DORA und drei Richtlinien zur digitalen operationalen Resilienz im Finanzsektor

Insurance News

Insurance News

Im EU-Amtsblatt vom 27. Dezember 2022 sind die nachstehenden Rechtsakte zur digitalen operationalen Resilienz im Finanzsektor veröffentlicht worden, die zwanzig Tage nach ihrer Veröffentlichung in Kraft treten:

  • DORA (Digital Operational Resilience Act)
  • NIS 2 (Netz- und Informationssicherheitssysteme) Richtlinie
  • Richtlinie (EU) 2022/2555 zur Änderung betroffener Richtlinien (OGAW, Solvency II, AIFMD, CRD, AbwicklungsRL, ZahlungsdienstleisterRL, EbAV)
  • Richtlinie (EU) 2022/2556 RL bezüglich der Resilienz kritischer Einrichtungen

DORA (Digital Operational Resilience Act) 2022/2554

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (DORA) verabschiedet.

Zeitplan:

DORA gilt ab dem 17. Jänner 2025.

Fokus:

  • IKT-Risikomanagement
    Key Principles und vorgegebene Rahmenanforderungen an das IKT-Risikomanagement
  • Berichterstattung über IKT-Vorfälle
    Harmonisierung und Modernisierung der Berichterstattung
    Ausweitung der Berichterstattungspflichten auf alle Finanzinstitute, aber auch IKT Drittdienstleister
  • Strategien für digitale operationale Resilienztests
    Entwicklung von Strategien für digitale operationale Resilienz Methoden
    Erweiterte Anforderungen an das Testen der digitalen operationalen Resilienz, insbesondere bedrohungsbasierte Tests (Threat-Led Penetration Testing – TLPT)
  • ICT-Third-Party Risk
    Prinzipienbasierte Regeln zur Überwachung des Drittdienstleisterrisikos, die darauf ausgelegt sind, den ordnungsmäßigen Geschäftsbetrieb jederzeit sicherzustellen (Regelmäßige Tests, Schulungen, entsprechende Vertragsbestimmungen, entsprechende Überprüfungsverfahren)
  • Informationsaustausch im Bereich IKT-Risiken
    Freiwilliger Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zwischen betroffenen Unternehmen (unter bestimmten Voraussetzungen)

Den Link zur Richtlinie finden Sie hier: Richtlinie

NIS 2 (Netz- und Informationssicherheitssysteme) Richtlinie 2022/2555

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die NIS 2 Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) verabschiedet.

Zeitplan:

  • Die Mitgliedstaaten erlassen und veröffentlichen bis zum 17. Oktober 2024 die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen.
  • Die Vorschriften müssen ab dem 18. Oktober 2024 angewendet werden.

Fokus:

  • Im Umfang der NIS 2 Richtlinie stehen Einrichtungen, die als kritisch für Wirtschaft und Gesellschaft klassifiziert sind, insb der Energie-Sektor, Verkehr, Gesundheitswesen, Bankwesen, Öffentliche Verwaltung, usw.
  • Unterschieden wird zwischen wesentlichen und wichtigen Einrichtungen, wobei sich wesentliche Einrichtungen einer externen Prüfplicht alle 3 Jahre unterziehen müssen.

Den Link zur Richtlinie finden Sie hier: Richtlinie

Änderungs-Richtlinie (EU) 2022/2556

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie 2022/2555 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor verabschiedet.

Zeitplan:

  • Spätestens am 17. Jänner 2025 erlassen und veröffentlichen die Mitgliedstaaten die Maßnahmen, die erforderlich sind, um dieser Richtlinie nachzukommen.
  • Die Maßnahmen müssen ab dem 17. Jänner 2025 angewendet werden.

Den Link zur Richtlinie finden Sie hier: Richtlinie

Richtlinie (EU) 2022/2557

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates verabschiedet.

Zeitplan:

  • Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.
  • Die Vorschriften müssen ab dem 18. Oktober 2024 angewendet werden.

Den Link zur Richtlinie finden Sie hier: Richtlinie