Und schon sind wir inmitten einer weiteren, bisher besonderen Herausforderung der 6. MaRisk-Novelle. Die Aufsicht hat die Anforderungen präzisiert und die Risiko Impact Analyse (RIA) ist grundsätzlich nichts Neues. Sie wird seit der 6. MaRisk-Novelle vom 16.08.2021 gefordert.
Gemäß AT 7.3 Tz. 1 MaRisk muss das Institut Risikoanalysen (Risk Impact Analysen) für zeitkritische Prozesse durchführen, um potentielle Gefährdungen (Notfallszenarien) zu identifizieren und die potentiellen Beeinträchtigungen von zeitkritischen Geschäftsprozessen zu bewerten (Prozessunterbrechungen).
Potentielle Gefährdungen können sein:
- Ausfall Dienstleister
- Ausfall IT
- Ausfall Personal
- Ausfall Gebäude
Gemäß 10.3 BAIT sind IT-Notfallpläne für zeitkritische Prozesse zu erstellen. Bestandteil sind u.a. die Wiederanlaufzeiten oder Recovery Time Objectives (RTOs). Dabei sind die Ziele und Rahmenbedingungen des IT-Notfallmanagements gemäß BAIT auf Basis der Ziele des Notfallmanagements gemäß MaRisk festzulegen.
Anforderungen zur RIA ergeben sich grundsätzlich aus dem RQ0608 des SIZ Produkts „Sicherer IT-Betrieb“. Gefährdungen müssen im Zuge der RIA identifiziert und bewertet werden, wenn Geschäftsprozesse in der BIA als „notfallrelevant“ ermittelt wurden. I.d.R. sind dies Prozesse, die als „kritisch“ (sehr hoch) und „essenziell“ (hoch) eingestuft wurden. Vgl. hierzu die Interpretationshinweise zur Anforderung RQ0599.
Zur Durchführung der RIA ist das Zusammenspiel mehrerer Fachbereiche erforderlich. In der Regel sind dies: IT-Betrieb (IT und IT-Dienstleister), Auslagerungsmanagement (Dienstleister für Prozesse und IT), Gebäudemanagement (Räume) und die Eigentümer der Prozesse (Personal und tangierte Prozesse).
Vom IT-Consulting-Team wurde im Oktober 2021 eine Vorlage zur Durchführung der RIA als toolunabhängige Interims-Lösung auf Basis des BSI-Standards 200-4 bereitgestellt, um den Sparkassen die zeitnahe Umsetzung zu ermöglichen. Auf Wunsch vieler Sparkassen haben wir uns entschlossen, unseren bisherigen Lösungsansatz zur Abbildung der RIA gemäß MaRisk AT 7.3 Tz. 1 weiterhin, auch als Excel-Tabelle, bereitzustellen. Zudem steht eine Regelung zu RIA bereit. Allerdings lassen sich die Ergebnisse aus der RIA zu einem späteren Zeitpunkt in RiMaGo nicht automatisiert einbinden.
Vom Methodengeber, der SIZ GmbH, wurde das Team IT-Consulting der S-Management Services GmbH (DSV-Gruppe) von den Kollegen zu deren SITB-Vorlage für die RIA-Lösung als Hinweisgeber eingebunden. Diese Lösung wurde mit der Version 20 des SIZ Produkts „Sicherer IT-Betrieb“ (SITB) vom SIZ bereitgestellt. Es ist geplant, dass sich die Ergebnisse der RIA aus der SITB-Vorlage in RiMaGo importieren lassen.
Es sind folgende Zeiten zu erheben und zu vergleichen:
- RTO - Recovery Time Objective (geforderte Wiederanlaufzeit, WAZ)
- RTA - Recovery Time Actual (erreichbare Wiederanlaufzeit)
- MTA - Max. tolerierbare Ausfallzeit (ergibt sich bereits aus der BIA)
Je schneller der Wiederanlauf (RTA) möglich ist, desto weniger Auswirkungen hat dies für die Prozesse bzw. Schadensszenarien der Sparkasse.
Gemäß dem BSI-Standard 200-4, der seit dem 26.09.2022 als zweiter Community Draft (CD 2.0) bereitgestellt wurde, wird im Soll-Ist-Vergleich festgestellt, ob die benötigten Ressourcen schon ausreichend abgesichert sind, z. B. ob die IT-Systeme in der geforderten Wiederanlaufzeit bereitstehen. In der BCM-Risikoanalyse wird untersucht und entschieden, gegen welche Gefährdungen die identifizierten zeitkritischen Geschäftsprozesse und die dazu benötigten Ressourcen mit Business Continuity-Strategien und -Lösungen abgesichert werden sollen.
Webinar
In unserem Webinar „Risiko Impact Analyse gemäß AT 7.3 Tz. 1 MaRisk“ erfahren Sie alles zur RIA.
Das halbtägige Webinar richtet sich an:
- BCM-Beauftragte
- IT-Notfallbeauftragte
- BCM-Koordinator:innen
- Informationssicherheitsbeauftragte
- Informationssicherheitskoordinator:innen
- IT-Revisor:innen
- IT-Verantwortliche
Im Webinar wird eine RIA an einem Prozess durchgespielt und die Vorlage des IT-Consulting-Teams vorgestellt.
Termine
Mi., 02.11.2022 Sparkassenakademie Bayern
Do., 03.11.2022 Nordostdeutsche Sparkassenakademie
Fr., 18.11.2022 Sparkassenakademie Baden-Württemberg
Mi., 14.12.2022 Sparkassenakademie Hessen-Thüringen