Wie die neuen technischen Standards die DORA-Anforderungen konkretisieren – und was dies für Ihr Unternehmen bedeutet

Ausgangslage

Am 16.1.2023 ist die DORA-Verordnung (Digital Operational Resilience Act), die Vorgaben zur digitalen und operationellen Widerstandsfähigkeit im Finanzsektor enthält, in Kraft getreten. Sie gilt ab dem 17.1.2025. Bereits im vergangenen Jahr haben wir über die Inhalte und Bedeutung der DORA informiert. Damals haben wir u.a. darauf hingewiesen, dass zu Beginn des Jahres 2024 technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) veröffentlicht werden sollten, die die Vorgaben der DORA weiter konkretisieren. 

Die Standards wurden in zeitlich aufeinanderfolgenden Chargen (sogenannten batches) erarbeitet. Für die Standards der ersten Charge („first batch“) sind durch die Europäische Kommission bereits weitgehend delegierte Rechtsakte erlassen worden, für die der zweiten Charge („second batch“) haben die Europäischen Aufsichtsbehörden kürzlich ihre finalen Entwürfe zur Überprüfung an die Europäische Kommission versandt.

Inhalte des „first batch“

Die vier Standards des „first batch“ konkretisieren die DORA hinsichtlich der folgenden Themen, wobei das Kürzel „IKT“ für „Informations- und Kommunikationstechnologien“ steht:

  • Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens,

  • Standardvorlagen zu Zwecken des Informationsregisters in Bezug auf alle vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden (bislang kein delegierter Rechtsakt erlassen),

  • Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden,

  • Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle.

Inhalte des „second batch“

In dem „second batch“ wurden fünf technische Regulierungsstandards, ein technischer Durchführungsstandard sowie zwei Leitlinien veröffentlicht, die aktuell aber noch nicht in Form von delegierten Rechtsakten von der Europäischen Kommission umgesetzt wurden. Im Einzelnen handelt es sich dabei um die folgenden Standards:

  • RTS zur Festlegung des Inhalts der Meldung schwerwiegender IKT-Vorfälle und erheblicher Cyberbedrohungen sowie zur Bestimmung der Fristen der Meldung von schwerwiegenden Vorfällen,

  • ITS zur Festlegung von Standardformularen, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung,

  • RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten,

  • RTS zu der Zusammensetzung des „joint examination team“ (JET),

  • RTS zu Threat Led Penetration Testing (TLPT),

  • RTS zur Spezifizierung der Elemente, die ein Finanzunternehmen bestimmen und bewerten muss, wenn es IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen untervergeben hat,

  • Leitlinien zu den geschätzten Kosten und Verlusten durch schwerwiegende IKT-bezogene Vorfälle

  • Leitlinien für die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden.

Weitere bereits erlassene delegierte Rechtsakte

Außerhalb dieser beiden Chargen wurden zudem noch zwei weitere delegierte Rechtsakte durch die Europäische Kommission erlassen. Diese befassen sich mit den folgenden Themen:

  • Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch,

  • Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren.

Bedeutung für Finanzunternehmen

Die Standards enthalten zusätzliche Vorgaben in nicht zu unterschätzendem Umfang. So umfassen die erstgenannten „RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens“ insgesamt 42 Artikel mit Anforderungen an den gemäß DORA zu implementierenden Risikomanagementrahmen. Diese geben insbesondere vor, wie die nach DORA erforderlichen Richtlinien, Verfahren, Protokolle und Tools inhaltlich ausgestaltet werden müssen. 

Allein diese „RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und Festlegung des vereinfachten IKT-Risikomanagementrahmens“ enthalten schon detaillierte Vorgaben für Richtlinien, Verfahren, Protokolle und Tools unter anderem in Bezug auf:

  • das Management von IKT-Assets, 

  • Verschlüsselung und kryptografische Kontrollen, 

  • das Management der IKT-Vorgänge, 

  • das Kapazitäts- und Leistungsmanagement, 

  • das Schwachstellen- und Patch-Management, 

  • die Daten- und Systemsicherheit, 

  • das IKT-Projekt- und -Änderungsmanagement, 

  • Personalpolitik und Zugangskontrolle, 

  • die Erkennung und Behandlung IKT-bezogener Vorfälle und die Reaktion auf solche Vorfälle, 

  • das Management der IKT-Geschäftsfortführung,

  • den Bericht über die Überprüfung des IKT-Risikomanagementrahmens sowie 

  • den vereinfachten Risikomanagementrahmen.

All diese umfangreichen Vorgaben müssen zusätzlich zu den ohnehin schon weitreichenden Anforderungen der DORA eingehalten werden. Sie stellen aber zugleich wichtige Orientierungshilfen bei der Einhaltung der DORA dar. Zudem enthalten die RTS, ist und Leitlinien sinnvolle und gründliche Maßnahmen zur Steigerung der digitalen und operationellen Resilienz von Finanzunternehmen. Dies ist gerade im Kontext des andauernden technologischen Fortschritts, der damit verbundenen wachsenden Bedeutung von Informations- und Kommunikationstechnologien und der dadurch stetig steigenden Gefahr von Cyberangriffen wichtig und richtig. Die DORA und die zugehörigen Standards stehen also nicht nur für lästige, anspruchsvolle und zeitaufwendige Mehrarbeit, sondern stellen zugleich eine Chance dar, von IKT-bezogenen Vorfällen und Cyberangriffen ausgehende Gefahren für das eigene Unternehmen zu reduzieren.

Empfehlung

Wir raten betroffenen Unternehmen dazu, bereits jetzt mit der Umsetzung der DORA- und RTS- bzw. ITS-Maßnahmen zu beginnen, sodass idealerweise nur noch die Implementierung der Maßnahmen aus dem „second batch“ aussteht. Unternehmen, die mit der Umsetzung noch warten, können leicht in Zeitnot geraten und von den vielen Vorgaben der DORA, dem „first batch“ und dem „second batch“ überschwemmt werden. Dann wird es schwer, bis zum 17.1.2025 für die DORA bereit zu sein.

Gerne unterstützen wir Sie bei der Einhaltung der DORA-Vorgaben. Wir bieten u.a. die folgenden Leistungen an:

  • Durchführung Gap-Analyse

  • Würdigung juristischer Detailfragen

  • Aufbau/Fortentwicklung IT-Risikomanagement

  • Erstellung eines Notfallplans

  • Durchführung von Penetrationstests

  • Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern

  • Überwachung IT-Systeme (SOC as a Service)

Ähnliche Beiträge

Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink