA-Pflicht.

Naechste Ebene

ICT Risk Management in der Praxis: Aufbau, Governance und Evidence

Wie der IKT-Risikomanagement-Rahmen aufgebaut wird und was Auditoren und Aufseher pruefen.

Ebene 2 lesen → Stresstest starten →