DORA Batch 2: Überblick und Umsetzungshinweise

Während der erste Teil des DORA-Ergänzungspakets im ersten Quartal 2024 finalisiert wird, ist die finale Veröffentlichung des zweiten Pakets für Sommer 2024 avisiert. Daraus ergibt sich eine knappe Frist von nur 6 Monaten bis zur Umsetzungsdeadline am 17. Jänner 2025.

Wir unterstützen Sie dabei, sich rechtzeitig auf die anstehenden Herausforderungen vorzubereiten.

DORA Batch 2: Die Entwürfe auf einen Blick

RTS: Vier weitere technische Regulierungsstandards

• RTS zu Threat Led Penetration Testing (TLPT)
  (Pillar 3 - Testen der digitalen operationalen Resilienz, Art. 26. Abs. 11)
  
• RTS zur Spezifizierung von Elementen bei der Auslagerung von kritischen oder wichtigen Funktionen an Subdienstleister
  (Pillar 4 - Management des IKT-Drittparteienrisikos, Art. 30 Abs. 5)
  
• RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle
  (Pillar 2 - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Art. 20 lit. a)
  
• RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten
  (Pillar 4 - Management des IKT-Drittparteienrisikos, Art. 41 Abs. 2)

ITS: Ein Implementierungsstandard

• ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-Vorfälle
  (Pillar 2 - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Art. 20 lit. b)

GL: Zwei Leitlinien

• GL für die Schätzung der aggregierten Kosten und Verluste verursacht durch schwerwiegende IKT-Vorfälle
  (Pillar 1 - IKT-Risikomanagement, Art. 11 Abs. 11)
  
• GL für die Zusammenarbeit zwischen den ESAs und den zuständigen Behörden hinsichtlich der Struktur der Überwachung
  (Pillar 4 - Management des IKT-Drittparteienrisikos, Art. 32 Abs. 7)
  

Webinar: „DORA“ – Die 2. Runde

Vertiefende Infos finden Sie in unseren Präsentationsunterlagen unseres Webinars zur zweiten Tranche der technischen Regulierungs- und Implementierungsstandards zum Digital Operational Resilience Act. Tipps zur Integration bestehender Risikomanagementrahmenwerke, praktische Hinweise und erprobte Lösungsansätze inklusive.

Einblicke aus der Praxis

• RTS zum Threat Led Penetration Testing (TLPT)
  Zahlreiche Unternehmen in der Finanzbranche kennen bereits TIBER-EU. Dabei handelt es sich um einen europäischen Rahmen, der Leitlinien dafür umfasst, wie das TLPT Cyber Team mit dem Control Team zusammenarbeiten sollte, um die Cyber-Resilienz von Einrichtungen durch die Durchführung kontrollierter Cyberangriffe zu testen und zu verbessern. Viele Unternehmen sind durch ihre Kenntnisse zu TIBER-EU bereits auf einem guten Weg zur Compliance in Sachen TLPT.
• RTS zur Auslagerung von kritischen oder wichtigen Funktionen an Subdienstleister:
  Die Guidelines der European Banking Authority (EBA) zum Thema Outsourcing stellen ähnliche Anforderungen zur Auslagerung von Funktionen wie DORA, auch bezüglich der Anforderungen zur Auslagerung an Subdienstleister. Aus diesem Grund haben auch hier zahlreiche Unternehmen aus der Finanzbranche bereits Vorarbeit zur DORA-Compliance geleistet. Der Digital Operational Resilience Act erweitert den Anwendungsbereich allerdings auf alle IKT-Drittdienstleister, die kritische oder wichtige Funktionen unterstützen.
• RTS und ITS zur Meldung und Berichterstattung schwerwiegender IKT-Vorfälle
  Die Kriterien für die Meldung und Berichterstattung von IKT-Vorfällen sind, zumindest im Ansatz, bei den meisten existierenden Reporting Schemes (z.B. PSD2 oder ECB) bereits vorhanden. Zur DORA-Compliance müssen in diesen Fällen nur mehr die Schwellenwerte angepasst werden und gemäß der Berichterstattungsvorlage der ITS aktualisiert werden. Der Reporting-Prozess von DORA folgt dem üblichen Ablauf: Erstmeldung/Initial Notification; Zwischenbericht /Intermediate Report; Abschlussbericht/Final Report.
  Achtung: Zeitliche Fristen müssen gegebenenfalls angepasst werden.

• GL für die aggregierten Kosten und Verluste:
  Viele der Daten sind in den Unternehmen bereits vorhanden, sodass vor allem bei großen Finanzinstituten häufig nur noch die Kalkulationsmethodik angepasst werden muss.
  

Unser Deloitte Serviceangebot zur DORA-Compliance mit Fokus auf Batch 2

Wir unterstützen unsere Kund:innen bei der Umsetzung der technischen Regulierungs- und Implementierungsstandards zum Digital Operational Resilience Act (DORA) mit einem agilen Ansatz in Form unserer 4 Schritte-Methodik zur DORA-Compliance:

• Phase 1 DORA Applicability Assessment
• Phase 2 Gap Assessment
• Phase 3 Roadmap Definition
• Phase 4 Umsetzung

Während der Phasen 2 und 3 gehen wir bei unseren Empfehlungen und den entsprechenden Roadmaps Schritt für Schritt vor. So stellen wir sicher, dass die neuen Bestimmungen der RTS/ITS kontinuierlich berücksichtigt werden.