Wie die neuen technischen Standards die DORA-Anforderungen konkretisieren – und was dies für Ihr Unternehmen bedeutet

Ausgangslage

Am 16.1.2023 ist die DORA-Verordnung (Digital Operational Resilience Act), die Vorgaben zur digitalen und operationellen Widerstandsfähigkeit im Finanzsektor enthält, in Kraft getreten. Sie gilt ab dem 17.1.2025. Bereits im vergangenen Jahr haben wir über die Inhalte und Bedeutung der DORA informiert. Damals haben wir u.a. darauf hingewiesen, dass zu Beginn des Jahres 2024 technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) veröffentlicht werden sollten, die die Vorgaben der DORA weiter konkretisieren. 

Die Standards werden in zeitlich aufeinanderfolgenden Chargen (sogenannten „batches“) erarbeitet. Die Standards der ersten Charge („first batch“) sind kürzlich veröffentlicht worden, die der zweiten Charge („second batch“) befinden sich derzeit noch in der Entwicklung.

Inhalte des „first batch“

Die vier finalisierten Standards des „first batch“ konkretisieren die DORA hinsichtlich der folgenden Themen, wobei das Kürzel „IKT“ für „Informations- und Kommunikationstechnologien“ steht:

  • Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens,
  • Standardvorlagen zu Zwecken des Informationsregisters in Bezug auf alle vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden,
  • Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden,
  • Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle.

Die Standards enthalten zusätzliche Vorgaben in nicht zu unterschätzendem Umfang. So umfassen die erstgenannten „RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens“ insgesamt 42 Artikel mit Anforderungen an den gemäß DORA zu implementierenden Risikomanagementrahmen. Diese geben insbesondere vor, wie die nach DORA erforderlichen Richtlinien, Verfahren, Protokolle und Tools inhaltlich ausgestaltet werden müssen. 

Bedeutung für Finanzunternehmen

Allein die „RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens“ enthalten detaillierte Vorgaben für Richtlinien, Verfahren, Protokolle und Tools unter anderem in Bezug auf 

  • das Management von IKT-Assets, 
  • Verschlüsselung und kryptografische Kontrollen, 
  • das Management der IKT-Vorgänge, 
  • das Kapazitäts- und Leistungsmanagement, 
  • das Schwachstellen- und Patch-Management, 
  • die Daten- und Systemsicherheit, 
  • das IKT-Projekt- und -Änderungsmanagement, 
  • Personalpolitik und Zugangskontrolle, 
  • die Erkennung und Behandlung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle, 
  • das Management der IKT-Geschäftsfortführung,
  • den Bericht über die Überprüfung des IKT-Risikomanagementrahmens sowie 
  • den vereinfachten Risikomanagementrahmen.

All diese umfangreichen Vorgaben müssen zusätzlich zu den ohnehin schon weitreichenden Anforderungen der DORA eingehalten werden. Sie stellen aber zugleich wichtige Orientierungshilfen bei der Einhaltung der DORA dar. Zudem enthalten die RTS und ITS sinnvolle und gründliche Maßnahmen zur Steigerung der digitalen und operationellen Resilienz von Finanzunternehmen. Dies ist gerade im Kontext des andauernden technologischen Fortschritts, der damit verbundenen wachsenden Bedeutung von Informations- und Kommunikationstechnologien und der dadurch stetig steigenden Gefahr von Cyberangriffen wichtig und richtig. Die DORA und die zugehörigen Standards stehen also nicht nur für lästige, anspruchsvolle und zeitaufwendige Mehrarbeit, sondern stellen zugleich eine Chance dar, von IKT-bezogenen Vorfällen und Cyberangriffen ausgehende Gefahren für das eigene Unternehmen zu reduzieren.

Ausblick auf das „second batch“

Wie oben bereits erwähnt, wird es bei diesen ersten vier RTS bzw. ITS nicht bleiben. Derzeit befindet sich das „second batch“ in Entwicklung. Dieses muss bis zum 17.7.2024 finalisiert sein. Die bisherigen Entwürfe für das „second batch“ kommen hinsichtlich ihres jeweiligen Umfangs zwar nicht an die genannten 42 Artikel aus dem „first batch“ heran. Insgesamt kommen aber auch mit dem „second batch“ weitreichende zusätzliche Anforderungen auf Finanzunternehmen zu. 

Empfehlung

Wir raten betroffenen Unternehmen dazu, bereits jetzt mit der Umsetzung der DORA- und RTS- bzw. ITS-Maßnahmen zu beginnen, sodass im Juli idealerweise nur noch die Implementierung der Maßnahmen aus dem „second batch“ aussteht. Unternehmen, die mit der Umsetzung noch warten, können leicht in Zeitnot geraten und von den vielen Vorgaben der DORA, dem „first batch“ und dem „second batch“ überschwemmt werden. Dann wird es schwer, bis zum 17.1.2025 für die DORA bereit zu sein.

Gerne unterstützen wir Sie bei der Einhaltung der DORA-Vorgaben. Wir bieten u.a. die folgenden Leistungen an:

  • Durchführung Gap-Analyse
  • Würdigung juristischer Detailfragen
  • Aufbau / Fortentwicklung IT-Risikomanagement
  • Erstellung eines Notfallplans
  • Durchführung von Penetrationstests
  • Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern
  • Überwachung IT-Systeme (SOC as a Service)

Ähnliche Beiträge

Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink