Banner

Artikel

DORA Batch 2: Überblick und Umsetzungshinweise

Informationen zu Teil 2 der technischen Regulierungs- & Implementierungsstandards zum Digital Operational Resilience Act

Die zweite Tranche der technischen Regulierungs- und Implementierungsstandards zum Digital Operational Resilience Act (DORA, EU-Verordnung 2022/2554) wurde veröffentlicht. Der zweite Batch bietet präzisierende Einblicke und weitere Umsetzungshinweise zur Abdeckung der DORA-Anforderungen an Finanzinstitute und deren Dienstleister. Lesen Sie hier mehr über die Entwicklungen rund um den zweiten Teil des DORA-Ergänzungspakets.

Der erste Teil des DORA-Ergänzungspakets ist - mit Ausnahme der "ITS on Register of Information" - mittlerweile final. Die Veröffentlichung von finalen Entwürfen des zweiten Pakets erfolgte großteils am 17. Juli 2024. Offen ist weiterhin die RTS über die Bewertung von Subdienstleistern. Daraus ergibt sich eine knappe Frist von knapp 6 Monaten bis zur Umsetzungsdeadline am 17. Jänner 2025.

Wir unterstützen Sie dabei, sich rechtzeitig auf die anstehenden Herausforderungen vorzubereiten.

Digital Operational Resilience Act (DORA) Compliance

Mehr lesen

DORA Batch 2: Die Entwürfe auf einen Blick

RTS: Vier weitere technische Regulierungsstandards

  • RTS zu Threat Led Penetration Testing (TLPT)
    (Pillar 3 - Testen der digitalen operationalen Resilienz, Art. 26. Abs. 11)
  • RTS zur Spezifizierung von Elementen bei der Auslagerung von kritischen oder wichtigen Funktionen an Subdienstleister
    (Pillar 4 - Management des IKT-Drittparteienrisikos, Art. 30 Abs. 5)
  • RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle
    (Pillar 2 - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Art. 20 lit. a)
  • RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten
    (Pillar 4 - Management des IKT-Drittparteienrisikos, Art. 41 Abs. 2)

ITS: Ein Implementierungsstandard

  • ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-Vorfälle
    (Pillar 2 - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Art. 20 lit. b)

GL: Zwei Leitlinien

  • GL für die Schätzung der aggregierten Kosten und Verluste verursacht durch schwerwiegende IKT-Vorfälle
    (Pillar 1 - IKT-Risikomanagement, Art. 11 Abs. 11)
  • GL für die Zusammenarbeit zwischen den ESAs und den zuständigen Behörden hinsichtlich der Struktur der Überwachung
    (Pillar 4 - Management des IKT-Drittparteienrisikos, Art. 32 Abs. 7)

Webinar: „DORA“ – Die 2. Runde

Vertiefende Infos finden Sie in unseren Präsentationsunterlagen unseres Webinars zur zweiten Tranche der technischen Regulierungs- und Implementierungsstandards zum Digital Operational Resilience Act. Tipps zur Integration bestehender Risikomanagementrahmenwerke, praktische Hinweise und erprobte Lösungsansätze inklusive.

Präsentationsunterlagen Webinar 19.01.2024

Einblicke aus der Praxis

  • RTS zum Threat Led Penetration Testing (TLPT)
    Zahlreiche Unternehmen in der Finanzbranche kennen bereits TIBER-EU. Dabei handelt es sich um einen europäischen Rahmen, der Leitlinien dafür umfasst, wie das TLPT Cyber Team mit dem Control Team zusammenarbeiten sollte, um die Cyber-Resilienz von Einrichtungen durch die Durchführung kontrollierter Cyberangriffe zu testen und zu verbessern. Viele Unternehmen sind durch ihre Kenntnisse zu TIBER-EU bereits auf einem guten Weg zur Compliance in Sachen TLPT.
  • RTS zur Auslagerung von kritischen oder wichtigen Funktionen an Subdienstleister:
    Die Guidelines der European Banking Authority (EBA) zum Thema Outsourcing stellen ähnliche Anforderungen zur Auslagerung von Funktionen wie DORA, auch bezüglich der Anforderungen zur Auslagerung an Subdienstleister. Aus diesem Grund haben auch hier zahlreiche Unternehmen aus der Finanzbranche bereits Vorarbeit zur DORA-Compliance geleistet. Der Digital Operational Resilience Act erweitert den Anwendungsbereich allerdings auf alle IKT-Drittdienstleister, die kritische oder wichtige Funktionen unterstützen.
  • RTS und ITS zur Meldung und Berichterstattung schwerwiegender IKT-Vorfälle
    Die Kriterien für die Meldung und Berichterstattung von IKT-Vorfällen sind, zumindest im Ansatz, bei den meisten existierenden Reporting Schemes (z.B. PSD2 oder ECB) bereits vorhanden. Zur DORA-Compliance müssen in diesen Fällen nur mehr die Schwellenwerte angepasst werden und gemäß der Berichterstattungsvorlage der ITS aktualisiert werden. Der Reporting-Prozess von DORA folgt dem üblichen Ablauf: Erstmeldung/Initial Notification; Zwischenbericht /Intermediate Report; Abschlussbericht/Final Report.
    Achtung: Zeitliche Fristen müssen gegebenenfalls angepasst werden.
  • GL für die aggregierten Kosten und Verluste:
    Viele der Daten sind in den Unternehmen bereits vorhanden, sodass vor allem bei großen Finanzinstituten häufig nur noch die Kalkulationsmethodik angepasst werden muss.

Unser Deloitte Serviceangebot zur DORA-Compliance mit Fokus auf Batch 2

Wir unterstützen unsere Kund:innen bei der Umsetzung der technischen Regulierungs- und Implementierungsstandards zum Digital Operational Resilience Act (DORA) mit einem agilen Ansatz in Form unserer 4 Schritte-Methodik zur DORA-Compliance:

  • Phase 1 DORA Applicability Assessment
  • Phase 2 Gap Assessment
  • Phase 3 Roadmap Definition
  • Phase 4 Umsetzung

Während der Phasen 2 und 3 gehen wir bei unseren Empfehlungen und den entsprechenden Roadmaps Schritt für Schritt vor. So stellen wir sicher, dass die neuen Bestimmungen der RTS/ITS kontinuierlich berücksichtigt werden.

Stellen Sie gemeinsam mit Deloitte Ihre DORA-Compliance sicher!
Unsere Expert:innen unterstützen Sie bei der Vorbereitung auf aufsichtliche Prüfungen und helfen Ihnen bei der Definition und Begleitung der erforderlichen Umsetzungsschritte. Kontaktieren Sie uns - unsere Deloitte Expert:innen beraten Sie gerne.

War der Artikel hilfreich?