DORA – Neue Regulierungsdokumente und FMA-Homepage online

Im Juli 2024 haben die Europäischen Aufsichtsbehörden finale Entwürfe (Teil 1 und Teil 2) der geplanten technischen Regulierungs- und Durchführungsstandards herausgegeben, sowie einen Koordinierungsstandard für systemische Cybervorfälle eingerichtet.

Im August 2024 hat die Finanzmarktaufsicht eine neue umfangreiche DORA-Webseite online gestellt.

Die drei europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) haben im Juli weitere Regulierungsmaßnahmen im Rahmen des Digital Operational Resilience Act (DORA) veröffentlicht.

Am 17. Juli 2024 wurde ein Paket bestehend aus vier finalen Entwürfen technischer Regulierungsstandards (RTS), einem Satz technischer Durchführungsstandards (ITS) und zwei Leitlinien, die alle darauf abzielen, die digitale operative Widerstandsfähigkeit des EU-Finanzsektors zu verbessern, veröffentlicht.

Bei den finalen Entwürfen technischer Standards handelt es sich um

• RTS und ITS zu Inhalt, Format, Vorlagen und Fristen für die Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen;
• RTS zur Harmonisierung der Bedingungen für die Durchführung der Aufsichtstätigkeiten;
• RTS zur Festlegung der Kriterien für die Zusammensetzung des gemeinsamen Prüfungsteams (JET); und
• RTS zu bedrohungsgesteuerten Penetrationstests (TLPT).

Die Leitlinien umfassen

• Leitlinien zur Schätzung der aggregierten Kosten/Verluste, die durch größere IKT-bezogene Vorfälle verursacht werden, und
• Leitlinien für die Zusammenarbeit der Aufsichtsbehörden.

Anschließend wurde am 26. Juli 2024 ein Bericht zu den Entwürfen technischer Regulierungsstandards (RTS) veröffentlicht, in denen festgelegt wird, wie die Bedingungen für die Untervergabe von Informations- und Kommunikationstechnologiedienstleistungen (IKT), die kritische oder wichtige Funktionen unterstützen, gemäß Artikel 30 (2) & (5) DORA zu bestimmen und zu bewerten sind.

Diese RTS konzentrieren sich auf IKT-Dienstleistungen, die von IKT-Unterauftragnehmern erbracht werden, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen. Darüber hinaus spezifizieren sie die Anforderungen während des gesamten Lebenszyklus der vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern. Insbesondere verpflichten sie die Finanzunternehmen, die mit der Vergabe von Unteraufträgen verbundenen Risiken in der vorvertraglichen Phase zu bewerten, einschließlich des Due-Diligence-Verfahrens.

Die diesbezüglichen RTS finden Sie hier.

Im Zusammenhang mit dem Digital Operational Resilience Act (DORA) werden die drei Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) auch einen gemeinsamen EU-Koordinierungsrahmen für systemische Cybervorfälle (EU-SCICF) einrichten. Dieser soll eine wirksame gemeinsame Reaktion des Finanzsektors auf einen Cybervorfall, der ein Finanzstabilitätsrisiko darstellt oder darstellen könnte, erleichtern, indem die Koordinierung zwischen den Finanzbehörden und anderen relevanten Stellen in der Europäischen Union sowie anderen wichtigen Akteuren auf internationaler Ebene verstärkt wird.

In den kommenden Monaten werden folgende Stellen eingerichtet:

• EU-SCICF-Sekretariat, das das Funktionieren des Rahmens unterstützt
• EU-SCICF-Forum, das an der Erprobung und Reifung der Funktionsweise arbeitet
• EU-SCICF-Krisenkoordination, die im Krisenfall die Koordinierung der Maßnahmen der beteiligten Behörden erleichtert

Weiterführende Informationen können Sie der Pressemitteilung vom 17. Juli 2024 entnehmen.

Die FMA hat zur Vorbereitung auf DORA eine umfangreiche Webseite online gestellt.

Hier finden Sie die Pressemitteilung vom 26. August 2024 sowie die neue DORA-Webseite.

Katarina Heigl

Severin Winkler