Vorbereitung auf die DORA-Anwendung: Erste finale technische Regulierungsstandards liegen vor
(Erschienen am 26. Juni 2024, aktualisiert am 15.08.2024)
15.08.2024
15.08.2024
Am 25. Juni 2024, knapp sieben Monate vor der Anwendbarkeit der DORA-Verordnung, wurden im Amtsblatt der EU erste offizielle, in alle Amtssprachen der EU übersetzte technische Regulierungsstandards (RTS) zur Anwendung der DORA-Verordnung veröffentlicht:
- RTS über den IKT-Risikomanagementrahmen (Art. 15) bzw. den vereinfachten IKT-Risikomanagementrahmen für kleinere Finanzunternehmen (Art. 16 Abs. 3)
- RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
- RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen von kritischen oder wichtigen Funktionen (Art. 28 Abs. 10).
Die Level-II- und Level-III-Regulierungsakte (technische Regulierungsstandards, englisches Kürzel: RTS, technische Durchführungsstandards, englisches Kürzel ITS sowie Leitlinien) wurden in zwei „Paketen“ vorbereitet. Das erste Paket wurde Mitte 2023 und das zweite Anfang 2024 als (englischsprachige) Entwürfe der Europäische Aufsichtsbehörden (ESA) veröffentlicht und zur Konsultation gestellt. Unter Berücksichtigung der Konsultationsantworten finalisierte (ebenfalls nur englischsprachige) Entwürfe wurden im Januar 2024 von den ESA an die Kommission übermittelt.
Ausstehend aus dem ersten Paket ist der ITS über das Informationsregister (Art. 28 Abs. 9 DORA-VO). Als Begründung für die Verzögerung wurden seitens der KOM mittlerweile noch andauernde Übersetzungsarbeiten genannt, die sich bis September 2024 hinziehen könnten.
Mittlerweile durchlaufen auch die Entwürfe der ESA aus dem zweiten und letzten Regulierungspaket den (auf drei Monate angelegten) Prozess der Billigung durch die Kommission. Die Berichte über die Konsultation und, darin enthalten, die finalen Entwürfe der folgenden Level II und Level-III-Regulierungsakte wurden am 17. und am 25. Juli 2024 veröffentlicht. :
- RTS zu Threat Led Penetration Testing (Art. 26 Abs.11);
- RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5);
- RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a);
- Leitlinien über die Schätzung von Kosten schwerwiegender IKT-Vorfälle (Art. 11 Abs. 10)
- ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b);
- RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41);
- Leitlinien für die Zusammenarbeit zwischen den ESA und den nationalen Aufsichtsbehörden hinsichtlich der Struktur der Überwachung (Art. 32 Abs. 7).
(Eine regelmäßig aktualisierte Übersicht über den Stand der Level-II- und Level-III-Regulierung liefert auch die DORA-Themenseite der BaFin).
Fazit und Ausblick: Angesichts der kürzer werden Vorbereitungszeit und des Fehlens einer Übergangsregelung im Zeitraum ab 17. Januar 2024 empfehlen BaFin und EIOPA-Vertreter auf Informationsveranstaltungen und Workshops einvernehmlich, die Vorbereitungen auf Basis der jeweils aktuellen Entwürfe voranzutreiben. Umfangreiche Änderungen seien zum jetzigen Zeitpunkt nicht mehr zu erwarten.