DORA: Finale Entwürfe der technischen Regulierungs- und Implementierungsstandards

Zu den gemeinsamen endgültigen Entwürfen technischer Standards gehören:

• RTS zum IKT-Risikomanagementrahmen (Art. 15),
• RTS zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3),
• RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3),
• RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen von kritischen oder wichtigen Funktionen (Art. 28 Abs. 10) und
• ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9).

RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen

Der RTS-Entwurf zum IKT-Risikomanagementrahmen legt weitere Elemente im Zusammenhang mit dem IKT-Risikomanagement fest, um Instrumente, Methoden, Prozesse und Strategien zu harmonisieren. Diese Elemente ergänzen die in der DORA genannten Elemente. Die beiden RTS-Entwürfe identifizieren die Schlüsselelemente, die Finanzunternehmen, die von geringerem Umfang, Risiko, Größe und Komplexität sind, und damit den vereinfachten Regelungen unterliegen, vorhalten müssen, und legen einen vereinfachten IKT-Risikomanagementrahmen fest. Die RTS sollen sicherstellen, dass die Anforderungen an das IKT-Risikomanagement zwischen den verschiedenen Finanzsektoren harmonisiert sind.

RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen

Der RTS-Entwurf spezifiziert die Kriterien für:

• die Einstufung größerer IKT-bezogener Vorfälle,
• den Ansatz für die Einstufung größerer Vorfälle,
• die Erheblichkeitsschwellen für jedes Einstufungskriterium,
• die Kriterien und Erheblichkeitsschwellen für die Bestimmung signifikanter Cyber-Bedrohungen,
• die Kriterien für die zuständigen Behörden zur Bewertung der Relevanz von Vorfällen für die zuständigen Behörden in anderen Mitgliedstaaten und
• die Einzelheiten der Vorfälle, die in diesem Zusammenhang weitergegeben werden.

Der RTS soll für ein harmonisiertes Verfahren zur Klassifizierung von Meldungen über IKT-Vorfälle im gesamten Finanzsektor sorgen.

RTS zur IKT-TPP-Policy

Der RTS-Entwurf spezifiziert Teile der Governance-Regelungen, des Risikomanagements und des internen Kontrollrahmens, über die Finanzunternehmen bei Nutzung von IKT-Drittanbietern verfügen sollen. Die Regelungen sollen sicherstellen, dass Finanzunternehmen die Kontrolle über ihre operationellen Risiken, die Informationssicherheit und die Geschäftskontinuität während des gesamten Lebenszyklus der vertraglichen Vereinbarungen mit solchen IKT-Drittanbietern behalten.

ITS über das Informationsregister

Der ITS-Entwurf legt die Templates fest, die von den Finanzunternehmen in Bezug auf ihre vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu führen und zu aktualisieren sind. Das Informationsregister soll eine entscheidende Rolle im Rahmen des IKT-Drittanbieter-Risikomanagements der Finanzunternehmen spielen und von den zuständigen Behörden und den ESA im Zusammenhang mit der Überwachung der Einhaltung der DORA-Vorschriften durch die Finanzunternehmen und der Benennung von kritischen IKT-Drittanbietern, die der DORA-Aufsicht unterliegen, verwendet werden.

Die finalen Fassungen der Entwürfe sollen in den kommenden Monaten von der EU-Kommission im Amtsblatt der EU veröffentlicht werden.

Hinweis: Für weitere Informationen zum Thema DORA verweisen wir auf unseren Beitrag „Digital Operational Resilience Act - Neuerungen für Finanzunternehmen und kritische IT-Dienstleister" in der 1. Ausgabe 2023 unseres novus Financial Services.