DORA und drei Richtlinien zur digitalen operationalen Resilienz im Finanzsektor
Insurance News
Insurance News
Im EU-Amtsblatt vom 27. Dezember 2022 sind die nachstehenden Rechtsakte zur digitalen operationalen Resilienz im Finanzsektor veröffentlicht worden, die zwanzig Tage nach ihrer Veröffentlichung in Kraft treten:
- DORA (Digital Operational Resilience Act)
- NIS 2 (Netz- und Informationssicherheitssysteme) Richtlinie
- Richtlinie (EU) 2022/2555 zur Änderung betroffener Richtlinien (OGAW, Solvency II, AIFMD, CRD, AbwicklungsRL, ZahlungsdienstleisterRL, EbAV)
- Richtlinie (EU) 2022/2556 RL bezüglich der Resilienz kritischer Einrichtungen
DORA (Digital Operational Resilience Act) 2022/2554
Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (DORA) verabschiedet.
Zeitplan:
DORA gilt ab dem 17. Jänner 2025.
Fokus:
- IKT-Risikomanagement
Key Principles und vorgegebene Rahmenanforderungen an das IKT-Risikomanagement - Berichterstattung über IKT-Vorfälle
Harmonisierung und Modernisierung der Berichterstattung
Ausweitung der Berichterstattungspflichten auf alle Finanzinstitute, aber auch IKT Drittdienstleister - Strategien für digitale operationale Resilienztests
Entwicklung von Strategien für digitale operationale Resilienz Methoden
Erweiterte Anforderungen an das Testen der digitalen operationalen Resilienz, insbesondere bedrohungsbasierte Tests (Threat-Led Penetration Testing – TLPT) - ICT-Third-Party Risk
Prinzipienbasierte Regeln zur Überwachung des Drittdienstleisterrisikos, die darauf ausgelegt sind, den ordnungsmäßigen Geschäftsbetrieb jederzeit sicherzustellen (Regelmäßige Tests, Schulungen, entsprechende Vertragsbestimmungen, entsprechende Überprüfungsverfahren) - Informationsaustausch im Bereich IKT-Risiken
Freiwilliger Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zwischen betroffenen Unternehmen (unter bestimmten Voraussetzungen)
Den Link zur Richtlinie finden Sie hier: Richtlinie
NIS 2 (Netz- und Informationssicherheitssysteme) Richtlinie 2022/2555
Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die NIS 2 Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) verabschiedet.
Zeitplan:
- Die Mitgliedstaaten erlassen und veröffentlichen bis zum 17. Oktober 2024 die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen.
- Die Vorschriften müssen ab dem 18. Oktober 2024 angewendet werden.
Fokus:
- Im Umfang der NIS 2 Richtlinie stehen Einrichtungen, die als kritisch für Wirtschaft und Gesellschaft klassifiziert sind, insb der Energie-Sektor, Verkehr, Gesundheitswesen, Bankwesen, Öffentliche Verwaltung, usw.
- Unterschieden wird zwischen wesentlichen und wichtigen Einrichtungen, wobei sich wesentliche Einrichtungen einer externen Prüfplicht alle 3 Jahre unterziehen müssen.
Den Link zur Richtlinie finden Sie hier: Richtlinie
Änderungs-Richtlinie (EU) 2022/2556
Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie 2022/2555 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor verabschiedet.
Zeitplan:
- Spätestens am 17. Jänner 2025 erlassen und veröffentlichen die Mitgliedstaaten die Maßnahmen, die erforderlich sind, um dieser Richtlinie nachzukommen.
- Die Maßnahmen müssen ab dem 17. Jänner 2025 angewendet werden.
Den Link zur Richtlinie finden Sie hier: Richtlinie
Richtlinie (EU) 2022/2557
Das Europäische Parlament und der Rat haben am 14. Dezember 2022 die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates verabschiedet.
Zeitplan:
- Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.
- Die Vorschriften müssen ab dem 18. Oktober 2024 angewendet werden.
Den Link zur Richtlinie finden Sie hier: Richtlinie
Unsere Expert:innen
Severin Winkler