Suche
deen

Branchen

DORA: Finale Entwürfe der technischen Regulierungs- und Implementierungsstandards

Die drei ESAs (EBA, EI­OPA und ESMA) ha­ben am 17.01.2024 die ers­ten fi­na­len Entwürfe der tech­ni­schen Re­gu­lie­rungs- (RTS) und Im­ple­men­tie­rungs­stan­dards (ITS) zu DORA veröff­ent-licht. Sie zie­len dar­auf ab, die di­gi­tale ope­ra­tio­nelle Wi­der­standsfähig­keit des EU-Fi­nanz­sek­tors durch die Stärkung der In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT) der Fi­nanz­in­sti­tute so­wie des Ri­si­ko­ma­nage­ments und der Be­richt­er­stat­tung über Zwi­schenfälle zu ver­bes­sern.

Zu den ge­mein­sa­men endgülti­gen Entwürfen tech­ni­scher Stan­dards gehören:

  • RTS zum IKT-Ri­si­ko­ma­nage­men­trah­men (Art. 15),
  • RTS zum ver­ein­fach­ten IKT-Ri­si­ko­ma­nage­men­trah­men (Art. 16 Abs. 3),
  • RTS zu Kri­te­rien für die Klas­si­fi­zie­rung von IKT-be­zo­ge­nen Vorfällen (Art. 18 Abs. 3),
  • RTS zur Leit­li­nie in Be­zug auf die Nut­zung von IKT-Dienst­leis­tun­gen von kri­ti­schen oder wich­ti­gen Funk­tio­nen (Art. 28 Abs. 10) und
  • ITS zur Er­stel­lung ei­ner Stan­dard­vor­lage für das In­for­ma­ti­ons­re­gis­ter (Art. 28 Abs. 9).

RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen

Der RTS-Ent­wurf zum IKT-Ri­si­ko­ma­nage­men­trah­men legt wei­tere Ele­mente im Zu­sam­men­hang mit dem IKT-Ri­si­ko­ma­nage­ment fest, um In­stru­mente, Me­tho­den, Pro­zesse und Stra­te­gien zu har­mo­ni­sie­ren. Diese Ele­mente ergänzen die in der DORA ge­nann­ten Ele­mente. Die bei­den RTS-Entwürfe iden­ti­fi­zie­ren die Schlüssel­ele­mente, die Fi­nanz­un­ter­neh­men, die von ge­rin­ge­rem Um­fang, Ri­siko, Größe und Kom­ple­xität sind, und da­mit den ver­ein­fach­ten Re­ge­lun­gen un­ter­lie­gen, vor­hal­ten müssen, und le­gen einen ver­ein­fach­ten IKT-Ri­si­ko­ma­nage­men­trah­men fest. Die RTS sol­len si­cher­stel­len, dass die An­for­de­run­gen an das IKT-Ri­si­ko­ma­nage­ment zwi­schen den ver­schie­de­nen Fi­nanz­sek­to­ren har­mo­ni­siert sind.

RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen

Der RTS-Ent­wurf spe­zi­fi­ziert die Kri­te­rien für:

  • die Ein­stu­fung größerer IKT-be­zo­ge­ner Vorfälle,
  • den An­satz für die Ein­stu­fung größerer Vorfälle,
  • die Er­heb­lich­keits­schwel­len für je­des Ein­stu­fungs­kri­te­rium,
  • die Kri­te­rien und Er­heb­lich­keits­schwel­len für die Be­stim­mung si­gni­fi­kan­ter Cy­ber-Be­dro­hun­gen,
  • die Kri­te­rien für die zuständi­gen Behörden zur Be­wer­tung der Re­le­vanz von Vorfällen für die zuständi­gen Behörden in an­de­ren Mit­glied­staa­ten und
  • die Ein­zel­hei­ten der Vorfälle, die in die­sem Zu­sam­men­hang wei­ter­ge­ge­ben wer­den.

Der RTS soll für ein har­mo­ni­sier­tes Ver­fah­ren zur Klas­si­fi­zie­rung von Mel­dun­gen über IKT-Vorfälle im ge­sam­ten Fi­nanz­sek­tor sor­gen.

RTS zur IKT-TPP-Policy

Der RTS-Ent­wurf spe­zi­fi­ziert Teile der Go­ver­nance-Re­ge­lun­gen, des Ri­si­ko­ma­nage­ments und des in­ter­nen Kon­troll­rah­mens, über die Fi­nanz­un­ter­neh­men bei Nut­zung von IKT-Dritt­an­bie­tern verfügen sol­len. Die Re­ge­lun­gen sol­len si­cher­stel­len, dass Fi­nanz­un­ter­neh­men die Kon­trolle über ihre ope­ra­tio­nel­len Ri­si­ken, die In­for­ma­ti­ons­si­cher­heit und die Ge­schäfts­kon­ti­nuität während des ge­sam­ten Le­bens­zy­klus der ver­trag­li­chen Ver­ein­ba­run­gen mit sol­chen IKT-Dritt­an­bie­tern be­hal­ten.

ITS über das Informationsregister

Der ITS-Ent­wurf legt die Tem­pla­tes fest, die von den Fi­nanz­un­ter­neh­men in Be­zug auf ihre ver­trag­li­chen Ver­ein­ba­run­gen mit IKT-Dritt­dienst­leis­tern zu führen und zu ak­tua­li­sie­ren sind. Das In­for­ma­ti­ons­re­gis­ter soll eine ent­schei­dende Rolle im Rah­men des IKT-Dritt­an­bie­ter-Ri­si­ko­ma­nage­ments der Fi­nanz­un­ter­neh­men spie­len und von den zuständi­gen Behörden und den ESA im Zu­sam­men­hang mit der Über­wa­chung der Ein­hal­tung der DORA-Vor­schrif­ten durch die Fi­nanz­un­ter­neh­men und der Be­nen­nung von kri­ti­schen IKT-Dritt­an­bie­tern, die der DORA-Auf­sicht un­ter­lie­gen, ver­wen­det wer­den.

Die fi­na­len Fas­sun­gen der Entwürfe sol­len in den kom­men­den Mo­na­ten von der EU-Kom­mis­sion im Amts­blatt der EU veröff­ent­licht wer­den.

Hin­weis: Für wei­tere In­for­ma­tio­nen zum Thema DORA ver­wei­sen wir auf un­se­ren Bei­trag „Di­gi­tal Ope­ra­tio­nal Re­si­li­ence Act - Neue­run­gen für Fi­nanz­un­ter­neh­men und kri­ti­sche IT-Dienst­leis­ter“ in der 1. Aus­gabe 2023 un­se­res no­vus Fi­nan­cial Ser­vices.

Ingo van Dyck, Nasim Jenkouk, 20.03.2024 nach oben

Das könnte Sie auch interessieren

Re­fe­ren­ten­ent­wurf ei­nes Fi­nanz­markt­di­gi­ta­li­sie­rungs­ge­set­zes

Die kryp­to­spe­zi­fi­sche Re­gu­lie­rung auf na­tio­na­ler Ebene wie auf EU-Ebene schrei­tet wei­ter voran. Am 23.10.2023 hat das Bun­des­fi­nanz­mi­nis­te­rium den Re­fe­ren­ten­ent­wurf für ein Ge­setz über die Di­gi­ta­li­sie­rung des Fi­nanz­mark­tes (Fi­nanz­mark­di­gi­ta­li­sie­rungs­ge­setz - kurz: Finma-diG) veröff­ent­licht.  ...lesen Sie mehr

Di­gi­tal Ope­ra­tio­nal Re­si­li­ence Act - Neue­run­gen für Fi­nanz­un­ter­neh­men und kri­ti­sche IT-Dienst­leis­ter

Die Di­gi­ta­li­sie­rung im Bank­ge­schäft schrei­tet im­mer wei­ter voran. Hier­durch wer­den The­men der IT-Si­cher­heit so­wie Cy­ber­ri­si­ken in Fi­nanz­un­ter­neh­men und bei den da­hin­ter­ste­hen­den IT-Dienst­leis­tern im­mer präsen­ter. Man­gels ein­heit­li­cher Re­gu­lie­rung für den Fi­nanz­sek­tor in der EU sind die IT-Si­cher­heits­min­dest­stan­dards, wel­che Fi­nanz­un­ter­neh­men um­set­zen müssen, in den ein­zel­nen EU-Mit­glied­staa­ten bis­lang stark un­ter­schied­lich aus­geprägt.  ...lesen Sie mehr

Fin­ma­diG & Co. - Zum Stand der kryp­to­spe­zi­fi­schen Re­gu­lie­rung auf na­tio­na­ler und EU-Ebene

Die kryp­to­spe­zi­fi­sche Re­gu­lie­rung auf na­tio­na­ler Ebene wie auf EU-Ebene schrei­tet wei­ter voran. Anläss­lich des am 23. Ok­to­ber 2023 veröff­ent­lich­ten Re­fe­ren­ten­ent­wurfs zum Fi­nanz­mark­di­gi­ta­li­sie­rungs­ge­setz wird nach­ste­hend der Stand der kryp­to­spe­zi­fi­schen Re­gu­lie­rung auf na­tio­na­ler und EU-Ebene erläutert.  ...lesen Sie mehr

Sys­teme zur An­griffs­er­ken­nung - Ori­en­tie­rungs­hilfe des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik zur Um­set­zung

Am 28.5.2021 trat das IT-Si­cher­heits­ge­setz 2.0 (IT-SiG) in Kraft. Wie be­reits das IT-SiG 1.0, be­dingte auch die Ver­sion 2.0 als Ar­ti­kel­ge­setz weit­rei­chende Ände­run­gen in ei­ner gan­zen Reihe von Ein­zel­ge­set­zen (ne­ben dem BSI-Ge­setz – BSIG – u. a. das En­er­gie­wirt­schafts­ge­setz (EnWG) und das Te­le­kom­mu­ni­ka­ti­ons­ge­setz). Das IT-SiG 2.0 geht ins­be­son­dere mit zusätz­li­chen Pflich­ten, u. a. für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren (KRI­TIS-Be­trei­ber), ein­her. Diese sind z. B. ver­pflich­tet, ab dem 01.05.2023 ganz­heit­li­che Sys­teme zur An­griffs­er­ken­nung (SzA) nach dem gel­ten­den Stand der Tech­nik ein­zu­set­zen und dies ge­genüber dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) nach­zu­wei­sen (§ 8a Abs. 1a BSIG). KRI­TIS-Be­trei­ber müssen den Ein­satz der SzA ab dem 01.05.2023 mit dem nächs­ten fälli­gen Nach­weis gemäß § 8a Abs. 3 BSIG dar­le­gen. Für Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen und En­er­gie­an­la­gen, die nach § 8d BSIG von der KRI­TIS-Re­gu­lie­rung gemäß BSIG aus­ge­nom­men sind, gel­ten die Neue­run­gen für SzA par­al­lel gemäß § 11 Ab­satz 1e und 1f EnWG. Be­trei­ber von En­er­gie­ver­sor­gungs­net­zen und sol­chen En­er­gie­an­la­gen, die nach der Rechts­ver­ord­nung gemäß § 10 Ab­satz 1 BSIG als Kri­ti­sche In­fra­struk­tur gel­ten, ha­ben un­abhängig vom nächs­ten fälli­gen Nach­weis gemäß § 11 Ab­satz 1f EnWG dem BSI be­reits am 01.05.2023 und da­nach alle zwei Jahre die Erfüllung der An­for­de­run­gen nach § 11 Ab­satz 1e EnWG nach­zu­wei­sen.  ...lesen Sie mehr