Wie die neuen technischen Standards die DORA-Anforderungen konkretisieren – und was dies für Ihr Unternehmen bedeutet
Ausgangslage
Am 16.1.2023 ist die DORA-Verordnung (Digital Operational Resilience Act), die Vorgaben zur digitalen und operationellen Widerstandsfähigkeit im Finanzsektor enthält, in Kraft getreten. Sie gilt ab dem 17.1.2025. Bereits im vergangenen Jahr haben wir über die Inhalte und Bedeutung der DORA informiert. Damals haben wir u.a. darauf hingewiesen, dass zu Beginn des Jahres 2024 technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) veröffentlicht werden sollten, die die Vorgaben der DORA weiter konkretisieren.
Die Standards wurden in zeitlich aufeinanderfolgenden Chargen (sogenannten batches) erarbeitet. Für die Standards der ersten Charge („first batch“) sind durch die Europäische Kommission bereits weitgehend delegierte Rechtsakte erlassen worden, für die der zweiten Charge („second batch“) haben die Europäischen Aufsichtsbehörden kürzlich ihre finalen Entwürfe zur Überprüfung an die Europäische Kommission versandt.
Inhalte des „first batch“
Die vier Standards des „first batch“ konkretisieren die DORA hinsichtlich der folgenden Themen, wobei das Kürzel „IKT“ für „Informations- und Kommunikationstechnologien“ steht:
-
Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens,
-
Standardvorlagen zu Zwecken des Informationsregisters in Bezug auf alle vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden (bislang kein delegierter Rechtsakt erlassen),
-
Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden,
-
Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle.
Inhalte des „second batch“
In dem „second batch“ wurden fünf technische Regulierungsstandards, ein technischer Durchführungsstandard sowie zwei Leitlinien veröffentlicht, die aktuell aber noch nicht in Form von delegierten Rechtsakten von der Europäischen Kommission umgesetzt wurden. Im Einzelnen handelt es sich dabei um die folgenden Standards:
-
RTS zur Festlegung des Inhalts der Meldung schwerwiegender IKT-Vorfälle und erheblicher Cyberbedrohungen sowie zur Bestimmung der Fristen der Meldung von schwerwiegenden Vorfällen,
-
ITS zur Festlegung von Standardformularen, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung,
-
RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten,
-
RTS zu der Zusammensetzung des „joint examination team“ (JET),
-
RTS zu Threat Led Penetration Testing (TLPT),
-
RTS zur Spezifizierung der Elemente, die ein Finanzunternehmen bestimmen und bewerten muss, wenn es IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen untervergeben hat,
-
Leitlinien zu den geschätzten Kosten und Verlusten durch schwerwiegende IKT-bezogene Vorfälle
-
Leitlinien für die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden.
Weitere bereits erlassene delegierte Rechtsakte
Außerhalb dieser beiden Chargen wurden zudem noch zwei weitere delegierte Rechtsakte durch die Europäische Kommission erlassen. Diese befassen sich mit den folgenden Themen:
-
Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch,
-
Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren.
Bedeutung für Finanzunternehmen
Die Standards enthalten zusätzliche Vorgaben in nicht zu unterschätzendem Umfang. So umfassen die erstgenannten „RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens“ insgesamt 42 Artikel mit Anforderungen an den gemäß DORA zu implementierenden Risikomanagementrahmen. Diese geben insbesondere vor, wie die nach DORA erforderlichen Richtlinien, Verfahren, Protokolle und Tools inhaltlich ausgestaltet werden müssen.
Allein diese „RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens“ enthalten schon detaillierte Vorgaben für Richtlinien, Verfahren, Protokolle und Tools unter anderem in Bezug auf:
-
das Management von IKT-Assets,
-
Verschlüsselung und kryptografische Kontrollen,
-
das Management der IKT-Vorgänge,
-
das Kapazitäts- und Leistungsmanagement,
-
das Schwachstellen- und Patch-Management,
-
die Daten- und Systemsicherheit,
-
das IKT-Projekt- und -Änderungsmanagement,
-
Personalpolitik und Zugangskontrolle,
-
die Erkennung und Behandlung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle,
-
das Management der IKT-Geschäftsfortführung,
-
den Bericht über die Überprüfung des IKT-Risikomanagementrahmens sowie
-
den vereinfachten Risikomanagementrahmen.
All diese umfangreichen Vorgaben müssen zusätzlich zu den ohnehin schon weitreichenden Anforderungen der DORA eingehalten werden. Sie stellen aber zugleich wichtige Orientierungshilfen bei der Einhaltung der DORA dar. Zudem enthalten die RTS, ist und Leitlinien sinnvolle und gründliche Maßnahmen zur Steigerung der digitalen und operationellen Resilienz von Finanzunternehmen. Dies ist gerade im Kontext des andauernden technologischen Fortschritts, der damit verbundenen wachsenden Bedeutung von Informations- und Kommunikationstechnologien und der dadurch stetig steigenden Gefahr von Cyberangriffen wichtig und richtig. Die DORA und die zugehörigen Standards stehen also nicht nur für lästige, anspruchsvolle und zeitaufwendige Mehrarbeit, sondern stellen zugleich eine Chance dar, von IKT-bezogenen Vorfällen und Cyberangriffen ausgehende Gefahren für das eigene Unternehmen zu reduzieren.
Empfehlung
Wir raten betroffenen Unternehmen dazu, bereits jetzt mit der Umsetzung der DORA- und RTS- bzw. ITS-Maßnahmen zu beginnen, sodass idealerweise nur noch die Implementierung der Maßnahmen aus dem „second batch“ aussteht. Unternehmen, die mit der Umsetzung noch warten, können leicht in Zeitnot geraten und von den vielen Vorgaben der DORA, dem „first batch“ und dem „second batch“ überschwemmt werden. Dann wird es schwer, bis zum 17.1.2025 für die DORA bereit zu sein.
Gerne unterstützen wir Sie bei der Einhaltung der DORA-Vorgaben. Wir bieten u.a. die folgenden Leistungen an:
-
Durchführung Gap-Analyse
-
Würdigung juristischer Detailfragen
-
Aufbau/Fortentwicklung IT-Risikomanagement
-
Erstellung eines Notfallplans
-
Durchführung von Penetrationstests
-
Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern
-
Überwachung IT-Systeme (SOC as a Service)