Die am 16. Januar 2023 in Kraft getretene DORA-Verordnung über die Digitale Betriebsstabilität digitaler Systeme des Finanzsektors stellt auch an EbAV zahlreiche, zum Teil neue Anforderungen. Die konkrete Ausgestaltung mehrerer der ab 16. Januar 2025 anzuwendenden Regelungen erfolgt über technische Regulierungs- und Durchführungsstandards und weitere delegierte Rechtsakte. Die Kommission erlässt diese Akte auf Basis von Entwürfen, die von den Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA, nachfolgend zusammenfassend ESA) erstellt und vorab zur Konsultation gestellt werden.

Bereits am 26. Mai 2023 haben die ESA ein Diskussionspapier zum Thema „Kritische IKT-Drittdienstleister“ (sog. CTPP) veröffentlicht und Gelegenheit zu Anmerkungen bis 23. Juni 2023 gegeben. PensionsEurope hat u.a. die von den ESA vorgeschlagenen Schwellenwerte für die Einstufung eines Dienstleisters als CTPP kommentiert. Die ESA schlagen vor, von Kritikalität oberhalb der Schwelle von 10% auszugehen. Der Prozentwert bezieht sich teils auf den EU-weiten Marktanteil eines IT-Dienstleisters innerhalb einer Art von Finanzunternehmen („type of financial entity“). Teils wird er gemessen in Prozent der in dem jeweiligen Bereich verwalteten Assets. PensionsEurope hat hierzu am 25. Juni 2023 Stellung genommen (Pressemitteilung und Stellungnahme).

Die ESA haben am 19. Juni 2023 vier Entwürfe weiterer Level-II-Regulierungsakte veröffentlicht. Die Gelegenheit zur Stellungnahme besteht bis zum 11. September 2023 zu folgenden Entwürfen:

Methoden und Verfahren des IKT-Risikomanagements: Art. 15 DORA-VO ordnet eine weitere Harmonisierung von Tools, Methoden, Prozessen und Richtlinien für das IKT-Risikomanagement an. Art. 16 Abs. 3 DORA-VO regelt, als Ausnahmeregelung für Finanzunternehmen, den vereinfachten Rahmen des Risikomanagements für „kleine EbAV“ mit weniger als 100 Versorgungsanwärtern (definiert in Art. 2 Nr. 53 DORA-VO). Der ESA-Entwurf eines technischen Regulierungsstandards (RTS) hierzu enthält konkrete Anforderungen an die Governance, das Management und die Verwaltung der IKT-Assets (definiert Art. 3 Nr. 7 DORA-VO), an einzusetzende Verschlüsselungstechnologien, an Kapazitätsüberwachungen, an die Dokumentation von Schwachstellen, an die Protokollierung von Zugriffen (Logging) u.v.m.

Klassifizierung von IKT-Vorfällen: Art. 18 Abs. 1 DORA-VO nennt bereits die Kriterien, anhand derer DORA-Anwender Sicherheitsvorfälle als „schwerwiegend“ einstufen müssen, z.B. die Anzahl und/oder Relevanz der Betroffenen oder die Dauer des IKT-bezogenen Vorfalls oder die Betroffenheit kritischer und wichtiger Funktionen. Der ESA-Entwurf eines RTS hierzu nennt konkrete Schwellenwerte (z.B. zwei Stunden Ausfallzeit bei Zahlungsvorgängen) und Kombinationen von Kriterien, die erfüllt sein müssen, um einen Vorfall als schwerwiegend einzustufen.

Ausgestaltung des Informationsregisters: Art. 28 Abs. 3 DORA-VO fordert die Erstellung eines Informationsregisters, das sich „auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen“ beziehen muss. Der ESA-Entwurf eines TRS hierzu enthält zehn umfangreiche Entwürfe für Meldebögen (Templates), u.a. mit Angaben über das beaufsichtigte „Finanzunternehmen“, die Vertragsverhältnisse, die Drittdienstleister und deren Subunternehmer, Risikoeinschätzungen (z.B. über die Ersetzbarkeit von Dienstleistern).

Leitlinie über die Nutzung von Drittdienstleistern bei kritischen und wichtigen Funktionen: Art. 28 Abs. 2 der DORA-VO fordert die Erstellung einer solchen Leitlinie als Teil einer Strategie zum IKT-Drittparteienrisiko. Der ESA-Entwurf eines RTS hierzu enthält Regelungen über Kriterien für die Auswahl möglicher Anbieter (due diligence) und Anforderungen an die Verträge (Kontrollrechte, Exit-Möglichkeiten etc.).

Diesen Konsultationen wird noch eine weitere folgen, und zwar zu Themen wie Kostenschätzungen von IKT-Vorfällen und Testverfahren: Für die Teilnahme an der angelaufenen Konsultation haben bereits Vorbereitungen bei aba und PensionsEurope begonnen.