Der Countdown läuft: Ein Update zur Umsetzung von DORA

Keyfacts:

• Die Anforderungen der Aufsicht an Finanzunternehmen in Sachen DORA werden immer konkreter.
• Die Konsultationen zum zweiten der technischen Regulierungs- und Implementierungsstandards sind seit März abgeschlossen.
• Jetzt läuft der Countdown zum Tag, an dem die Umsetzungsfrist abläuft.

Es wird immer konkreter beim Digital Operational Resilience Act (DORA): Mitte Januar 2024 haben die europäischen Aufsichtsbehörden für die Finanzbranche die finalen Entwürfe des ersten Pakets (Englisch: Batch) der technischen Regulierungs- und Implementierungsstandards (RTS / ITS) zu DORA veröffentlicht.

Und auch die öffentlichen Konsultationen zum zweiten Paket der RTS und ITS wurden im März mittlerweile abgeschlossen – die finalen Entwürfe werden zum 17. Juli 2024 erwartet. Nun muss der Blick zügig nach vorn gehen: Vom 17. Januar 2025 an muss die Verordnung von den Finanzunternehmen angewendet werden – das sind noch zehn Monate. Der Countdown läuft also.

Für Finanzunternehmen ist damit spätestens jetzt der Zeitpunkt gekommen, das eigene DORA-Programm mit Blick auf die Umsetzung überprüft und die notwendigen Aktivitäten angestoßen zu haben.

Die neuen technischen Regulierungs- und Umsetzungsstandards (RTS und ITS)

Das Ziel von DORA für die Finanzindustrie lautet: Die Widerstandsfähigkeit von Banken, Versicherungen und anderen Finanzunternehmen und Marktteilnehmern gegen Cyberangriffe und IT-Störungen zu stärken und die Betriebsstabilität zu erhöhen.

Dafür formuliert das DORA-Gesetzespaket mehrere Schwerpunkte, darunter das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT), das Management von IKT-bezogenen Vorfällen, Testverfahren und Drittparteienrisiken (IKT-Drittdienstleister).

Die endgültigen Entwürfe des Batch 1 umfassen technische Regulierungsstandards zum IKT-Risikomanagementrahmen, zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen, Standards für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern (IKT-Drittdienstleister) erbracht werden, sowie technische Durchführungsstandards zur Erstellung der Vorlagen für das Informationsregister.

Im Batch 2 sind weitere RTS/ITS als Konsultationspapier veröffentlicht worden. Es enthält folgende Themengebiete und Details:

Der RTS zur Weiterverlagerung an IKT-Drittparteien bei kritischen und wichtigen Funktionen (Englisch: Critical and Important functions, auch CI genannt) …

• …enthält weitere Angaben zur Bestimmung und Bewertung der Vergabe von CI-Funktionen an Unterauftragnehmer,
• …verfolgt den vertraglichen Lebenszyklus bei der Vergabe von CI-Funktionen an Unterauftragnehmer und
• …legt die wichtigsten Anforderungen für die Risikobewertung, die Verträge, die Überwachung und den Ausstieg fest.

Der RTS zur Meldung von schwerwiegenden Vorfällen regelt…

• …den Inhalt der Berichte über schwerwiegende Vorfälle,
• …die Fristen für die Einreichung einer Erstmeldung sowie eines Zwischen- und eines Abschlussberichts und
• …den Inhalt der freiwilligen Meldung von Cyber-Bedrohungen.

Der Entwurf des zugehörigen ITS führt explizite Berichtstemplates ein.

RTS zum Threat-led Penetration Testing und Leitlinien zu Kosten und Verlusten

Der RTS zum Threat-led Penetration Testing (TLPT) legt Folgendes fest:

• die Kriterien zur Identifizierung der für die Durchführung des TLPT erforderlichen Financial Entities (FE), also der betroffenen Finanzinstitute
• die Anforderungen an den Einsatz interner Prüfer
• die Anforderungen in Bezug auf Umfang, Testmethodik und Ansatz für jede Testphase und die Art der aufsichtlichen Zusammenarbeit

Zusätzlich zu den RTS und ITS enthält das zweite Paket Leitlinien, unter anderem zur Schätzung von aggregierten Kosten und Verlusten bei schwerwiegenden IKT-Vorfällen – hier sind folgende Punkte hervorzuheben:

• Schätzung und Meldung der aggregierten jährlichen Kosten und Verluste für schwerwiegende IKT-bezogene Vorfälle
• Schätzung der Bruttokosten und -verluste für jeden größeren IKT-bezogenen Vorfall auf der Grundlage der im RTS zur Klassifizierung von Vorfällen angegebenen Typen
• Berechnen der Nettokosten und -verluste für jeden Vorfall

Zu guter Letzt decken eine weitere Leitlinie und ein RTS außerdem die Zusammenarbeit und den Informationsaustausch zwischen den europäischen und den nationalen Aufsichtsbehörden in den folgenden Bereichen ab:

• Allgemeine Überlegungen zum Beispiel zu Kontaktstellen
• Benennung von kritischen IKT-Drittparteien
• Überwachungsaktivitäten

Es bleibt wenig Zeit – zentrale Handlungsfelder für Finanzunternehmen

Die Zeit rennt – DORA ist bis Januar 2025 umzusetzen. Mehrere Punkte sollten Finanzunternehmen, die noch nicht damit begonnen haben, jetzt dringend anstoßen:

• Die Governance festlegen mit Rollen und Verantwortlichkeiten und damit auch eine integrierte Herangehensweise über die Grenzen der beteiligten Disziplinen hinweg herstellen.
• Die Definition der kritischen und wichtigen Funktionen abschließen: Sie identifizieren, daraus wiederum die wichtigsten IT-Assets ableiten und Folgeaktivitäten priorisiert starten.
• Ein Inventar über die IKT-Drittanbieter erstellen, DORA-konforme Standardvertragsklauseln erstellen sowie die Verträge auf Konformität überprüfen und beginnen, diese neu zu verhandeln.
• Das Tooling sollte ebenfalls früh mitgedacht werden, um die Effizienz in der Umsetzung herzustellen.

Weitere ausgewählte wichtige Maßstäbe und Standards, für die Regelungen zu schaffen sind:

• Standardisierte Meldung von Zwischenfällen: Finanzunternehmen sollten dafür sorgen, dass sie größere IKT-bezogene Vorfälle nach festgelegten Kriterien in Echtzeit melden können. Für das Klassifizierungs- und Kommunikationsprotokoll hat der Gesetzgeber Standards vorgegeben.
• Regelmäßige Tests und Ausfallsicherheitsprüfungen für Systeme inklusive TLPT sowie Bewertung und kontinuierliche Verbesserung der betrieblichen Widerstandsfähigkeit
• Umfassende Dokumentation über die Einhaltung der DORA-Anforderungen und regelmäßige Aktualisierung der Aufzeichnungen