Art. 39 Komponenten des IKT-Geschäftsfortführungsplans | RTS on ICT risk management framework | DORA

This article applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA, and sets out detailed requirements for their ICT business continuity plans.

It requires these plans to be grounded in an analysis of exposures and potential impacts of severe disruptions, including cyber-attack scenarios.

The article then lays out a comprehensive set of conditions these plans must meet, covering everything from management body approval and resource allocation, to backup procedures, communication arrangements, and ongoing updates based on lessons learned.

Important points:

Develop ICT business continuity plans that are based on an analysis of exposures to severe disruptions, including cyber-attack scenarios, for ICT assets supporting critical or important functions.
The plans must be approved by the management body, documented, readily accessible in an emergency, and kept updated to reflect incidents, tests, and organisational changes.
Ensure the plans include recovery timeframes, backup procedures, communication and escalation arrangements, and measures to mitigate failures of critical third-party providers.

1. Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erarbeiten ihre IKT-Geschäftsfortführungspläne unter Berücksichtigung der Ergebnisse der Analyse des Risikos und der potenziellen Auswirkungen von schwerwiegenden Betriebsstörungen und von Szenarien, denen ihre IKT-Assets zur Unterstützung kritischer oder wichtiger Funktionen ausgesetzt sein könnten, insbesondere auch dem Szenario eines Cyberangriffs.
1. Die in Absatz 1 genannten IKT-Geschäftsfortführungspläne müssen
  1. vom Leitungsorgan des Finanzunternehmens genehmigt sein;
  2. dokumentiert und im Not- oder Krisenfall leicht zugänglich sein;
  3. genügend Mittel für ihre Ausführung vorsehen;
  4. die geplanten Wiederherstellungsniveaus und Zeitrahmen für die Wiederherstellung und Wiederaufnahme von Funktionen sowie die wichtigsten internen und externen Abhängigkeiten, insbesondere auch IKT-Drittdienstleister, nennen;
  5. festlegen, welche Bedingungen zur Aktivierung der IKT-Geschäftsfortführungspläne führen können und welche Maßnahmen zu ergreifen sind, um die Verfügbarkeit, Kontinuität und Wiederherstellung der IKT-Assets der Finanzunternehmen zur Unterstützung kritischer oder wichtiger Funktionen sicherzustellen;
  6. die Wiedergewinnungs- und Wiederherstellungsmaßnahmen für kritische oder wichtige Geschäftsfunktionen, unterstützende Prozesse, Informationsassets und deren Interdependenzen ermitteln, um nachteilige Auswirkungen auf das Funktionieren der Finanzunternehmen zu vermeiden;
  7. Verfahren und Maßnahmen für die Datensicherung vorsehen, die den Umfang der Daten, die der Sicherung unterliegen, und die Mindesthäufigkeit der Sicherung auf der Grundlage der Kritikalität der diese Daten nutzenden Funktionen festlegen;
  8. Alternativen für den Fall erwägen, dass eine Wiederherstellung wegen Kosten, Risiken, Logistik oder unvorhergesehener Umstände kurzfristig nicht durchführbar sein könnte;
  9. die Regelungen für die interne und externe Kommunikation, insbesondere auch Eskalationspläne, festlegen;
  10. aktualisiert werden, um den Lehren aus Vorfällen, Tests, neuen Risiken und ermittelten Bedrohungen, veränderten Wiederherstellungszielen sowie größeren Veränderungen der Organisation des Finanzunternehmens und der IKT-Assets zur Unterstützung kritischer oder geschäftlicher Funktionen Rechnung zu tragen.
2. Für die Zwecke von Buchstabe f sehen die dort genannten Maßnahmen die Minderung von Ausfällen kritischer Drittdienstleister vor.