DORA Regulation Update: Erläuterung der 2. Charge der RTS & ITS
Am 8. Dezember 2023 wurde die zweite Tranche von RTS (Regulatory Technical Standards) & ITS (Implementation Technical Standards) veröffentlicht. Diese Dokumente konkretisieren die Anforderungen, die in der Verordnung zur digitalen operationalen Resilienz im Finanzsektor (DORA) festgelegt sind.
Derzeit befinden sich die veröffentlichten Dokumente in einer öffentlichen Konsultationsphase, die am 4. März 2024 endet und bis zum 17. Juli 2024 zum Abschluss gebracht wird.
Regulatorische Inhalte | Öffentliche Konsultation | Einreichung bei der EU Kommission |
Erste Tranche an Policies | Abgeschlossen | 17 Jän 2024 |
Zweite Tranche an Policies | 08 Dez 2023 – 04 Mär 2024 | 17 Jul 2024 |
Machbarkeitsbericht EU-weite IKT-Vorfallsmeldestelle | TBA | 17 Jän 2025 |
Die nächsten Abschnitte beschreiben die wesentlichen neuen Aspekte dieser Dokumente. Dabei wird der Fokus auf die Bereiche gelegt, die potenziell größere Auswirkungen auf die betroffenen Finanzinstitute haben.
RTS & ITS über die Meldung schwerwiegender IKT-bezogener Vorfälle
Überblick
Der RTS- und ITS-Entwurf zur Meldung schwerwiegender Vorfälle behandelt drei verschiedene Aspekte der Meldung von Vorfällen: die Fristen für die Einreichung von initialen Benachrichtigungen sowie Zwischen- und Abschlussberichten für schwerwiegende Vorfälle, den Inhalt der Vorfallsberichte für schwerwiegende IKT (Informations- und Kommunikationstechnologie)-bezogene Vorfälle und den Inhalt der freiwilligen Meldung für erhebliche Cyberbedrohungen. Durch die Bereitstellung klarer Leitlinien für jeden dieser Bereiche tragen der RTS- und der ITS-Entwurf dazu bei, dass Organisationen Vorfälle auf einheitliche und effektive Weise melden können.
Ein Merkmal des ITS-Entwurfs ist die Einführung einer einheitlichen Vorlage, die sowohl die initiale Benachrichtigung als auch die Zwischen- und Abschlussberichte abdeckt. Diese Vorlage beschleunigt den Meldeprozess und erleichtert es den Organisationen, die erforderlichen Informationen in klarer und präziser Form zu melden.
Meldezeiträume
- Die entworfenen Fristen für die Meldung schwerwiegender Vorfälle und die Berichterstattung darüber gestalten sich wie folgt:
- Die initiale Benachrichtigung muss innerhalb von 4 Stunden nach der Einstufung des Vorfalls als schwerwiegend erfolgen, spätestens jedoch 24 Stunden nach der Entdeckung des Vorfalls.
- Ein Zwischenbericht ist innerhalb von 72 Stunden nach der Einstufung des Vorfalls, als schwerwiegend zu übermitteln oder wenn die regulären Tätigkeiten wieder aufgenommen wurden und der Betrieb wieder normal verläuft.
- Der Abschlussbericht muss spätestens einen Monat nach der Einstufung des Vorfalls als schwerwiegend vorgelegt werden.
Meldung schwerwiegender Vorfälle und Inhalte der Meldung
Inhaltlich enthalten die RTS- und ITS-Entwürfe klare Vorgaben, welche Informationen in jedem der drei Berichte enthalten sein müssen. Die folgenden Einzelheiten zum Inhalt der einzelnen Berichte sind Bereiche, auf die sich die Finanzinstitute bei der Umsetzung ihrer Reaktionspläne auf Vorfälle konzentrieren müssen. Diese erfordern einen zusätzlichen Arbeitsaufwand für die Berichterstattung, der sich nicht zwangsläufig aus internen Geschäftsanforderungen ergibt.
Aus der initialen Benachrichtigung müssen der Ursprung und die Auswirkungen des Vorfalls hervorgehen. Daher müssen die Organisationen in der Lage sein, in einem frühen Stadium des Vorfallsmanagements festzustellen, ob ein Vorfall von anderen Finanzinstituten oder Drittanbietern ausgeht oder diese betrifft.
Die initiale Benachrichtigung muss auch das wiederholte Auftreten von Vorfällen umfassen. Der Vergleich aktueller Vorfälle mit früheren Vorfällen ist eine Fähigkeit, die Organisationen in ihrem Prozess zum Vorfallsmanagement berücksichtigen müssen.
Der Zwischenbericht muss die Auswirkungen auf die finanziellen Gegenparteien enthalten, eine Analyse, die über den eigenen Geschäftsbedarf der Organisation hinausgeht. Weiter müssen die Auswirkungen des Vorfalls auf die Reputation analysiert und gemeldet werden. Eine Folgenabschätzung für Kunden, Transaktionen und finanzielle Gegenparteien muss systematisch durchgeführt und gemeldet werden. Eine neue Verpflichtung besteht darin, dass Finanzunternehmen die potenziellen Auswirkungen des aufgetretenen schwerwiegenden Vorfalls auf die EU-Mitgliedstaaten bewerten müssen.
Die europäischen Aufsichtsbehörden verlangen weiter eine detaillierte Einstufung des Vorfalls und des Bedrohungsakteurs. Finanzinstitute müssen ihre betroffenen Geschäftsprozesse und -funktionen auflisten, was voraussetzt, dass die Organisationen die Verknüpfung von Infrastrukturkomponenten, Geschäftsfunktionen und Geschäftsprozessen abrufbar haben. Schließlich müssen die Finanzinstitute jegliche Kommunikation mit Partnern und Kunden im Zusammenhang mit dem Vorfall dokumentieren und melden.
Der Abschlussbericht muss unter anderem beschreiben, ob gesetzliche und vertragliche Verpflichtungen wie SLAs vollständig eingehalten werden konnten. Außerdem beinhaltet der Abschlussbericht eine detaillierte Analyse der finanziellen Auswirkungen des Vorfalls.
RTS über die Vergabe von Unteraufträgen für kritische oder wichtige Funktionen
Der RTS-Entwurf über die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, beschreibt, wie Finanzunternehmen, die mit der Vergabe von Unteraufträgen verbundenen Risiken in der vorvertraglichen Phase bewerten müssen; dazu gehört auch der Due-Diligence-Prozess. Der RTS-Entwurf enthält Anforderungen an die vertragliche Vereinbarung der Bedingungen für die Weiterverlagerung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, um sicherzustellen, dass die Finanzunternehmen alle IKT-Unterauftragnehmer überwachen können.
Komplexität und Risikobetrachtungen
Die Elemente eines erhöhten oder verringerten Risikos sind von den Finanzunternehmen in Bezug auf IKT-Drittdienstleister und deren Unterauftragnehmer zu berücksichtigen. Am wichtigsten sind die Prozesse der Due-Diligence-Prüfung von IKT-Drittdienstleistern und ihren Unterauftragnehmern, der Ort, an dem die Daten verarbeitet und gespeichert werden, die potenziellen Auswirkungen von Störungen und das Konzentrationsrisiko.
Risikobewertungen zur Nutzung von Unterauftragsnehmer
Die Finanzinstitute müssen ihre Absicht und Risikotoleranz bewerten, wenn sie IKT-Drittdienstleistern den Einsatz von Unterauftragnehmern zur Unterstützung kritischer oder wichtiger Funktionen gestatten. Dabei sind mehrere Themen zu berücksichtigen, die relevantesten sind: IKT-Drittdienstleister müssen das Finanzinstitut in den Entscheidungsprozess für den Einsatz von Unterauftragnehmern einbeziehen, die Auswirkungen eines Versagens bewerten und Hindernisse bei der Erfüllung von Verpflichtungen aus vertraglichen Vereinbarungen berücksichtigen.
Beschreibung und Bedingungen zur Weiterverlagerung von kritischen oder wichtigen IKT-Services
Finanzunternehmen müssen festlegen, welche IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, für die Vergabe von Unteraufträgen in Frage kommen und unter welchen Bedingungen. Für diejenigen, die in Frage kommen, müssen schriftliche vertragliche Vereinbarungen unter anderem Überwachungs- und Berichterstattungspflichten, notwendige Risikobewertungen und Anforderungen an die Einhaltung von IKT-Sicherheitsstandards und den Einsatz von Sicherheitswerkzeugen enthalten.
Überwachung der IKT-Unterauftragnehmer-Kette durch das Finanzinstitut
Die Finanzinstitution muss die IKT-Unterauftragnehmer-Kette vollständig überwachen und dokumentieren. Darüber hinaus muss sie die Bedingungen für die Vergabe von Unteraufträgen angemessen überwachen und anhand von Leistungsindikatoren sicherstellen, dass die vertraglichen Vereinbarungen eingehalten werden.
Wesentliche Änderungen von Auslagerungsvereinbarungen
Wie eingangs erwähnt, müssen die Finanzunternehmen in den Entscheidungsprozess für die Vergabe von Unteraufträgen einbezogen werden. IKT-Drittdienstleister dürfen wesentliche Änderungen erst dann vornehmen, wenn das betroffene Finanzinstitut zugestimmt hat oder bis zum Ablauf einer Toleranzperiode kein Einspruch erhoben wird.
Draft Regulatory Technical Standards specifying elements related to threat led penetration tests
In der komplexen Welt der Finanzvorschriften ist es sowohl für die Aufsichtsbehörden als auch für die Finanzinstitute von entscheidender Bedeutung sicher zu sein. Der Digital Operational Resilience Act (DORA) verlangt von bestimmten Finanzinstituten, dass sie sich alle drei Jahre einem erweiterten Test unter Verwendung von Threat-Led Penetration Testing (TLPT) unterziehen. In den jetzt veröffentlichten RTS für TLPT wird definiert, wie TLPT „in Übereinstimmung mit dem TIBER-EU-Rahmen“ durchgeführt werden müssen.
Kernelemente der TLPT
- Kriterien zur Identifizierung: In den technischen Regulierungsstandards sind Kriterien für die Identifizierung von Finanzinstitute festgelegt, die TLPT unterliegen.
- Tester: Die RTS beschreiben Anforderungen und Standards für den Einsatz von internen Testern. Dazu gehört auch die Definition der Qualifikationen, Rollen und Verantwortlichkeiten der internen Tester, die am TLPT-Prozess beteiligt sind. DORA verlangt, dass mindestens alle 3 Jahre externe Tests durchgeführt werden.
- Umfang und Methodik: Die RTS bieten klare Leitlinien zum Umfang, zur Testmethodik und zum Ablauf für jede Phase der TLPT. Dies gewährleistet eine umfassende Evaluation, die alle für die digitale operationale Resilienz relevanten Aspekte abdeckt.
- Ergebnisse, Abschluss und Behebung: Der RTS befasst sich mit der Behandlung von Ergebnissen, Abschluss- und Behebungsphasen. Von Finanzinstitut wird erwartet, dass sie auf der Grundlage der Testergebnisse umgehend Maßnahmen ergreifen und einen proaktiven Ansatz zur Behebung von Schwachstellen fördern.
- Kooperation mit der Aufsicht: Die Richtlinie unterstreicht die Bedeutung der Zusammenarbeit mit der Aufsicht und anderen Kooperationen, die für die Umsetzung des TLPT erforderlich sind. Dieser kollaborative Ansatz zielt darauf ab, die gegenseitige Anerkennung zu erleichtern und die Abläufe über Zuständigkeitsbereiche hinweg zu harmonisieren.
Kriterien zur Identifizierung
In Bezug auf die Identifizierungskriterien zeigt die folgende Übersicht im Einzelnen, wie die Behörden Finanzunternehmen identifizieren, die TLPT durchführen müssen:
- Kreditinstitute, die nach europäischen Vorschriften als global bedeutend gelten, oder andere bedeutende Institute.
- Zahlungsinstitute und E-Geld-Institute mit einem Gesamtwert der Zahlungstransaktionen von mehr als 120 Mrd. EUR in jedem der zwei vergangenen Geschäftsjahre.
- E-Geld-Institute mit einem E-Geld-Umlauf von mehr als 40 Mrd. EUR in jedem der zwei vergangenen Geschäftsjahre.
- Zentralverwahrer.
- Zentrale Gegenparteien.
- Handelsplätze mit elektronischen Handelssystemen, die bestimmte Kriterien erfüllen, einschließlich des höchsten Marktanteils bei bestimmten Finanzinstrumenten auf nationaler oder EU-Ebene.
- Versicherungs- und Rückversicherungsunternehmen, die bestimmte Kriterien erfüllen, einschließlich solcher mit Bruttoprämien von jeweils mehr als 500 Mio. EUR in den letzten beiden Geschäftsjahren, und solche, die innerhalb des 90. Perzentils der Bruttoprämien-Verteilung für bestimmte Bereiche liegen. Außerdem Unternehmen mit einer Bilanzsumme, die mindestens 10 % der gesamten Bilanzsummen für die angegebene Wirtschaftszweigart in dem Mitgliedstaat beträgt.
Die für das TLPT zuständigen Behörden können weitere Finanzinstitute je nach Einfluss, Auswirkungen auf die Finanzstabilität oder IKT-Risikoprofil benennen, die gemäß den Spezifikationen des RTS-Dokuments zur Durchführung von TLPTs verpflichtet werden.
Ausnahmen von TLPT
Die unter den obigen Punkten genannten Finanzunternehmen sind von der Durchführung bedrohungsorientierter Penetrationstests (TLPT) befreit, wenn eine auf Kriterien basierende Bewertung ergibt, dass ihr Einfluss, ihre Auswirkungen auf die Finanzstabilität oder ihr IKT-Risikoprofil den Test nicht rechtfertigen. In Fällen, in denen mehrere Unternehmen innerhalb einer Gruppe gemeinsame IKT-Systeme nutzen oder denselben gruppeninternen Dienstleister in Anspruch nehmen und die genannten Kriterien erfüllen, können die für TLPT zuständigen Behörden in den betreffenden Mitgliedstaaten in Absprache mit der Behörde des Staates, in dem die Muttergesellschaft der Gruppe ihren Sitz hat, gemeinsam entscheiden, ob für diese Unternehmen individuelle TLPT-Anforderungen erforderlich sind.
Wir hoffen, dass unser Blogbeitrag Ihnen wertvolle Einblicke in die zweite Serie von RTS & ITS im Rahmen der DORA-Verordnung gegeben hat. Wenn Sie oder Ihre Organisation auf diesem Gebiet Expertise benötigen, steht Ihnen Certitude mit seinem umfangreichen Know-how zu DORA und den damit verbundenen RTS & ITS zur Verfügung. Sprechen Sie uns an, wir unterstützen Sie gerne.
Authors: Thomas Fischer and Jonathan Denzel