Die drei europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA, nachfolgend ESA) haben am 17. Januar 2024 die an die EU-Kommission gegebenen Entwürfe der technischen Regulierungs- und Implementierungsstandards zur Verordnung (EU) 2022/2254 über die digitale operationale Resilienz im Finanzsektor (DORA-VO)“ veröffentlicht.

Es handelt sich dabei um die im Nachgang der Konsultation überarbeiteten Entwürfe für

• einen technischen Regulierungsstandard über Methoden und Verfahren des IKT-Risikomanagements (IKT-Risikomanagementrahmen) gem. Art. 15 DORA-VO
• einen technischen Regulierungsstandard über den vereinfachten IKT-Risikomanagementrahmen gem. Art. 16 DORA-VO
• einen technischen Regulierungsstandard über die Klassifizierung von IKT-Vorfällen gem. Art. 18 Abs. 1 DORA-VO
• einen technischen Durchführungsstandard über die Ausgestaltung des Informationsregisters gem. Art. 28 Abs. 3 DORA-VO
• einen technischen Regulierungsstandard über die Leitlinie über die Nutzung von Drittdienstleistern bei kritischen und wichtigen Funktionen gem. Art. 28 Abs. 2 der DORA-VO

Zur Einordnung: Die ersten Entwürfe zu diesen Level-II-Regulierungsakten wurden am 19. Juni 2023 veröffentlicht und bis zum 11. September 2023 zur Konsultation gestellt. Die aba hat sich in die gemeinsamen Konsultationsantworten ihres europäischen Verbands PensionsEurope eingebracht.

Die von der PensionsEurope Geschäftsstelle erstellen Änderungsfassungen (aktuelle an die EU-Kommission gegeben Entwürfe im Vergleich zu den Konsultationsentwürfen) finden Mitglieder als Hintergrundpapiere im Mitgliederbereich der aba-Homepage (orange-farbene Schaltfläche am unteren Seitenrand).

Wie geht es in der aba dazu weiter?

Die Arbeitsgruppe VAIT/DORA der aba und die weiteren zuständigen aba-Gremien werden sich mit diesen Entwürfen befassen. Zusammen mit PwC und der AG VAIT/DORA planen wir bis Juni 2024 verschiedene digitale Workshops für EbAV zur  Vorbereitung auf die Anwendung der DORA VO. Ferner wird aktuell an der am 8. Dezember 2023 angelaufenen Konsultation über das zweite Paket von Entwürfen gearbeitet. Die Konsultation läuft noch bis 4. Februar 2024.

Dabei handelt es sich im Einzelnen um:

• einen technischen Regulierungsakt über die bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen zu beachtenden Aspekte gem. Art. 30 Abs. 5 in Verbindung mit Art. 30 Abs. 2a DORA-VO
• einen technischen Regulierungsstandard über die Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten bei IKT-Drittdienstleistern gem. Art. 41 Abs. 2 DORA-VO
• einen technischen Regulierungsakt über die Harmonisierung von Inhalt und Vorlagen von Meldungen schwerwiegender Vorfälle: Meldungsinhalte, Fristen, Formulare etc. gem. Art. 20 DORA-VO
• einen technischen Regulierungsakt über die nähere Ausgestaltung von TLPT-Tests gem. Art. 26 Abs. 11 DORA-VO
• gemeinsame Leitlinien für die Schätzung der aggregierten jährlichen Kosten und Verluste aus schwerwiegenden Vorfällen gem. Art. 11 Abs. 11 in Verbindung mit Art. 11 Abs. 10 DORA-VO
• gemeinsame Leitlinien über die Zusammenarbeit der ESA mit nationalen Aufsichtsbehörden

Wie geht das Verfahren der Level-II-Regulierungweiter?

Gemäß Artikel 10 der EIOPA-VO (EU) 1094/2010 entscheidet im Falle von technischen Regulierungsakten die Kommission innerhalb von drei Monaten nach Erhalt eines Entwurfs, ob sie diesen annimmt. Grundsätzlich kann die Kommission den Entwurf mit Änderungsvorschlägen an die ESA zurückschicken. Auch das Europäische Parlament und der Rat können gem. Artikel 13 Einwände erheben. Geschieht dies nicht, könnten die ersten Level-II-Regulierungsakte noch in Q2 2024 verabschiedet und im Amtsblatt verkündet werden.