• 18. Juli 2023

Am 19. Juni 2023 wurde der erste von zwei Teilen der Level2-Rechtsakte in Form von Konsultationspapieren veröffentlicht. In diesen Dokumenten werden die Details zu einigen Artikeln der DORA beschrieben. Auch wenn die in Form von RTS (Regulatory Technical Standards) und ITS (Implementing Technical Standards) veröffentlichten Dokumente erst mit Jänner 2024 final freigegeben werden, werden die darin enthaltenen Vorgaben im Wesentlichen bis Jänner 2025 umzusetzen sein. Es ist somit eine gute Basis für den Start der GAP-Analyse gegeben!

Was konkret wird in den RTS/ITS geregelt?

IKT-Risikomanagement

Der umfangreichste Teil der Präzisierungen beschreibt den zu erstellenden IKT-Risikomanagementrahmens in Form von Strategien, Richtlinien, Prozessen und Tools.

Diese beinhalten unter anderem folgende Punkte:

  • Festlegung der Verantwortung für das IT-Risikomanagement bei der Gesamtgeschäftsführung sowie Vorgaben und Richtlinien in Bezug auf Maßnahmen im Bereich IKT-Betrieb
  • IKT-Sicherheit
  • Zugriffskontrollen
  • Erfassung und Klassifizierung des gesamten IKT-Inventars
  • Verschlüsselung
  • Erkennung und Reaktion auf Vorfälle (Logging und Analyse)
  • Business Continuity Management (BCM)
  • Business Impact Analyse (BIA)
  • Risikoanalysen
  • IKT-Projektmanagement
  • Änderungsmanagement und Schulungen

Neben der Erstellung des Rahmens und der Vorgabe von Maßnahmen ist jährlich ein Bericht zur umfassenden Überarbeitung des Rahmens zu erstellen und auf Anforderung der Aufsicht vorzulegen.

Einige der Vorgaben sind im Ansatz aus den EBA-Guidelines bekannt, der Umfang und Detailgrad geht jedoch weit darüber hinaus. Neu ist u.a. auch die Nominierung eines IKT-Risikoverantwortlichen mit seinen umfangreichen Aufgaben, welcher nicht in der operativen IT angesiedelt sein darf.

Bewertung und Klassifizierung von IKT-Vorfällen

In diesem RTS wird festgelegt, wie IKT-Vorfälle (also alle IKT-Störungen inklusive Cybervorfälle) erfasst, klassifiziert und nach den Vorgaben der DORA bearbeitet, dokumentiert und bei Wesentlichkeit an die Aufsichtsbehörden zu melden sind (zum Meldevorgang und -format gibt es einen eigenen ITS).

IKT-Drittdienstleister

Neben dem Risikomanagementrahmen hat das Thema Drittparteienrisiko den größten Umfang der Präzisierungen und umfasst im Gegensatz zu den EBA-Guidelines zum Outsourcing alle IT-Dienstleister (unabhängig davon, ob dies gruppeninterne oder externe Dienstleister sind) und deren Subunternehmer.

Es ist der gesamte „Lebenszyklus“ eines Dienstleisters – von der Auswahl, Due Diligence, Risikoanalyse, Vertragsgestaltung, Überwachung der Erbringung bis hin zur Beendigung von Verträgen detailliert in Form von Richtlinien zu regeln. Enthalten sind u.a. auch Vorgaben zu den Inhalten, welche in Verträgen mit IKT-Dienstleistern verschriftlicht werden müssen.

Informationsregister

Im Zusammenhang mit den bereits beschriebenen Vorgaben zu den IKT-Dienstleistern ist auch ein eigener ITS veröffentlicht worden, welcher die Struktur zu einem zu erstellenden Register aller IKT-Dienstleister und Vorgaben zum Management des Registers enthält.

Neben dem Datenformat sind auch alle Details zu den Parametern angeführt, die zu jedem Dienstleister erfasst werden müssen – eine nicht zu unterschätzende Aufgabe!

Unser Fazit

Die im Juni vorgestellten Präzisierungen erweitern abermals den schon nicht unerheblichen Aufwand, der für die Umsetzung der DORA einzuplanen ist. Hohe zeitliche Aufwände sind für das IT-Management zu erwarten, aber auch für andere betroffene Bereiche des Unternehmens, wie etwa unternehmensweites Risikomanagement, Legal, BCM-Beauftragter, Auslagerungsbeauftragter, Datenschutzbeauftragter.

Gerne unterstützen wir Sie mit unserer DORA-Expertise bei der Standortanalyse, bei GAP-Analysen und bei der projekthaften Umsetzung der Vorgaben – abgestimmt auf Ihre Unternehmensgröße und Ihr Geschäftsmodell.

Press ESC key to close search