Im EU-Amtsblatt wurden folgende Ergänzungen zu DORA veröffentlicht:
- Am 18. Juni 2025: Durchführung von bedrohungsorientierten Penetrationstests
- Am 2. Juli 2025: Präzisierung bei Untervergabe von IKT-Dienstleistungen
Durchführung von bedrohungsorientierten Penetrationstest
Im EU-Amtsblatt vom 18. Juni 2025 ist die Delegierte Verordnung (EU) 2025/1190 veröffentlicht worden. Die delegierte Verordnung legt u. a. Kriterien zur Bestimmung der Finanzunternehmen, die zur Durchführung eines bedrohungsorientierten Penetrationstests verpflichtet sind, und die von deren Seite zu treffenden organisatorischen Vorkehrungen und Maßnahmen mit Blick auf das Risikomanagement fest.
Präzisierung bei Untervergabe von IKT-Dienstleistungen
Im EU-Amtsblatt vom 2. Juli 2025 ist die Delegierte Verordnung (EU) 2025/532 veröffentlicht worden. Die delegierte Verordnung bezieht sich insbesondere auf die Sorgfaltspflicht und Risikobewertung in Bezug auf den Einsatz von Unterauftragnehmern, die kritische oder wichtige Funktionen unterstützen. Sie tritt am 20. Tag nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft.
Sofern für Gruppenunternehmen anwendbar, trägt das Mutterunternehmen auch Sorge dafür, dass entsprechende Anforderungen konsistent in der Gruppe umgesetzt werden.
