Letztes Update: 30.07.2024
Der Digital Operational Resilience Act (DORA) soll eine Stärkung der digitalen Resilienz im europäischen Finanzsektor bewirken. Dazu werden in der EU-Verordnung entsprechende Anforderungen an betroffene Finanzinstitute und ihre IKT-Drittdienstleister in 45 Artikeln formuliert. Für diese Unternehmen besteht die Herausforderung nun darin, aus den Anforderungen der Verordnung konkrete Umsetzungsmaßnahmen für ihr Haus abzuleiten.
Die Europäischen Aufsichtsbehörden (ESA) veröffentlichen daher neben der Verordnung ergänzende Standards und Leitlinien, die verbindliche Vorgaben und Hilfestellungen zur Umsetzung enthalten. So auch am 17. Juli 2024: Weniger als sechs Monate, bevor DORA Anwendung findet, veröffentlichten die ESA ein zweites Paket aus RTS, ITS und weiteren Leitlinien. Schwerpunktthemen des Pakets sind bedrohungsorientierte Penetrationstests sowie der Melderahmen für IKT-bezogene Vorfälle.
Wozu dienen RTS & ITS?
Für Finanzunternehmen ist es heutzutage immer wichtiger, die Risiken der Digitalisierung und die damit verbundene hohe Abhängigkeit von Informations- und Kommunikationstechnologie (IKT) durch eine geeignete Organisationsstruktur und ein effektives internes Kontrollsystem (IKS) zu bewältigen. Dabei spielen die Regulatory Technical Standards (RTS) und die Implementing Technical Standards (ITS) eine entscheidende Rolle: Sie liefern betroffenen Unternehmen konkrete Hilfestellungen, um die Anforderungen und Bestimmungen der DORA-Verordnung umzusetzen.
Die Verantwortung für die Konzeptionierung der beiden Standards tragen die Europäischen Aufsichtsbehörden (European Supervisory Authorities, kurz ESA), bestehend aus
- der Europäischen Bankenaufsichtsbehörde (EBA),
- der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA),
- und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
Regulatory Technical Standards (RTS)
Die RTS sind verbindliche technische Standards. Sie konkretisieren die in DORA festgelegten Anforderungen und legen fest, wie diese in der Praxis umzusetzen sind.
Beispielsweise enthält der RTS für das Reporting von schwerwiegenden IKT-bezogenen Vorfällen eine Auflistung von konkreten Inhalten für die initiale Meldung und spezifiziert den Zwischen- und Abschlussbericht an die Aufsichtsbehörde.
Implementing Technical Standards (ITS)
Die ITS ergänzen die RTS, indem sie detaillierte Umsetzungsanweisungen und notwendige Prozesse festlegen, um die Vorgaben der RTS zu erfüllen. Genau wie den RTS ist auch den ITS verbindlich nachzukommen.
Bleibt man beim Beispiel vom Reporting schwerwiegender IKT-bezogener Vorfälle, enthält der ITS eine Auflistung von ergänzenden Informationen zu den Reporting-Templates.
Welche RTS und ITS wurden bisher veröffentlicht?
In der ersten Veröffentlichungsrunde im März 2024 wurden die folgenden Standards zur Präzisierung bekannt gegeben:
- RTS zum IKT-Risikomanagement (Art. 15, Art. 16. Abs. 3)
- RTS zur Klassifizierung von IKT-bezogenen Vorfällen (Art. 18.3)
- RTS zu vertraglichen Vereinbarungen mit IKT-Drittdienstleistern (Art. 28.10)
- ITS zum Informationsregister (Art. 28.9)
Am 17. Juli 2024 wurden die folgenden Standards ergänzt:
- RTS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art. 20a)
- ITS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art. 20b)
- RTS zum Threat-Led Penetration Testing (Art. 26.11)
- RTS für die Harmonisierung von Überwachungstätigkeiten (Art. 41.1)
- RTS zur Festlegung der Kriterien für die Zusammensetzung des Joint Examination Teams (Art. 41.1c)
Am 26. Juli 2024 wurde der folgende Standard aus dem zweiten Paket nachgereicht:
- RTS zur Unterauftragsvergabe an IKT-Drittparteien (Art. 30.5)
„Noch gibt es viele Fragezeichen rund um konkrete Interpretationen von DORA – die RTS und ITS werden hier helfen. Aus unserer Sicht sind zwei der Standards besonders spannend: Zum einen ist das der RTS zum IKT-Risikomanagement, denn er bringt uns Klarheit zum IKT-Risikomanagementrahmen inklusive der Richtlinien für IKT-Sicherheit und IKT-bezogene Vorfälle, sowie dem Management der IKT-Geschäftsfortführung. Zum anderen gewinnt auch der ITS zur Erstellung eines Informationsregisters zunehmend an Bedeutung. Denn nach Aussage der BaFin wird sie bereits Anfang 2025 mit der Auswertung der gemeldeten Informationsregister beginnen.“
Simon Weickart, Managing Security Consultant, usd AG
Benötigen Sie Unterstützung?
Wir sind für Sie da, wenn Sie Unterstützung bei der Analyse oder der Implementierung der DORA-Anforderungen in Ihrem Unternehmen brauchen. Sprechen Sie uns jederzeit gerne an.