DORA nimmt Gestalt an – das erste Paket der endgültigen RTS/ITS zu DORA ist da

DORA nimmt Gestalt an - das erste Paket der endgültigen RTS/ITS zu DORA ist da | Annerton

Die EU-Regulierungsbehörden haben die endgültigen Fassungen einer ersten Reihe von vier technischen Standards für die operationelle Widerstandsfähigkeit veröffentlicht, die Finanzinstitute erfüllen müssen, um in Europa tätig zu sein.

Update: Die ESAs haben nun am 17. und 26. Juni 07.2024 die finalen Entwürfe der DORA konkretisierenden Regelungen in einem 2. Paket veröffentlicht.
Zum Blogbeitrag

Die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) haben am 17. Januar 2024 das erste Paket der endgültigen Entwürfe für technische Standards im Rahmen des DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) veröffentlicht. Die neue Veröffentlichung folgt auf eine öffentliche Konsultation zu den Maßnahmenentwürfen, die die ESAs im vergangenen Jahr durchgeführt haben. Die endgültigen Entwürfe werden nun der Europäischen Kommission zur Überprüfung und Annahme vorgelegt.

Die neu veröffentlichten Standards umfassen drei neue technische Regulierungsstandards (RTS) zu IKT-Risikomanagementrahmen, Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Strategien für IKT-Dienste, die kritische Funktionen unterstützen und von Drittanbietern erbracht werden, sowie einen neuen technischen Durchführungsstandard (ITS) mit einer Vorlage für die Erstellung eines Outsourcing-Registers.

Diese Standards konkretisieren die Anforderungen von DORA und ermöglichen erstmals eine bessere Bewertung des Umsetzungsaufwands im Zusammenhang mit DORA.

Hintergrund: Was ist DORA?

DORA gilt verbindlich ab dem 17. Januar 2025 und legt Leitlinien für die operationelle Widerstandsfähigkeit der Finanzbranche fest und erweitert die Aufsicht der Regulierungsbehörden in den Bereichen IKT-Risikomanagement, Vorfallmanagement und -berichterstattung, operationelle Widerstandsfähigkeitstests von IKT-Systemen und Risikomanagement für IKT-Drittanbieter. Der Anwendungsbereich von DORA erstreckt sich auf fast alle beaufsichtigten Institute und Unternehmen im europäischen Finanzsektor.

DORA schafft einen Aufsichtsrahmen und schärft das Bewusstsein für IKT-bezogene Cyber-Risiken und -Vorfälle bei Finanzorganisationen. Es verbessert die Zusammenarbeit zwischen Behörden verschiedener Sektoren und Länder und überwacht System- und Konzentrationsrisiken, die durch die Abhängigkeit des Finanzsektors von IKT-Drittanbietern entstehen. DORA führt auch einen Aufsichtsrahmen auf EU-Ebene für wichtige IKT-Dienstleister ein, um eine angemessene Kontrolle dieser Risiken zu gewährleisten.

Finanzunternehmen und ihre Lieferketten müssen die im Rahmen von DORA festgelegten Standards einhalten, um ihre digitale operative Widerstandsfähigkeit zu verbessern. Andernfalls kann es zu Durchsetzungsmaßnahmen, einschließlich Geldbußen, kommen.

Anwendungsbereich des DORA (Digital Operational Resilience Act)

Der DORA (Digital Operational Resilience Act) gilt für eine Vielzahl von Unternehmen und Dienstleistern innerhalb der Finanzbranche. Hierzu zählen:

  • CRR-Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, sowie Emittenten wertreferenzierter Token
  • Zentralverwahrer
  • Zentrale Gegenparteien
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen
  • Administratoren kritischer Referenzwerte
  • Schwarmfinanzierungsdienstleister
  • Verbriefungsregister
  • IKT-Dienstleister

Ausnahmen nach Artikel 2 Absatz 3 DORA

Nicht alle Unternehmen fallen unter den Geltungsbereich von DORA. Ausnahmen gelten für die folgenden Kategorien:

  • Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU
  • Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG
  • Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungssanwärtern betreiben
  • Natürliche oder juristische Personen, die gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommen sind
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine bzw. mittlere Unternehmen handelt
  • Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU

Für weitere Informationen und Details, insbesondere zu den Ausnahmen und speziellen Regelungen, empfiehlt sich ein Blick auf die Seite der BaFin:

Die neuen RTS/ITS:

Die neu veröffentlichten Standards präzisieren die Erwartungen an die Umsetzung und verringern den Interpretationsspielraum, den die DORA selbst offen lässt.

1. RTS zum IKT-Risikomanagement-Rahmen

Diese Regulierungsstandards konkretisieren die Anforderungen der Artikel 15 und 16 Abs.3 DORA in Bezug auf die Leitlinien und Verfahren zum Schutz, zur Prävention, zur Identifizierung und zur Reaktion im Zusammenhang mit dem Management von IKT-Risiken. Sie legen die Schlüsselelemente fest, über die Finanzunternehmen, die der vereinfachten Regelung unterliegen und von geringerem Umfang, Risiko, Größe und Komplexität sind, verfügen müssen, indem sie einen vereinfachten Rahmen für das IKT-Risikomanagement vorgeben und somit einen stärkeren Fokus auf die Verhältnismäßigkeit und den risikobasierten Ansatz für das IKT-Risikomanagement legen.

Es fällt auf, dass die neu veröffentlichten RTS insgesamt 20 Strategien und Verfahren für den IKT-Rahmen vorschreiben. Zum Beispiel sind Richtlinien erforderlich zu den Themen:

  • Verwaltung von IKT-Anlagen
  • Verschlüsselung und kryptografische Kontrollen,
  • ICT-Projektmanagement,
  • Erwerb, Entwicklung und Wartung von IKT-Systemen,
  • physische und umgebungsbezogene Sicherheit
  • Personalressourcen,
  • Identitätsmanagement,
  • Zugangskontrolle,
  • IKT-bezogenes Störungsmanagement,
  • IKT-Geschäftskontinuität

Es gibt leider keine genaue Beschreibung oder Gliederung des erforderlichen IKT-Risikomanagementrahmens, aber die jetzt veröffentlichten RTS geben den Finanzinstituten eine gute Vorstellung davon, welchen Inhalt ein solcher IKT-Rahmen haben muss und welche Änderungen sie dementsprechend an ihrem derzeitigen IKT-Risikomanagement vornehmen müssen.

DORA nimmt Gestalt an - das erste Paket der endgültigen RTS/ITS zu DORA ist da 1

2. RTS zu IKT-Vorfällen

In diesen neuen RTS werden die Kriterien für die Einstufung wichtiger IKT-bezogener Vorfälle, die Erheblichkeitsschwellen für jedes Einstufungskriterium, die Kriterien und Erheblichkeitsschwellen für die Bestimmung erheblicher Cyber-Bedrohungen, die Kriterien für die zuständigen Behörden zur Bewertung der Relevanz von Vorfällen für die zuständigen Behörden in anderen Mitgliedstaaten und die Einzelheiten der in diesem Zusammenhang zu übermittelnden Informationen zu Vorfällen festgelegt. Die Notwendigkeit hierzu wurde in Artikel 18 Abs. 33 DORA festgelegt und die RTS gewährleisten nun ein harmonisiertes und einfaches Verfahren zur Klassifizierung von Vorfallmeldungen im gesamten Finanzsektor. Zu diesem Zweck führt der RTS eine Liste von sieben Klassifizierungskriterien ein, anhand derer bestimmt werden kann, ob es sich bei einem Vorfall um einen “bedeutenden IKT-bezogenen Vorfall” handelt, und geben detaillierte Wesentlichkeitsschwellen für jedes Kriterium an.

Die Klassifizierungskriterien sind wie folgt definiert:

  1. kritische Dienste sind betroffen,
  2. Kunden, finanzielle Gegenparteien und Transaktionen,
  3. Datenverluste,
  4. Auswirkungen auf den Ruf,
  5. Dauer und Ausfallzeit des Dienstes,
  6. geografische Ausbreitung und
  7. wirtschaftliche Auswirkungen.

Alle Kriterien werden, mit Ausnahme der Kritikalität der betroffenen Dienste, gleich behandelt, was bedeutet, dass ein IKT-bezogener Vorfall nur dann als schwerwiegend eingestuft werden kann, wenn er Auswirkungen auf die kritischen Dienste des Finanzinstituts hat.

DORA nimmt Gestalt an - das erste Paket der endgültigen RTS/ITS zu DORA ist da 2Die neu veröffentlichten RTS basieren auf den Bestimmungen der Netz- und Informationssicherheitsrichtlinie 2 (NIS2) und der Zahlungsdiensterichtlinie 2 (PSD2) und orientieren sich an den Meldepflichten für Vorfälle nach § 54 ZAG sowie dem BaFin-Rundschreiben 03/2022 / EBA-Leitfaden. Diese Angleichung hilft Finanzinstituten, den Anpassungsaufwand für ihre bestehenden IKT-bezogenen Meldeprozesse zu reduzieren. Die RTS können hilfreich sein, um Unterschiede zu den bestehenden Rahmenwerken und die notwendigen Anpassungen zu identifizieren. Für Unternehmen, die bereits an diese Richtlinien gebunden sind, dürfte der zusätzliche Aufwand minimal sein. Andere Unternehmen müssen möglicherweise ihre bestehenden Bewertungs- und Meldeverfahren sowie die betroffenen Systeme anpassen, was mit höheren Kosten verbunden sein kann.

3. RTS zur Auslagerung von kritischen oder wichtigen Funktionen

Diese neuen RTS spezifizieren Teile der Governance-Regelungen, des Risikomanagements und des internen Kontrollrahmens, die Finanzunternehmen in Bezug auf die Nutzung von IKT-Drittanbietern haben sollten. Sie sollen sicherstellen, dass die Finanzunternehmen während des gesamten Lebenszyklus der vertraglichen Vereinbarungen mit IKT-Drittanbietern die Kontrolle über ihre operationellen Risiken, die Informationssicherheit und die Geschäftskontinuität behalten.

Mit diesen neuen RTS haben Finanzunternehmen nun eine Vorstellung davon, welche Richtlinien für Verträgen und Vereinbarungen mit Drittanbietern gelten sollten, insbesondere dann, wenn ausgelagerte IKT-Dienstleistungen kritische oder wesentliche Funktionen unterstützen. Dazu gehören auch die Bestimmungen, die von den Finanzunternehmen verlangen, dass sie die internen Zuständigkeiten für die Genehmigung, Verwaltung, Kontrolle und Dokumentation von vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von Drittanbietern zur Unterstützung ihrer kritischen oder wichtigen Funktionen erbracht werden, klar zuweisen. Zwar geben die RTS nun Anweisungen für Strategien und Prozesse, aber die strengen Anforderungen für interne und externe Dienstleistungsverträge werden erhebliche zusätzliche Anpassungs- und Ergänzungsarbeiten nach sich ziehen.

Die RTS schließen ausdrücklich interne (konzerninterne) IKT-Dienstleister als Drittanbieter ein, legen aber die Bedingungen für deren Management und Ausstiegsstrategien positiv fest. Andererseits werden auch interne Dienstleister ein verbessertes Management mit Service Level Agreements (SLAs) und KPI-Berichterstattung benötigen.

4. ITS zum IKT-Auslagerungsregister

Dieser ITS enthält die Vorlagen für ein IKT-Auslagerungsregister, das von Finanzunternehmen in Bezug auf ihre vertraglichen Vereinbarungen mit IKT-Drittanbietern zu führen und zu aktualisieren ist.

Die nun veröffentlichte Vorlage besteht aus einer Reihe offener Tabellen, die alle durch die Verwendung verschiedener spezifischer Schlüssel miteinander verbunden sind und eine relationale Struktur bilden. Der ITS gibt einen einzigen Satz von Vorlagen vor, der allen Finanzinstituten gemeinsam ist und für die Meldung von Informationen im IKT-Auslagerungsregister verwendet werden soll. Das Hauptziel besteht darin, die Abhängigkeiten von IKT-Drittdienstleistern für die Aufsichtsbehörden transparent zu machen. Das Register ist auf der Ebene jeder einzelnen Einheit, auf subkonsolidierter und konsolidierter Ebene, zu führen und muss alle Vertragsdetails mit IKT-Drittanbietern enthalten. Der Umfang der erforderlichen Daten hängt von der Bedeutung der Dienstleistung ab, übersteigt aber häufig die bisherigen Informationsanforderungen. Der ITS legt auch spezifische Anforderungen für die Umsetzung, die zu erfassenden Informationen und das zugrunde liegende Datenmodell fest.

Das IKT-Auslagerungsregister wird eine entscheidende Rolle im Rahmen des IKT-Drittanbieter-Risikomanagements der Finanzunternehmen spielen und von den zuständigen Behörden im Zusammenhang mit der Überwachung der Einhaltung der DORA-Vorschriften und der Benennung von kritischen IKT-Drittanbietern, die der DORA-Aufsicht unterliegen, verwendet werden. Für viele Unternehmen wird die Einrichtung dieses Registers mit erheblichem Aufwand verbunden sein, sei es wegen der Notwendigkeit zur Einführung neuer Instrumente oder durch die Notwendigkeit zur umfangreichen Änderung an bestehenden Systemen.

Nächste Schritte für Finanzinstitute

2024 ist das Jahr der Umsetzungsarbeiten für den Finanzsektor. Unternehmen müssen sich auf das Inkrafttreten von Vorschriften wie DORA oder der EU-Verordnung über Märkte für Krypto-Assets (MiCA) vorbereiten. Die Europäische Kommission wird die neu veröffentlichten RTS und ITS zu DORA überprüfen und es wird erwartet, dass sie ab dem 17. Januar 2025 für Finanzunternehmen verbindlich werden.

Finanzinstitute sollten daher damit beginnen, ihre Gap-Analyse auf der Grundlage dieses jetzt veröffentlichten endgültigen Entwurfs durchzuführen oder zu aktualisieren. Sie sollten ihre Notfallstrategien und Grundsatzdokumente auf Übereinstimmung mit den neu veröffentlichten RTS überprüfen. Darüber hinaus sollten die Finanzinstitute ihre Strategie für den Umgang mit IKT-Risiken, insbesondere mit IKT-Drittparteirisiken, entwickeln oder verbessern und ihren Risikomanagementrahmen, ihre IKT-Auslagerungspolitik und ihr IKT-Auslagerungsregister entsprechend verbessern.

Auf der Grundlage ihrer IKT-Outsourcing-Strategie müssen die Finanzinstitute eine vorvertragliche Risikoanalyse durchführen, um zu prüfen, ob ein externer IKT-Dienstleister angemessene Informationssicherheitsstandards einhält. Diese Anforderung verschärft sich, wenn Drittanbieter von IKT-Dienstleistungen für kritische oder wichtige Funktionen eingesetzt werden, bei denen Finanzunternehmen prüfen müssen, ob die neuesten und höchsten Qualitätsstandards für die Informationssicherheit angewendet werden. Darüber hinaus müssen Art und Anzahl der neuen IKT-Verträge jährlich an die BaFin gemeldet werden. Bei der Beauftragung von IKT-Drittanbietern sind zudem die in Artikel 30 DORA festgelegten Mindestvertragsinhalte zu beachten. Es wird empfohlen, Vertragsvorlagen zu verwenden, die bei Neuabschluss eines Vertrages nach Bedarf angepasst werden. Darüber hinaus sollte es auch eine Richtlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen geben.

Auch wenn aufgrund der Anforderungen der bankaufsichtlichen Anforderungen an die IT (BAIT) oder der Anforderungen an die IT von Zahlungsinstituten (ZAIT) einige der notwendigen Richtlinien oder Anweisungen bereits bestehen sollten, müssen diese bereits jetzt auf Basis der DORA und der neu veröffentlichten RTS/ITS überarbeitet und ergänzt werden, um sicherzustellen, dass alle Anforderungen Anfang 2025 erfüllt sind.

Das DORA-Programm von Annerton



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like