Digital Operational Resilience Act (DORA) Aufsichtsbehörden stellen Entwürfe technischer Standards vor

Drei europäische Aufsichtsbehörden haben den ersten Satz veröffentlicht

Die drei europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) haben heute den ersten Satz endgültiger Entwürfe technischer Standards im Rahmen des Digital Operational Resilience Act (DORA) veröffentlicht. Ziel ist es, die digitale Betriebsstabilität des EU-Finanzsektors durch die Stärkung der Informations- und Kommunikationstechnologie (IKT) der Finanzinstitute sowie des Risikomanagements Dritter und der Rahmenbedingungen für die Meldung von Vorfällen zu verbessern.

Der gemeinsame endgültige Entwurf der technischen Standards umfasst:

• Technische Regulierungsstandards (RTS) zum Rahmen für das IKT-Risikomanagement und zum vereinfachten Rahmen für das IKT-Risikomanagement;
• RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen;
• RTS zur Festlegung der Richtlinien für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen, die von IKT-Drittanbietern (TPPs) bereitgestellt werden; und
• Durchführung technischer Standards (ITS) zur Erstellung der Vorlagen für das Informationsregister.

RTS zum Rahmenwerk für das IKT-Risikomanagement und zum vereinfachten Rahmenwerk für das IKT-Risikomanagement

Der RTS-Entwurf zum IKT-Risikomanagementrahmen identifiziert weitere Elemente im Zusammenhang mit dem IKT-Risikomanagement im Hinblick auf die Harmonisierung von Tools, Methoden, Prozessen und Richtlinien. Diese Elemente ergänzen die in DORA identifizierten Elemente. Die RTS identifizieren die Schlüsselelemente, die Finanzunternehmen, die dem vereinfachten Regime unterliegen und von geringerem Umfang, Risiko, Größe und Komplexität sind, bereitstellen müssen, und legen einen vereinfachten IKT-Risikomanagementrahmen fest. Die RTS stellen sicher, dass die IKT-Risikomanagementanforderungen zwischen den verschiedenen Finanzsektoren harmonisiert werden.

RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen

Diese RTS legen die Kriterien für die Klassifizierung schwerwiegender IKT-bezogener Vorfälle, den Ansatz für die Klassifizierung schwerwiegender Vorfälle, die Wesentlichkeitsschwellen für jedes Klassifizierungskriterium, die Kriterien und Wesentlichkeitsschwellen für die Bestimmung erheblicher Cyberbedrohungen, die Kriterien für die Bewertung der Relevanz von Vorfällen durch die zuständigen Behörden gegenüber den zuständigen Behörden in anderen Mitgliedstaaten sowie die diesbezüglich zu übermittelnden Einzelheiten der Vorfälle fest. Die RTS gewährleisten einen harmonisierten und einfachen Prozess zur Klassifizierung von Vorfallmeldungen im gesamten Finanzsektor.

RTS zur IKT-TPP-Richtlinie

Diese RTS legen Teile der Governance-Regelungen, des Risikomanagements und des internen Kontrollrahmens fest, die Finanzinstitute im Hinblick auf die Nutzung von IKT-Drittanbietern einrichten sollten. Sie sollen sicherstellen, dass Finanzinstitute während der gesamten Laufzeit vertraglicher Vereinbarungen mit solchen IKT-Drittanbietern die Kontrolle über ihre Betriebsrisiken, Informationssicherheit und Geschäftskontinuität behalten.

ITS zum Informationsregister

Schließlich legt das ITS die Vorlagen fest, die von Finanzunternehmen im Zusammenhang mit ihren vertraglichen Vereinbarungen mit IKT-Drittanbietern gepflegt und aktualisiert werden müssen. Das Informationsregister wird eine entscheidende Rolle im Rahmen des IKT-Risikomanagements von Finanzunternehmen gegenüber Drittanbietern spielen und von zuständigen Behörden und ESAs im Rahmen der Überwachung der Einhaltung von DORA durch Finanzunternehmen und zur Benennung kritischer IKT-Drittanbieter verwendet werden, die dem DORA-Aufsichtsregime unterliegen.