DORA und drei Richtlinien zur digitalen operationalen Resilienz im Finanzsektor

Im EU-Amtsblatt vom 27. Dezember 2022 sind die nachstehenden Rechtsakte zur digitalen operationalen Resilienz im Finanzsektor veröffentlicht worden, die zwanzig Tage nach ihrer Veröffentlichung in Kraft treten:

• DORA (Digital Operational Resilience Act)
• NIS 2 (Netz- und Informationssicherheitssysteme) Richtlinie
• Richtlinie (EU) 2022/2555 zur Änderung betroffener Richtlinien (OGAW, Solvency II, AIFMD, CRD, AbwicklungsRL, ZahlungsdienstleisterRL, EbAV)
• Richtlinie (EU) 2022/2556 RL bezüglich der Resilienz kritischer Einrichtungen

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (DORA) verabschiedet.

Zeitplan:

DORA gilt ab dem 17. Jänner 2025.

Fokus:

• IKT-Risikomanagement
  Key Principles und vorgegebene Rahmenanforderungen an das IKT-Risikomanagement
• Berichterstattung über IKT-Vorfälle
  Harmonisierung und Modernisierung der Berichterstattung
  Ausweitung der Berichterstattungspflichten auf alle Finanzinstitute, aber auch IKT Drittdienstleister
• Strategien für digitale operationale Resilienztests
  Entwicklung von Strategien für digitale operationale Resilienz Methoden
  Erweiterte Anforderungen an das Testen der digitalen operationalen Resilienz, insbesondere bedrohungsbasierte Tests (Threat-Led Penetration Testing – TLPT)
• ICT-Third-Party Risk
  Prinzipienbasierte Regeln zur Überwachung des Drittdienstleisterrisikos, die darauf ausgelegt sind, den ordnungsmäßigen Geschäftsbetrieb jederzeit sicherzustellen (Regelmäßige Tests, Schulungen, entsprechende Vertragsbestimmungen, entsprechende Überprüfungsverfahren)
• Informationsaustausch im Bereich IKT-Risiken
  Freiwilliger Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zwischen betroffenen Unternehmen (unter bestimmten Voraussetzungen)

Den Link zur Richtlinie finden Sie hier: Richtlinie

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die NIS 2 Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) verabschiedet.

Zeitplan:

• Die Mitgliedstaaten erlassen und veröffentlichen bis zum 17. Oktober 2024 die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen.
• Die Vorschriften müssen ab dem 18. Oktober 2024 angewendet werden.

Fokus:

• Im Umfang der NIS 2 Richtlinie stehen Einrichtungen, die als kritisch für Wirtschaft und Gesellschaft klassifiziert sind, insb der Energie-Sektor, Verkehr, Gesundheitswesen, Bankwesen, Öffentliche Verwaltung, usw.
• Unterschieden wird zwischen wesentlichen und wichtigen Einrichtungen, wobei sich wesentliche Einrichtungen einer externen Prüfplicht alle 3 Jahre unterziehen müssen.

Den Link zur Richtlinie finden Sie hier: Richtlinie

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie 2022/2555 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor verabschiedet.

Zeitplan:

• Spätestens am 17. Jänner 2025 erlassen und veröffentlichen die Mitgliedstaaten die Maßnahmen, die erforderlich sind, um dieser Richtlinie nachzukommen.
• Die Maßnahmen müssen ab dem 17. Jänner 2025 angewendet werden.

Den Link zur Richtlinie finden Sie hier: Richtlinie

Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates verabschiedet.

Zeitplan:

• Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.
• Die Vorschriften müssen ab dem 18. Oktober 2024 angewendet werden.

Den Link zur Richtlinie finden Sie hier: Richtlinie

Katarina Heigl

Severin Winkler