DDORA & IT-Sicherheit

Harmonisierung der DORA-Anforderungen schreitet voran – das zweite Paket der finalen Entwürfe der RTS/ITSs und Guidelines zu DORA ist nun auch da.

Harmonisierung der DORA-Anforderungen schreitet voran - das zweite Paket der finalen Entwürfe der RTS/ITSTs und Guidelines zu DORA ist nun auch da.
0
Shares
0
0
0
0
0
0

Die ESAs haben nun am 17. und 26. Juni 2024 die finalen Entwürfe der DORA konkretisierenden Regelungen in einem 2. Paket veröffentlicht. Dieses Paket besteht aus vier technischen Regulierungsstandards (RTS), einem Satz technischer Durchführungsstandards (ITS) und zwei Leitlinien (Guidelines), die alle darauf abzielen, die digitale operationelle Widerstandsfähigkeit des EU-Finanzsektors zu verbessern.

Der Schwerpunkt des 2. Pakets liegt auf dem Meldewesen für IKT-bezogene Vorfälle (Klarheit von Meldungen, Vorlagen) und Threat-Led Penetration Testing (TLPT). Gleichzeitig werden einige Anforderungen an die Gestaltung des Aufsichtsrahmens eingeführt.

Konkret handelt es sich um folgende endgültige Entwürfe von RTS/ITS:

Zu den Leitlinien gehören:

und

Background zum 2. Paket

Wie wir bereits in unserem Blogbeitrag „DORA nimmt Gestalt an – das erste Paket der endgültigen RTS/ITS zu DORA ist da “ berichtet haben, folgt das zweite Paket an DORA-Regularien den bereits teilweise von der EU veröffentlichten RTS und ITS aus dem 1. Paket.

Die aktuellen RTS aus dem 2. Paket wurden ebenso wie solche aus dem ersten Paket öffentlich konsultiert. Angeregt von zahlreichen Stellungnahmen der Marktteilnehmer gaben die ESAs bekannt, spezifische Änderungen an den technischen Standards vorgenommen zu haben, die eine Vereinfachung und Straffung der Anforderungen, eine größere Verhältnismäßigkeit und die Berücksichtigung sektorspezifischer Anliegen gewährleisten sollen.

Harmonisierung der DORA-Anforderungen schreitet voran - das zweite Paket der finalen Entwürfe der RTS/ITSs und Guidelines zu DORA ist nun auch da. 1

Relevante finale Entwürfe im Überblick

Im Folgenden fassen wir die wesentlichen Aspekte von drei finalen Entwürfen zusammen, wobei der Fokus auf die RTS/Guidelines gelegt wird, die potenziell die größte Relevanz für die betroffenen Finanzunternehmen haben.

1. RTS und ITS zur Meldung von schwerwiegenden IKT-bezogenen Vorfällen und erheblichen Cyberbedrohungen

DORA verpflichtet Finanzunternehmen (FU), schwerwiegende IKT-Vorfälle an die zuständige Behörde zu melden (Art. 19 (1) DORA). Darüber hinaus erlaubt DORA den Finanzunternehmen, den zuständigen Behörden auf freiwilliger Basis erhebliche Cyberbedrohungen zu melden, wenn sie der Ansicht sind, dass diese für das Finanzsystem, die Dienstnutzer oder die Kunden relevant sind (Art. 19 (2) DORA). In dieser Hinsicht zielt DORA darauf ab, die Art und Weise zu standardisieren, in der Finanzinstitute IKT-Vorfälle in der gesamten EU melden, und legt einheitliche Anforderungen für Finanzinstitute fest, um IKT-Vorfälle zu behandeln, zu klassifizieren und zu melden. Um dieses Ziel zu erreichen, beauftragt die DORA die ESAs (Art. 20 DORA), gemeinsame Entwürfe technischer Regulierungsstandards (RTS) für den Inhalt von Meldungen über schwerwiegende IKT-Vorfälle, die Fristen für die Erstmeldung und die Folgeberichterstattung sowie den Inhalt von Meldungen über erhebliche Cyberbedrohungen zu erarbeiten. Darüber hinaus wurden die ESAs beauftragt, gemeinsame Entwürfe technischer Durchführungsstandards (Technical Implementation Standards, TIS) zu entwickeln, um Standardformulare, Vorlagen und Verfahren für die Meldung von schwerwiegenden IKT-Vorfällen und erheblichen Cyberbedrohungen durch die FUs festzulegen.

Bei der Ausarbeitung der Standardentwürfe sollen die ESAs die Größe und das Gesamtrisikoprofil des FU sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen berücksichtigen, um insbesondere sicherzustellen, dass den Besonderheiten des Finanzsektors gegebenenfalls durch unterschiedliche Fristen Rechnung getragen wird (Art. 20 DORA). Dies gilt auch unbeschadet des einheitlichen Ansatzes für die Meldung von IKT-Vorfällen gemäß DORA und NIS2.

Zum ersten Entwurf

Gibt es Änderungen zum Konsultationsentwurf?

Die Teilnehmer an der öffentlichen Konsultation äußerten sich zu allen Aspekten des vorgeschlagenen RTS-Entwurfs. Die wichtigsten, von den Teilnehmern gemeldeten und von EBAs teilweise in den finalen Entwürfen berücksichtigten Punkte betrafen

  • die Berücksichtigung des Proportionalitätsgrundsatzes und der Besonderheiten des jeweiligen zur Meldung verpflichteten Finanzunternehmens (einschließlich der Größe und des Gesamtrisikoprofils des FE sowie der Art, des Umfangs, der Komplexität und der zeitlichen Kritikalität seiner Dienstleistungen) insbesondere bei der Bestimmung der Erstmeldefrist,
  • Fristen für die Berichterstattung,
  • Meldungen über das Wochenende,
  • Zusammenspiel zwischen DORA und NIS2,
  • Inhalt der Meldevorlage,
  • Aggregierte Berichterstattung.

ESAs stimmten einigen Vorschlägen und Argumenten für die Änderungen des Konsultationsentwurfs zu. Diese Änderungen betreffen u.a. die Fristen für die Einreichung der Erstmeldung, des Zwischenberichts und des Abschlussberichts, die Meldung an Wochenenden und Feiertagen, die aggregierte Meldung und die Straffung des Inhalts des Meldeformulars. Im Detail:

  • Die Frist für die Übermittlung des Zwischenberichts wurde auf bis zu 24 Stunden und die Frist für die Übermittlung des Abschlussberichts auf mindestens 72 Stunden verlängert, indem die Berechnung der Fristen mit der Übermittlung der letzten Meldung/des letzten Berichts beginnt und nicht mit dem Zeitpunkt der Einstufung des Ereignisses als noch im Konsultationsentwurf vorgeschlagen.
  • Für die Meldungen am Wochenende und Feiertagen haben die ESAs den Umfang der am Wochenende und Feiertagen zu meldende Vorfälle reduziert, die Verpflichtung für kleinere Finanzinstitute, die Erstmeldung am Wochenende und Feiertagen zu übermitteln, aufgehoben und die Frist für die Übermittlung der Meldungen und Berichte bis zum Mittag des ersten Arbeitstages verlängert, anstatt wie noch im Konsultationsentwurf vorgesehen innerhalb von einer Stunde.
  • Die ESA haben den Inhalt des Meldebogens gestrafft, indem sie die Anzahl der Meldefelder von 84 auf 59 reduziert haben. Die ESA haben auch die 7 Pflichtfelder für die Erstmeldung vereinfacht, mit der Begründung, dass die Finanzunternehmen ihre Ressourcen so besser auf die Bearbeitung des Vorfalls konzentrieren können und nur die wesentlichen Elemente in diesem frühen Stadium des Vorfalls melden sollten.

Zugleich haben die ESAs die Begründung zum Änderungsvorschlag nicht ausreichen lassen, warum für die FEs aus verschiedenen Finanzbranchen (wie z.B. aus Teilsektoren der Versicherungen und Pensionen sowie Vermögensverwalter, Wertpapierfirmen und Transaktionsregister und bei Sparprodukten der Banken) unterschiedliche Erstmeldefristen gelten sollten. Die ESAs sind der Ansicht, dass die Festlegung von zwei getrennten Fristen für die Einreichung der ersten Meldung (4 Stunden ab der Klassifizierung des Vorfalls, jedoch nicht später als 24 Stunden ab dem Zeitpunkt, zu dem das FE Kenntnis von dem Vorfall erlangt hat) ausreichend ist, um der unterschiedlichen zeitlichen Kritikalität der verschiedenen Finanzdienste Rechnung zu tragen.

2. RTS zu bedrohungsorientierten Penetrationstests (TLPT)

Abschnitt IV der DORA befasst sich mit dem Testen der digitalen operationellen Widerstandsfähigkeit. Finanzinstitute sind verpflichtet, ein  solides und umfassendes Programm zum Testen der digitalen operationalen Resilienz als integralen Bestandteil ihres IKT-Risikomanagementrahmens einzurichten. Das Programm muss in erster Linie das Testen von IKT-Tools und -Systemen unter Verwendung eines branchenüblichen Portfolios von Testverfahren umfassen, wie z.B Vulnerability Assessments und Vulnerability Scans, Open Source-Analysen, Netzwerksicherheitsbewertungen, Gap-Analysen, physische Sicherheitsüberprüfungen, Scans von Softwarelösungen, Quellcodeüberprüfungen, soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Belastungstests, End-to-End-Tests und Penetrationstests (Art. 25 DORA). Dabei ist sicherzustellen, dass die angemessenen Tests für alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich durchgeführt werden.

Harmonisierung der DORA-Anforderungen schreitet voran - das zweite Paket der finalen Entwürfe der RTS/ITSs und Guidelines zu DORA ist nun auch da. 2Darüber hinaus verlangt Art. 26 DORA für einige Finanzinstitute und vor allem für solche, die von ihrer Aufsichtsbehörde dazu verpflichtet wurden, mindestens alle drei Jahre erweiterte Tests auf Basis von bedrohungsorientierten Penetrationstests (TLPT-Threat-Led Penetration Tests). TLPTs werden in der DORA als ein Rahmenwerk definiert, das die Taktiken, Techniken und Verfahren realer Angreifer, die als echte Cyber-Bedrohung wahrgenommen werden, nachahmt und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red Team) Test der kritischen Live-Produktionssysteme des Finanzinstituts ermöglicht. Die Finanzunternehmen, die zu solchen erweiterten TLPT-Tests von IKT-Tools, -Systemen und -Prozessen verpflichtet sind, werden von den Aufsichtsbehörden gemäß dem in Art. 26 (8) DORA beschriebenen Verfahren festgelegt. Die zuständigen Behörden identifizieren Finanzunternehmen unter Berücksichtigung des Proportionalitätsprinzips und der folgenden Kriterien:

  1. wirkungsbezogene Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und Tätigkeiten auf den Finanzsektor auswirken;
  2. Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters;
  3. das Risikoprofil, der IKT-Reifegrad des Finanzunternehmens oder einschlägige technologische Merkmale.

Kleinstunternehmen und Unternehmen im Sinne von Art. 16 (1) Abs. 1 sind von TLPT gänzlich ausgenommen.

Im Zusammenhang mit TLPT-Tests waren die ESAs beauftragt, technische Regulierungsstandards auszuarbeiten, in denen Kriterien für Finanzinstitute, die Penetrationstests durchführen müssen, weiter spezifiziert werden. Darüber hinaus sollen in diesen RTS zu TLPT die Anforderungen und Standards für den Einsatz interner Tester, für die einzelnen Testphasen (inkl. Umfang und Testmethodik), die Ergebnisse, den Abschluss und die Korrekturmaßnahmen sowie die Zusammenarbeit mit den Aufsichtsbehörden festgelegt werden (Art. 26 (11) DORA). Die ESAs haben einen ersten Entwurf der RTS zu TLPL zusammen mit 32 Fragen dazu in einem Konsultationspapier (CP) veröffentlicht, zu dem die Öffentlichkeit vom 08.12.2023 bis zum 04.03.2024 Stellung nehmen konnte.

Für die Bestimmung der zu TLPT verpflichteten Finanzunternehmen basierte der erste Entwurf der RTS zu TLPT auf einem zweistufigen Ansatz. Im Standardfall wurden alle Finanzunternehmen erfasst, die in zentralen Teilsektoren des Finanzsektors tätig sind, eine systemische Rolle spielen (wie CCP/CSDs, sowie bestimmte Kredit-, Zahlungs-institute und E-Geld-Institute, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen) und bestimmte Kriterien erfüllen bzw. Schwellenwerte überschreiten. Dabei behielt sich die zuständige TLPT-Behörde das Recht vor, Unternehmen, die beispielsweise nicht über einen ausreichenden Reifegrad verfügen, um Tests auf den laufenden Produktionssystemen durchzuführen, von TLPT auszunehmen.

Zusätzlich zu diesem Standardfall kann die TLPT-Behörde im Einzelfall entscheiden, dass ausgewählte Finanzunternehmen einen bedrohungsorientierten Penetrationstest durchführen müssen, bei denen dies nach dem oben beschriebenen Standardfall nicht erforderlich wäre. Diese Entscheidung sollte nach einer Bewertung getroffen werden, für die in Kapitel II des RTS-Entwurfs zwar einige Aspekte, jedoch keine genauen Kriterien oder Schwellenwerte genannt wurden. Als Beispiele wurden die Bedrohungslage des Finanzinstituts, der Grad seiner Abhängigkeit von kritischen oder wichtigen Funktionen der IKT-Systeme und -Prozesse sowie die Komplexität seiner IKT-Architektur genannt.

Der Umfang der TLPT-Tests sollten die FU auf Grund eigener Bewertung selbst festlegen, was von den zuständigen Behörden jedoch validiert werden musste.

Gibt es Änderungen zum Konsultationsentwurf?

In der öffentlichen Konsultation zeigten sich die Respondenten über die Anforderungen für TLPT-Anbieter (sowohl Tester als auch Anbieter von Bedrohungsanalysen) besorgt. Die Anforderungen wurden als zu streng empfunden, insbesondere vor dem Hintergrund der begrenzten Verfügbarkeit  von entsprechenden Anbietern auf dem bestehenden Markt. Auch zum vorgeschlagenen Testverfahren gab es zahlreiche Kommentare, darunter viele Forderungen nach mehr Klarheit, insbesondere in Bezug auf TLPTs, an denen mehrere Finanzinstitute und ein IKT-Dienstleister beteiligt sind (im Falle gebündelten Tests (pooled testing) oder gemeinsamer Tests (joint tests)), und nach mehr Zeit, insbesondere für die Abschlussphase. Die ESAs haben die Vorschläge und deren Begründung geprüft und einige Änderungen am RTS-Entwurf vorgenommen.

Die wichtigsten Änderungen betreffen die folgenden Punkte:

  • Die Kriterien für die Auswahl der Versicherungs- und Rückversicherungsunternehmen, die TLPTs durchführen müssen, wurden überarbeitet, um den entsprechenden Marktteilnehmern mehr Vorhersehbarkeit zu schaffen. Die für Zahlungsinstitute und E-Geld-Institute geltenden Schwellenwerte wurden angehoben. Die Kategorien von Finanzinstrumenten, die bei der Festlegung von Schwellenwerten für Handelsplätze zu berücksichtigen sind, wurden den entsprechenden rechtlichen Kategorien zugeordnet.
  • Die vorgebrachten Bedenken, dass die Zugehörigkeit zu einer Konzernstruktur nicht ausreichend berücksichtigt werde, wurden im endgültigen Textentwurf wie folgt berücksichtigt: Die Zugehörigkeit zu einer Gruppe wird von der TLPT-Behörde bei der Identifizierung eines Finanzunternehmens berücksichtigt, wenn innerhalb der Gruppe gemeinsame IKT-Systeme oder derselbe IKT-Dienstleister genutzt werden. Letztendlich muss die Identifizierung jedoch auf Ebene des Finanzinstituts erfolgen.
  • TLPTs, an denen mehrere Finanzunternehmen und/oder IKT-Dienstleister (konzernintern oder Dritte) in gebündelten und gemeinsamen TLPTs beteiligt sind, mit Klärung der entsprechenden Prozesse, die auch eine erweiterte Zusammenarbeit zwischen den beteiligten TLPT-Behörden erfordern sowie des Risikomanagements. Um eine klarere Unterscheidung zwischen gebündelten TLPT einerseits und gemeinsamen TLPT andererseits zu gewährleisten, wurde im finalen Entwurf eine Definition für „gemeinsame TLPT“ eingeführt und die entsprechenden Bestimmungen getrennt. Darüber hinaus wurde klar dargelegt, dass jedes Finanzunternehmen für das Management seiner eigenen Risiken verantwortlich ist und dass das benannte Finanzunternehmen für die Ermittlung aller gemeinsamen Quellen von Risiken, die auftreten können, verantwortlich ist, während alle anderen Finanzunternehmen verpflichtet sind, bei der Ermittlung und Minderung dieser Risiken zusammenzuarbeiten.
  • Die Anforderungen an externe und interne Tester sowie an Anbieter von Bedrohungsanalysen wurden überarbeitet, um verschiedene Kriterien für die geforderte angemessene Erfahrung mit Bedrohungsanalysen und TLPT in der Finanzdienstleistungsbranche und mehr Flexibilität in Verbindung mit geeigneten Risikomanagementmaßnahmen aufzunehmen. Die Erfahrung der Tester muss sich nicht mehr ausschließlich auf „intelligence led red teaming“ beschränken, sondern wurde auf „penetration testing and red teaming“ ausgeweitet. Darüber hinaus wurde die Möglichkeit eingeführt, Tester einzusetzen, die nicht alle Kriterien erfüllen, sofern das Finanzinstitut alle zusätzlichen Risiken, die sich daraus für das TLPT ergeben, identifiziert und abmildert. Eine klarere Formulierung wurde ferner in die aktualisierten RTS aufgenommen, um die Anforderungen an interne Tester an die Anforderungen an externe Tester anzugleichen. Darüber hinaus wurde die Anforderung, dass interne Tester zwei Jahre beim Finanzinstitut beschäftigt sein müssen, auf ein Jahr reduziert. Damit soll den Bedenken vieler Teilnehmer an der öffentlichen Konsultation Rechnung getragen werden, dass diese Anforderung in einer schnelllebigen Branche schwer zu erfüllen sein könnte, während gleichzeitig der Unterschied zu externen Testern deutlich gemacht wird.

3. Update vom 29.07.2024: RTS zur Spezifizierung von Anforderungen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung von kritischen oder wichtigen Funktionen

Nach Art. 30 Abs. 2 lit. a) DORA muss der Vertrag über die IKT-Dienstleistungen, unter anderem regeln, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen im Sinne der DORA oder wesentliche Teile davon unterstützen, zulässig ist, und – wenn dies der Fall ist – welche Bedingungen für diese Unterauftragsvergabe gelten.

In ihrem am 26.07.2024 veröffentlichten finalen RTS-Entwurf haben die ESAs die folgenden Anforderungen für den gesamten Lebenszyklus vertraglicher Vereinbarungen mit IKT-Drittdienstleistern im Hinblick auf die Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wesentlicher Funktionen spezifiziert.

  • Der Abschluss einer Vereinbarung muss auf Basis einer vorausgehenden Planungsphase erfolgen. In dieser beurteilt das Finanzunternehmen die Zulässigkeit einer Unterbeauftragung durch seinen IKT-Dienstleister. Dazu ist es erforderlich, dass das Finanzunternehmen die mit der Untervergabe verbundenen Risiken evaluiert. Dies umfasst auch eine Due-Diligence-Prüfung. Das Finanzunternehmen hat unter anderem zu beurteilen, ob eine ausreichende Servicequalität (SLA) über die gesamte IKT-Untervergabekette gewährleistet werden kann. Insbesondere ist zu prüfen, ob der IKT-Drittdienstleister und gegebenenfalls die IKT-Unterauftragnehmer über die erforderlichen Ressourcen verfügen, um die (unter)beauftragten IKT-Dienstleistung zu erbringen. Dies umfasst auch die Prüfung der personellen, finanziellen und technischen Ressourcen sowie die Bewertung der Organisationsstruktur, einschließlich Risikomanagement und interner Kontrollen. Finanzunternehmen sollten unter Berücksichtigung der Besonderheiten der vertraglichen Vereinbarungen und unter Berücksichtigung ihrer abschließenden Verantwortung gemäß DORA ermitteln, ob sie die Due-Diligence-Prüfung von Unterauftragnehmern und die Risikobewertung direkt selbst oder indirekt über ihre IKT-Drittdienstleister durchführen.
  • Als nächstes enthalten die RTS Vorgaben zur vertraglichen Sicherstellung der Überwachung, Prüfung und Steuerung der Leistungserbringung in der gesamten IKT-Unterauftragskette für kritische oder wichtige Funktionen durch IKT-Drittdienstleister und gegebenenfalls durch die Finanzunternehmen selbst; Der IKT-Drittdienstleister muss darüber hinaus gegenüber dem Finanzunternehmen vertraglich verpflichtet werden, seine jeweilige Unterauftragnehmer zur Gewährung umfassender Zugangs-, Prüfungs- und Kontrollrechte gegenüber dem Finanzunternehmen und den zuständigen Behörden und Abwicklungsbehörden zu verpflichten.
  • Darüber hinaus definieren die RTS die Anforderungen an die Kündigung der vertraglichen Vereinbarungen mit IKT-Dienstleistern im Zusammenhang mit Unterbeauftragung.

Diese Anforderungen gelten auch für die konzerninterne IKT-Unterauftragnehmer. Gruppeninterne IKT-Unteraufträge sollten genauso behandelt werden wie Unteraufträge außerhalb der Gruppe.

Gibt es Änderungen zum Konsultationsentwurf?

Die im Rahmen des Konsultationsverfahrens eingebrachten Änderungsvorschläge, wie z.B. die stärkere Berücksichtigung des Proportionalitätsgrundsatzes, die stärkere Verlagerung der Verantwortung für die Überwachung von Unterauftragnehmern vom Finanzunternehmen auf die IKT-Dienstleister sowie die direkte Auferlegung bestimmter Informationspflichten an die IKT-Dienstleister, wurden von den ESAs nur teilweise und überwiegend nur klarstellend zu bereits im Konsultationsentwurf enthaltenen Formulierungen berücksichtigt.

4. Leitlinien zur Schätzung der aggregierten Kosten/Verluste, die durch größere IKT-bezogene Vorfälle verursacht werden

Die Leitlinien zur Schätzung der aggregierten Kosten/Verluste, die durch schwerwiegende IKT-Vorfälle verursacht wurden, zielen darauf ab, die Schätzung der jährlichen Gesamtkosten und -verluste zu harmonisieren, die Finanzinstituten durch schwerwiegende IKT-Vorfälle gemäß Art. 11 (10) DORA entstehen. Das Mandat der ESAs zur Entwicklung dieser Leitlinien steht in engem Zusammenhang mit den DORA-Mandaten für die RTS zur Klassifizierung von Vorfällen und zur Meldung von schwerwiegenden Vorfällen, da diese ebenfalls eine Bewertung der Kosten und Verluste von IKT-Vorfällen erfordern. Dementsprechend sind die ESA bestrebt, die Kohärenz zwischen diesen Mandaten sicherzustellen, um Widersprüche zu vermeiden, die Vergleichbarkeit der im Rahmen der verschiedenen Mandate gemeldeten Zahlen zu erhöhen und, falls die zuständigen Behörden diese Informationen von den Finanzinstituten verlangen, den Meldeaufwand für die Finanzinstitute zu verringern.

Alle Einstufungskriterien in den RTS sollen ferner die Verhältnismäßigkeit gewährleisten. Insbesondere wird von ESAs erwartet, dass kleinere Finanzinstitute IKT-bezogene Vorfälle seltener als „schwerwiegend“ einstufen als größere Finanzinstitute.

Zusammenfassend, sieht der Entwurf der Leitlinien zur Schätzung der aggregierten Kosten/Verluste vor, dass Finanzunternehmen

  • bei der Bewertung der Bruttokosten und -verluste denselben Ansatz wie die RTS für die Kriterien zur Klassifizierung von IKT-Vorfällen und bei der Bewertung des finanziellen Rückflusses aus schwerwiegenden IKT-Vorfällen denselben Ansatz wie die technischen Standards für die Meldung von Vorfällen anwenden;
  • nur diejenigen IKT-Vorfälle berücksichtigen, die als schwerwiegend eingestuft wurden und für die das Finanzinstitut im Berichtsjahr einen abschließenden Vorfallsbericht gemäß Art. 19 (4) lit. c) DORA vorgelegt hat oder in den Vorjahren vorgelegt hat, wenn sie sich auf die Kosten und Verluste des Berichtsjahres ausgewirkt haben, und
  • die Bruttokosten und -verluste sowie die finanziellen Rückflüsse nach schwerwiegenden IKT-Vorfällen aufschlüsseln, um die Gesamtzahlen zu belegen.

Zum dritten Entwurf

Gibt es Änderungen zum Konsultationsentwurf?

Die wichtigsten von den Teilnehmern an der öffentlichen Konsultation angesprochenen Punkte, waren

  1. die Überprüfung des Bezugsjahres, für das die Finanzunternehmen der zuständigen Behörde eine Schätzung vorlegen sollten, und
  2. die Begrenzung der Kosten und Verluste, die den zuständigen Behörden gemeldet werden sollten.

Nach Auswertung dieser Rückmeldungen haben die ESAs beschlossen, ihren Vorschlag zur Festlegung des Bezugsjahres zu überarbeiten, um den Finanzinstituten mehr Flexibilität einzuräumen, was auch deren Meldeaufwand verringern soll. Die ESA haben beschlossen, die Leitlinien dahingehend zu ändern, dass die Finanzunternehmen wählen können, welches Bezugsjahr sie verwenden wollen. Sobald sie jedoch entschieden haben, ob sie auf der Grundlage des Kalenderjahres oder des Geschäftsjahres berichten werden, sollten die Finanzunternehmen auch künftige Jahresberichte auf der Grundlage desselben Jahrestyps vorlegen. Wenn ein Finanzunternehmen seine Entscheidung ändern möchte, sollte es die zuständige Behörde davon in Kenntnis setzen, die dann innerhalb von zwei Monaten Einspruch gegen die Änderung der Entscheidung erheben kann. Dieser Ansatz der Flexibilität bei der Wahl des zu verwendenden Jahres soll es den Finanzunternehmen erleichtern, die geeignetste und am leichtesten zugängliche Datenquelle zu wählen, die ihnen zur Verfügung steht. Dies dürfte vor allem Finanzunternehmen entgegen kommen, die über solche Informationen im Rahmen ihrer aufsichtsrechtlichen Berichterstattung verfügen (wie z. B. Kreditinstituten).

Einige Befragte sprachen sich dafür aus, nur die Bruttokosten einzubeziehen, während andere dafür plädierten, nur die Nettokosten in die Schätzung aufzunehmen. Das Gleiche gilt für die Meldung der Brutto- und Nettokosten und -verluste sowie für das Meldeformular. Die Bruttokosten sind die Kosten oder Verluste, die das Finanzunternehmen gezahlt oder verbucht hat. Die Nettokosten sind eine einfache Subtraktion der finanziellen Rückflüsse von den Bruttokosten und -verlusten.

Um den Meldeaufwand weiter zu reduzieren, haben die ESAs zudem beschlossen, nur noch eine Schätzung der Bruttokosten und -verluste und nicht mehr der Nettokosten und -verluste zu verlangen, da die zuständigen Behörden diese selbst berechnen können. Die Schätzung der finanziellen Rückflüsse wurde jedoch in den Leitlinien beibehalten, zusätzlich zu den Bruttokosten und -verlusten.

Wie geht es jetzt weiter?

Die endgültigen Entwürfe der RTS wurden der Europäischen Kommission vorgelegt, die nun mit der Prüfung beginnen wird. Nach erfolgreicher Prüfung werden die RTS in den kommenden Monaten verabschiedet und dem Europäischen Parlament und dem Rat zur Prüfung vorgelegt. Anschließend werden sie im Amtsblatt der Europäischen Union veröffentlicht.

Als voraussichtliches Datum für die Anwendung der RTS/Guidelines wurde von den ESAs der 17.01.2025 angekündigt.

Angesichts der fortschreitenden Zeit müssen sich Finanzunternehmen dringend auf die Anwendbarkeit der DORA einschließlich der zugehörigen RTS/ITS und Guidelines ab dem 17.01.2025 vorbereiten und insbesondere die Konformität ihrer Geschäftsorganisation, ihrer internen Dokumentationen und Prozesse sowie ihrer Verträge mit IKT-Drittdienstleistern überprüfen und anpassen.

Als erster Schritt empfiehlt sich die Durchführung einer Gap-Analyse auf Basis der bereits veröffentlichten finalen Entwürfe der RTS/ITS und Guidelines aus dem 1. und 2. Paket. Die identifizierten Lücken müssen dann durch entsprechende Anpassungsmaßnahmen geschlossen werden, wie z.B. durch die Implementierung ggfs. noch fehlender Funktionen, den Entwurf fehlender bzw. bedarfsgerechter Anpassungen bestehender Unternehmensrichtlinien sowie die Anpassung bestehender bzw. den Entwurf neuer DORA-konformer Vorlagen für Verträge mit IKT-Drittdienstleistern.

Gerne unterstützen wir Sie auf Ihrem Weg zur DORA-Compliance, sei es bei der rechtlichen Beratung zu den DORA-Anforderungen, bei der Durchführung Ihrer DORA-Gap-Analyse, beim Entwurf fehlender bzw. anpassungsbedürftiger Dokumentationen oder bei den Verhandlungen mit Ihren IKT-Drittdienstleistern.

Harmonisierung der DORA-Anforderungen schreitet voran - das zweite Paket der finalen Entwürfe der RTS/ITSs und Guidelines zu DORA ist nun auch da. 3

0
0

Svetlana ist Rechtsanwältin bei der Annerton Rechtsanwaltsgesellschaft mbH. Sie berät nationale und internationale FinTech-Unternehmen sowie Finanzdienstleistungsinstitute in Fragestellungen des IT- und Datenschutzrechts sowie im gewerblichen Rechtsschutz. Ihre Beratungsschwerpunkte liegen im Bereich Outsourcing, IT-rechtlicher Vertragsgestaltung sowie bei den regulatorischen Anforderungen an die Zahlungsdienstleister im Schnittstellenbereich des IT-, Datenschutz- und Finanzaufsichtsrechts.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like