Die Regulierung zur DORA-Verordnung auf Level II (durch technische Regulierungsstandards und technische Durchführungsstandards) und Level III (z.B. durch Leitlinien) gewinnt an Konturen. Die EU-Kommission hat Mitte März 2024 (in englischer Sprache) drei von ihr gebilligte Texte technischer Regulierungsstandards (RTS) veröffentlicht:

• RTS über die weitere Harmonisierung von Tools, Methoden, Prozessen und Richtlinien für das IKT-Risikomanagement (Art. 15 Abs. 6 DORA-VO)
• RTS über die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen (Art. 18 Abs. 3 DORA-VO)
• RTS über Prinzipien für das Management des IKT-Drittparteienrisikos (Art. 28 Abs. 10 DORA-VO)

Sie stammen aus der ersten Konsultationsphase, die im Juni 2023 durch die Veröffentlichung von Konsultationspapieren durch die Europäischen Aufsichtsbehörden (ESA) eingeleitet wurde. Vor der offiziellen Veröffentlichung können Rat und Europäisches Parlament noch Einwände erheben, normalerweise innerhalb von drei Monate. Durch die Europawahlen im Juni verlängert sich dieser Zeitraum voraussichtlich bis Herbst 2024.

Ende Februar 2024 hat die Kommission außerdem zwei delegierte Rechtsakte erlassen. Sie betreffen die

• Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch (Art. 31 Abs. 6 DORA-VO) und
• Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren (Art. 42. Abs. 6 DORA-VO)

Zu einem der Entwürfe aus dem ersten Regulierungspaket vom Sommer 2023 steht die Billigung der Kommission noch aus: technischer Durchführungsstandard (ITS) über von Finanzeinrichtungen zu erstellende Informationsregister (Art. 28 Abs. 9 DORA-VO).

Anfang März 2024 endete die zweite und letzte Konsultationsphase der ESA über folgende Entwürfe:

• RTS über die Auslagerung von kritischen oder wichtigen Funktionen an Subdienstleister (Art. 30 Abs. 5 DORA-VO)
• RTS über die Harmonisierung bei der Durchführung der Überwachungstätigkeiten (Art. 41 Abs. 2 DORA-VO)
• RTS über das Threat Led Penetration Testing (TLPT, Art. 26. Abs. 11 DORA-VO)
• ITS über die Berichterstattung über größere IKT-Vorfälle (Art. 20 Buchst. b DORA-VO)
• Leitlinie über Zusammenarbeit der Aufsichtsbehörden (Art. 32 Abs. 7 DORA-VO)
• Leitlinie über die von ESA vorzunehmenden Schätzungen aggregierter Kosten schwerwiegender IT-Vorfälle (Art. 11 Abs. 11 DORA-VO).

An den beiden Konsultationsphasen hat sich die aba durch Beiträge zu den gemeinsamen PensionsEurope-Stellungnahmen beteiligt. Kritisiert wurde darin vor allem die mangelnde Nutzung von Spielräumen für proportionale, den tatsächlichen Risiken für EbAV bzw. für Versorgungsanwärter und Leistungsbezieher entsprechende Regelungen. Die Stellungnahmen sind hier (September 2023) und hier (März 2024) abrufbar. Die Konkretisierung der DORA-Vorgaben in der Level-II und Level-III-Regulierung wird aktuell auch in einer vierteiligen Workshop-Reihe für EbAV behandelt. Die Auftaktveranstaltung fand am 14. März 2024 statt. Eine Teilnahme an den Folgeterminen am 9. April, 7. Mai und 4. Juni 2024 ist aber noch möglich, vgl. weitere Angaben auf der Veranstaltungsseite.