Artikel
FSI Hot Topics: DORA
Veröffentlichung erster technischer Regulierungs- und Implementierungsstandards
Vergangenen Montag, am 19.Juni 2023, wurden zur Ergänzung der EU- Verordnung 2022/2554 über die digitale Betriebsstabilität des Finanzsektors (im Folgenden „DORA“) Entwürfe für vier technische Regulierungsstandards und einen Implementierungsstandard veröffentlicht.
Diese ergänzenden Standards sollen bei der Umsetzung von Maßnahmen zur Erfüllung der Anforderungen der DORA unterstützen und weitere Klarheit über die tatsächlichen Anforderungen bringen.
Die veröffentlichten technischen Standards sollen dabei wesentliche
Hilfestellungen für die Umsetzung aufzeigen und gehen auf Themenbereiche,
für die mit einem erhöhten Umsetzungsaufwand zu rechnen ist, näher ein. Zusammengefasst wurden unter diesem Gesichtspunkt die folgenden Standards und Anforderungen:
1. RTS zum Risikomanagementrahmenwerk und RTS zur Vereinfachung des IKT-Risikomanagementrahmenwerk:
- Dieser Standard zielt auf die Harmonisierung der Instrumente,
Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement gemäß Artikel 15 DORA ab. - Da diese Anforderungen speziell für kleinere Finanzinstitute aufgrund verfügbarer Ressourcen unüberwindliche Hürden darstellen, wird ergänzend ein technischer Regulierungsstandard für die
Umsetzung eines „vereinfachten“ IKT-Risikomanagement-rahmens gemäß Artikel 16 DORA beschrieben und spezifiziert. - Wesentlich ist dabei zu erwähnen, dass durch die
technischen Regulierungsstandards auch weitere Anforderungen, die aus früheren Leitlinien der europäischen Aufsichtsbehörden (ESAs) bekannt waren, adressiert werden. Ein Beispiel hierfür sind Regelungen rund um das Management von IKT-Projekten. - Abschließend wird auch darauf verwiesen, dass die
DORA als „lex specialis“ in Verbindung mit der NIS2-Richtlinie (Network
and Information Security Directive 2) und dem Artikel 11 bzw. den Kapiteln III, IV und VI der CER-Richtlinie (Critical Entities Resilience Directive) anzusehen ist.
2. RTS zur Bewertung und Klassifikation von IKT-Vorfällen:
- Eines der Ziele der DORA besteht darin, das Systemzur Meldung von IKT-bezogenen Vorfällen für Finanzunternehmen in der Europäischen Union (EU) gemäß Artikel 18 (3) DORA zu harmonisieren und
zu rationalisieren. - Regelungsgegenstand sind dabei insbesondere Klassifizierungs-kriterien für IKT-bezogene Vorfälle bzw. betriebliche oder sicherheitsbezogene Zahlungsvorfälle und die Festlegung von Wesentlichkeitsschwellen zur Bestimmung schwerwiegender Vorfälle. Hierbei wird unterschieden in:
- „Schwerwiegende“ IKT-bezogene Vorfälle basierend auf der Anzahl betroffener Kunden, Finanzpartner und Transaktionen, dem Vorliegen von Datenverlustenund der Anzahl betroffener kritischer Dienste
- „Normale“ IKT-bezogene Vorfälle basierend auf Auswirkungen auf die Reputation, die Dauer und Ausfallzeiten der Dienste, die geografischen Verteilung und wirtschaftlichen Auswirkungen.
- Meldepflichtig sind dabei alle IKT-bezogenen Vorfälle, bei denen die Wesentlichkeitsschwellen für entweder zwei „schwerwiegende“ IKT-bezogene Vorfälle oder eine Kombination aus einem „schwerwiegenden“ und zwei „normalen“ IKT-bezogenen Vorfällen vorliegt. Auch wiederkehrende Vorfälle werden einer Meldepflicht
unterliegen.
3. RTS zur Spezifizierung der Outsourcing-Policy für IKT-Dienste:
- Artikel 28 DORA sieht spezielle Anforderungen an die Berücksichtigung ausgelagerter Dienstleistungen für den Betrieb von kritischen oder wesentlichen Prozesse und Services vor. Diese Anforderungen sollen im Rahmen regelmäßiger Reviews des IKT-Risikomanagementrahmens und der IKT-Strategie von Finanzinstituten berücksichtigt werden.
- Der technische Regulierungsstandard definiert dabei auch
Kriterien für die Anwendung in vertraglichen Vereinbarungen mit
IKT-Drittanbietern, die direkten Einfluss auf den Betrieb und die
Sicherstellung der Verfügbarkeit von kritischen oder wichtigen Funktionen nehmen. - Wesentlich wird auch angesehen, dass Finanzinstitute
dafür sorgen müssen, dass sie - in der Zusammenarbeit mit
IKT-Drittanbietern (sowohl innerhalb einer Finanzinstitutsgruppe als
auch im Außenverhältnis) - Auswirkungen durch diese auf das operationelle Risikomanagement, die Informationssicherheit und die Verfügbarkeit von Geschäftsprozessen im Auge behalten und zeitnah reagieren müssen. - Darüber hinaus zielen die im technischen Regulierungsstandard aufgezeigten Anforderungen nicht - wie in früheren Leitlinien der europäischen Aufsichtsbehörden (ESAs) behandelt - nur auf
Auslagerungsvereinbarungen ab. Vielmehr ist jedes Außen-verhältnis mit Bezug zu kritischen oder wesentlichen Prozessen und Services (auch innerhalb einer Finanzinstitutsgruppe) betroffen.
4. ITS zum Informationsregister für ausgelagerte IKT-Dienste:
- Um die Anforderungen des RTS zur Spezifizierung der Outsourcing-Policy bzw. Servicenutzung für IKT-Dienste näher zu detaillieren und Hilfestellung bei der Umsetzung zu geben, wurde ergänzend auch ein technischer Implementierungsstandard für ein zu führendes Informationsregister herausgegeben.
- Der technische Implementierungsstandard liefert dabei
Hinweise und Templates , welche die Erfassung von IKT-Dienstleistungen, die durch gruppeninterne Gesellschaften oder
externe IKT-Drittanbieter zur Verfügung gestellt werden, unterstützen
sollen. Hierbei handelt es sich im Wesentlichen um eine notwendige
Erweiterung bestehender Auslagerungsregister. - Aus Gründen derVerhältnismäßigkeit sind Finanzinstitute jedoch nur dann verpflichtet,bestimmte zusätzliche Informationen wie ergänzende Informationen zurRisikobewertung, zur IKT-Lieferkette oder zur Beteiligung von Subdienstleisternzu melden, wenn die bereitgestellte IKT-Dienstleistung eine kritische oder wichtige Funktion unterstützt.
Manche dieser Anforderungen haben wir bereits erwartet, andere sind jedoch
überraschend und insgesamt auch herausfordernd in die Praxis umzusetzen. Auf jeden Fall sind die vorliegenden ergänzenden Standards wesentlich für alle Finanzinstitute und sollen weiter dabei unterstützen, diese doch umfassenden regulatorischen Neuerungen adäquat in den Risikomanagementrahmen dieser zu integrieren.
Der weitere Zeitplan sieht für die Finalisierung der Entwürfe eineKonsultationsphase bis zum 11. September 2023 vor. Diese soll durch eine öffentlicheAnhörung der europäischen Aufsichtsbehörden am 13. Juli 2023 unterstütztwerden. Die Konsultationsphase zielt darauf ab, die geplante Veröffentlichungder finalen technischen Regulierungs- und des Implementierungsstandards zum 17. Jänner 2024 sicherzustellen.
Wir hoffen, dass dieses Heads-up hilfreich für Sie ist und dürfen auch auf eine geplante Vorstellung der Details dieser neuen Standards in einem Webinar in den kommenden Wochen hinweisen. Gerne stehen wir Ihnen darüber hinaus für einen Austausch und Beratung zu diesem doch sehr dynamischen Thema zur Verfügung.
Empfohlene Artikel
FMA Fokus 2024
Die Aufsichts- und Prüfschwerpunkte 2024 im Blickpunkt