Sowohl der first batch als auch der second batch der Level2-Gesetzgebung zur DORA sind final! Das sind gute Nachrichten für alle Marktteilnehmer, weil einige Unklarheiten und Inkonsistenzen bereinigt wurden und somit in fast allen Bereichen Klarheit über die Anforderungen besteht. Das wurde auch höchste Zeit, denn in spätestens 6 Monaten wird die DORA mit allen ihren RTS, ITS und Guidelines „scharf geschalten“.

First Batch (im Amtsblatt in den EU-Amtssprachen veröffentlicht):

• RTS über den IKT-Risikomanagementrahmen (Art. 15) bzw. den vereinfachten IKT-Risikomanagementrahmen für kleinere Finanzunternehmen (Art. 16 Abs. 3)
• RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
• RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen von kritischen oder wichtigen Funktionen (Art. 28 Abs. 10)

Second Batch (finale Version der ESAs):

• ESAs published second batch of policy products under DORA | European Banking Authority (europa.eu)

Das bedeutet jedoch nicht, dass alle Anforderungen komplett frei von Interpretationsspielraum sind. Damit einhergehend werden noch Implementierungserfordernisse auf allen Ebenen zu leisten sein. Nicht zuletzt aus diesem Grund versuchen die Aufsichtsbehörden (bspw. ESAs, BaFin, FMA/OeNB) ihre Beiträge zu leisten und in unterschiedlichen Austauschformaten in Kontakt mit den beaufsichtigten Unternehmen zu treten.

Dry-run Informationsregister

Das Informationsregister ist eines der am häufigsten diskutierten Neuerungen, die DORA mit sich gebracht hat. Auch die Aufsichtsbehörden stehen mitunter vor größeren Herausforderungen bei der Implementierung des vorgeschriebenen Frameworks für die Meldung von Vertragsbeziehungen mit IKT-Dienstleistern und der daraus abgeleiteten Analyse der Vernetzungen von IKT-Dienstleistern am Finanzmarkt.

Die ESAs veranstalten deshalb im Sommer 2024 einen Dry-run zum Informationsregister. Am 30. April und 10. Juni 2024 wurden Informationsveranstaltungen zum Informationsregister gehalten. In diesen wurden die notwendigen Tools und Rahmenbedingungen für die Teilnahme am dry-run vorgestellt. Die Teilnahme am Dry-run wurde seitens der ESAs als freiwillig kommuniziert. Im Rahmen des „Austrian Digital Landscape“ wurden jedoch einzelne Finanzunternehmen selektiv seitens FMA aufgefordert, am Dry-run teilzunehmen.

Alle Informationen, Templates und hilfreiche Q&As werden von den ESAs bereitgestellt:

• Preparation for DORA application

Wichtige Informationen zum Dry-Run zum Informationsregister:

• die Teilnahme ist prinzipiell freiwillig;
• Informationen sollten nach „best-effort“ über die zuständigen Aufsichtsbehörden bereitgestellt werden;
• die Formatvorgaben der ESAs sind einzuhalten, das bereitgestellte Formatierungstool kann genutzt werden (wird jedoch von den ESAs nur im Rahmen des Dry-Runs zur Verfügung gestellt);
• die ESAs bzw. Aufsichtsbehörden geben Feedback zu den Dry-run Meldungen

Beim Informationsregister werden aufgrund der Komplexität vermutlich viele Finanzunternehmen auf eine Tool-Lösung zurückgreifen. Die Anbieter der Tools sind dabei erste Beta-Versionen auf den Markt zu bringen und aktiv DORA zu bewerben.

Wir teilen gerne Tipps und Tricks bei der Toolauswahl zum Informationsregister oder für andere Bereiche der DORA.

BaFin Umsetzungshinweise

Ein wichtiger Baustein erfolgreicher Regulierung ist ein möglichst einheitliches Verständnis der involvierten Stakeholder zu schaffen. Die BaFin hat dazu in zahlreichen Arbeitsgruppen und Workshops mit Industrievertretern die DORA-Vorgaben ausführlich diskutiert. Die Ergebnisse wurden in Form von Umsetzungshinweisen veröffentlicht, die in erster Linie die Unterschiede zwischen den bisherigen und neuen Regelwerken hervorheben. Die BaFin kommuniziert in dieser Aufsichtsmitteilung klar die Absicht bestehende aufsichtliche Anforderungen zu Gunsten des harmonisierten DORA-Frameworks aufzuheben. Es wird erwartet, dass diesen Ansatz auch andere Aufsichtsbehörden (z.B. EBA/ESMA Leitlinien) verfolgen werden.

„Von Altbewährtem Lösen“ – Unter diesem Titel veröffentlicht die BaFin ein Interview anlässlich der Aufsichtsmitteilung zu DORA.

Die Umsetzungshinweise der BaFin fokussieren sich auf die DORA-Kapitel zum IKT-Risikomanagementrahmen und IKT-Dienstleistermanagement und berücksichtigen die diesbezüglichen Level2-Texte. Wesentliche Aussagen und Hinweise:

• Maßnahmen zum angemessenen Umgang mit IT-/ Cyberrisiken im Rahmen der ordnungsgemäßen Geschäftsführung, für Finanzunternehmen, die nicht der DORA unterliegen (vgl. aktuelle Diskussion zu Nicht-CRR Instituten im Rahmen des DORA-Vollzugsgesetzes in Österreich)
• IT-Strategie vs. DORA-Strategie:
  • Mangels Aussage zur Form des Dokuments gilt die Annahme weiterhin, dass sich Strategien geeignet kombinieren lassen;
  • Auch wenn IT-Strategie selbst in DORA nicht explizit gefordert ist, wird ihr Fortbestand u.a. als mögliches Bindeglied zwischen Geschäftsstrategie und DORA-Strategie erforderlich sein;
  • Neuverteilung der strategischen Vorgaben wird notwendig sein (z.B. IKT-Geschäftsfortführung, IKT-Referenzarchitektur, IKT-Drittparteienrisiko)
• Ausweitung der Verantwortung des Leistungsorgans: Stärkung der Rolle in Governance und Organisation geht mit erhöhtem Schulungsbedarf und Berichtspflichten einher
• Akzentverschiebung von ISMS hin zum gesamtheitlichen IKT-Risikomanagement:
  • deutlich stärkerer Schwerpunkt auf IKT-Risikomanagement;
  • Neuordnung der Kompetenzen der unabhängigen Kontrollfunktion des Informationssicherheitsbeauftragte/CISO hin zum IKT-Risikomanager;
  • expliziter Hinweis auf die Auslagerbarkeit der IKT-Risikomanagementfunktion
• Deutlich stärkere Betonung der Schulungspflichten: Programm zur Sensibilisierung und Schulung auf den Aufgabenbereich abgestimmt und auf dem aktuellen Stand gehalten
• Veränderte Inhalte und Struktur im IKT-Geschäftsfortführungsmanagement und höhere Anzahl der zu berücksichtigenden Szenarien (Auswirkung Klimawandel, Insider-Angriffe, politische und soziale Instabilität, Black-out)
• IKT-Drittparteienrisikomanagement nach DORA ist ergänzend zu den bestehenden Regelungen zu Auslagerungen zu sehen und laufen somit parallel. Es wird angenommen, dass in vielen Fällen eine vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen auch eine Auslagerung darstellt.
  • deutlich weiter gefasste Definition von vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen;
  • Bewertung von Funktionen als „kritisch oder wichtig“ ist methodisch und inhaltlich nicht identisch mit einer Wesentlichkeitsbestimmung bei Auslagerungen -> Entwicklung von geeigneten Kriterien zur Einstufung und die Bewertung aller Sachverhalte notwendig;
  • deutliche Ausweitung der mit dem IKT-Drittdienstleister verpflichtend zu vereinbarenden Vertragsinhalte -> in vielen Fällen wird eine Neu- bzw. Nachverhandlung mit IKT-Drittdienstleistern notwendig;
  • aktuell liegen keine Standardvertragsklauseln vor, Veröffentlichung von Standardvertragsklauseln zur Umsetzung der Mindestvertragsinhalte sollte nicht abgewartet werden;
  • keine erweiterten Übergangsfristen für die Anpassung der bestehenden vertraglichen Vereinbarungen (Risikoanalysen, Vertragsinhalte) vorgesehen -> dokumentierter Implementierungszeitplan
• Detaillierungsgrad der Anforderungen zur operativen Informationssicherheit deutlich höher: Netzwerksegmentierung/Isolierung, Rezertifizierung von Firewallregeln, Verschlüsselung „in use“, Key Management, need-to-use Prinzip, halbjährlicher Berechtigungsreview, Privileged Access Management

Erfolgreiche Umsetzung – Tipps aus der Praxis

Die Aufsichtsbehörden legen merklich einen Gang zu. Die neuen Regelwerke und daraus abgeleitete Anforderungen werden immer konkreter. Auch in Gesprächen mit IT-Leitern, CISOs, IKT-Risikomanagern stellt sich heraus, dass die Lösungswege zunehmend klarer werden.

Wenn sie die 5 Erfolgskriterien beachten, steht einer erfolgreichen DORA-Implementierung (fast) nichts mehr im Wege:

• Awareness der Geschäftsleitung sicherstellen, projekthafte Steuerung, laufendes Reporting an die Geschäftsleitung
• Zentrale Verantwortung für IKT-Governance festlegen, als Drehscheibe zwischen IT, Risikomanagement, Leitungsfunktion und externen Dienstleistern
• Ganzheitliche Sichtweise: Prozesse – Schutzbedarfe – BIA – Risiken – Assets – Maßnahmen – IKS – Tools; vs. isolierte Umsetzungen
• Berücksichtigung des laufenden Betriebs (RUN = Prozesse, Verantwortlichkeiten, Personal, Budget) neben der DORA-Umsetzung (CHANGE)
• Experten konsultieren und damit möglichst flexible und effiziente Lösungen schaffen; Austausch mit Peers, Aufsicht und Interessensvertretungen