{"id":2448,"date":"2023-12-15T08:53:54","date_gmt":"2023-12-15T06:53:54","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=2448"},"modified":"2023-12-19T14:43:42","modified_gmt":"2023-12-19T12:43:42","slug":"dora-regulation-update-erlauterung-der-2-charge-der-rts-its","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/dora-regulation-update-erlauterung-der-2-charge-der-rts-its\/","title":{"rendered":"DORA Regulation Update: Erl\u00e4uterung der 2. Charge der RTS & ITS"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Am 8. Dezember 2023 wurde die zweite Tranche von RTS (Regulatory Technical Standards) & ITS (Implementation Technical Standards) ver\u00f6ffentlicht. Diese Dokumente konkretisieren die Anforderungen, die in der Verordnung zur digitalen operationalen Resilienz im Finanzsektor (DORA) festgelegt sind.<\/p>\n\n\n\n

Derzeit befinden sich die ver\u00f6ffentlichten Dokumente in einer \u00f6ffentlichen Konsultationsphase, die am 4. M\u00e4rz 2024 endet und bis zum 17. Juli 2024 zum Abschluss gebracht wird.<\/p>\n\n\n\n

Regulatorische Inhalte<\/td>\u00d6ffentliche Konsultation<\/td>Einreichung bei der EU Kommission<\/td><\/tr>
Erste Tranche an Policies<\/td>Abgeschlossen<\/td>17 J\u00e4n 2024<\/td><\/tr>
Zweite Tranche an Policies<\/td>08 Dez 2023 \u2013 04 M\u00e4r 2024<\/td>17 Jul 2024<\/td><\/tr>
Machbarkeitsbericht EU-weite IKT-Vorfallsmeldestelle<\/td>TBA<\/td>17 J\u00e4n 2025<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die n\u00e4chsten Abschnitte beschreiben die wesentlichen neuen Aspekte dieser Dokumente. Dabei wird der Fokus auf die Bereiche gelegt, die potenziell gr\u00f6\u00dfere Auswirkungen auf die betroffenen Finanzinstitute haben.<\/p>\n\n\n\n

RTS & ITS \u00fcber die Meldung schwerwiegender IKT-bezogener Vorf\u00e4lle<\/h2>\n\n\n\n

\u00dcberblick<\/h3>\n\n\n\n

Der RTS- und ITS-Entwurf zur Meldung schwerwiegender Vorf\u00e4lle behandelt drei verschiedene Aspekte der Meldung von Vorf\u00e4llen: die Fristen f\u00fcr die Einreichung von initialen Benachrichtigungen sowie Zwischen- und Abschlussberichten f\u00fcr schwerwiegende Vorf\u00e4lle, den Inhalt der Vorfallsberichte f\u00fcr schwerwiegende IKT (Informations- und Kommunikationstechnologie)-bezogene Vorf\u00e4lle und den Inhalt der freiwilligen Meldung f\u00fcr erhebliche Cyberbedrohungen. Durch die Bereitstellung klarer Leitlinien f\u00fcr jeden dieser Bereiche tragen der RTS- und der ITS-Entwurf dazu bei, dass Organisationen Vorf\u00e4lle auf einheitliche und effektive Weise melden k\u00f6nnen.<\/p>\n\n\n\n

Ein Merkmal des ITS-Entwurfs ist die Einf\u00fchrung einer einheitlichen Vorlage, die sowohl die initiale Benachrichtigung als auch die Zwischen- und Abschlussberichte abdeckt. Diese Vorlage beschleunigt den Meldeprozess und erleichtert es den Organisationen, die erforderlichen Informationen in klarer und pr\u00e4ziser Form zu melden.<\/p>\n\n\n\n

Meldezeitr\u00e4ume<\/h3>\n\n\n\n
    \n
  • Die entworfenen Fristen f\u00fcr die Meldung schwerwiegender Vorf\u00e4lle und die Berichterstattung dar\u00fcber gestalten sich wie folgt:<\/li>\n\n\n\n
  • Die initiale Benachrichtigung muss innerhalb von 4 Stunden nach der Einstufung des Vorfalls als schwerwiegend erfolgen, sp\u00e4testens jedoch 24 Stunden nach der Entdeckung des Vorfalls.<\/li>\n\n\n\n
  • Ein Zwischenbericht ist innerhalb von 72 Stunden nach der Einstufung des Vorfalls, als schwerwiegend zu \u00fcbermitteln oder wenn die regul\u00e4ren T\u00e4tigkeiten wieder aufgenommen wurden und der Betrieb wieder normal verl\u00e4uft.<\/li>\n\n\n\n
  • Der Abschlussbericht muss sp\u00e4testens einen Monat nach der Einstufung des Vorfalls als schwerwiegend vorgelegt werden.<\/li>\n<\/ul>\n\n\n\n

    Meldung schwerwiegender Vorf\u00e4lle und Inhalte der Meldung<\/h3>\n\n\n\n

    Inhaltlich enthalten die RTS- und ITS-Entw\u00fcrfe klare Vorgaben, welche Informationen in jedem der drei Berichte enthalten sein m\u00fcssen. Die folgenden Einzelheiten zum Inhalt der einzelnen Berichte sind Bereiche, auf die sich die Finanzinstitute bei der Umsetzung ihrer Reaktionspl\u00e4ne auf Vorf\u00e4lle konzentrieren m\u00fcssen. Diese erfordern einen zus\u00e4tzlichen Arbeitsaufwand f\u00fcr die Berichterstattung, der sich nicht zwangsl\u00e4ufig aus internen Gesch\u00e4ftsanforderungen ergibt.<\/p>\n\n\n

    \n
    \"\"<\/figure>\n<\/div>\n\n\n

    Aus der initialen Benachrichtigung m\u00fcssen der Ursprung und die Auswirkungen des Vorfalls hervorgehen. Daher m\u00fcssen die Organisationen in der Lage sein, in einem fr\u00fchen Stadium des Vorfallsmanagements festzustellen, ob ein Vorfall von anderen Finanzinstituten oder Drittanbietern ausgeht oder diese betrifft.<\/p>\n\n\n\n

    Die initiale Benachrichtigung muss auch das wiederholte Auftreten von Vorf\u00e4llen umfassen. Der Vergleich aktueller Vorf\u00e4lle mit fr\u00fcheren Vorf\u00e4llen ist eine F\u00e4higkeit, die Organisationen in ihrem Prozess zum Vorfallsmanagement ber\u00fccksichtigen m\u00fcssen.<\/p>\n\n\n\n

    Der Zwischenbericht muss die Auswirkungen auf die finanziellen Gegenparteien enthalten, eine Analyse, die \u00fcber den eigenen Gesch\u00e4ftsbedarf der Organisation hinausgeht. Weiter m\u00fcssen die Auswirkungen des Vorfalls auf die Reputation analysiert und gemeldet werden. Eine Folgenabsch\u00e4tzung f\u00fcr Kunden, Transaktionen und finanzielle Gegenparteien muss systematisch durchgef\u00fchrt und gemeldet werden. Eine neue Verpflichtung besteht darin, dass Finanzunternehmen die potenziellen Auswirkungen des aufgetretenen schwerwiegenden Vorfalls auf die EU-Mitgliedstaaten bewerten m\u00fcssen.<\/p>\n\n\n\n

    Die europ\u00e4ischen Aufsichtsbeh\u00f6rden verlangen weiter eine detaillierte Einstufung des Vorfalls und des Bedrohungsakteurs. Finanzinstitute m\u00fcssen ihre betroffenen Gesch\u00e4ftsprozesse und -funktionen auflisten, was voraussetzt, dass die Organisationen die Verkn\u00fcpfung von Infrastrukturkomponenten, Gesch\u00e4ftsfunktionen und Gesch\u00e4ftsprozessen abrufbar haben. Schlie\u00dflich m\u00fcssen die Finanzinstitute jegliche Kommunikation mit Partnern und Kunden im Zusammenhang mit dem Vorfall dokumentieren und melden.<\/p>\n\n\n\n

    Der Abschlussbericht muss unter anderem beschreiben, ob gesetzliche und vertragliche Verpflichtungen wie SLAs vollst\u00e4ndig eingehalten werden konnten. Au\u00dferdem beinhaltet der Abschlussbericht eine detaillierte Analyse der finanziellen Auswirkungen des Vorfalls.<\/p>\n\n\n\n

    RTS \u00fcber die Vergabe von Unterauftr\u00e4gen f\u00fcr kritische oder wichtige Funktionen<\/h2>\n\n\n\n

    Der RTS-Entwurf \u00fcber die Vergabe von Unterauftr\u00e4gen f\u00fcr IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterst\u00fctzen, beschreibt, wie Finanzunternehmen, die mit der Vergabe von Unterauftr\u00e4gen verbundenen Risiken in der vorvertraglichen Phase bewerten m\u00fcssen; dazu geh\u00f6rt auch der Due-Diligence-Prozess. Der RTS-Entwurf enth\u00e4lt Anforderungen an die vertragliche Vereinbarung der Bedingungen f\u00fcr die Weiterverlagerung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterst\u00fctzen, um sicherzustellen, dass die Finanzunternehmen alle IKT-Unterauftragnehmer \u00fcberwachen k\u00f6nnen.<\/p>\n\n\n\n

    Komplexit\u00e4t und Risikobetrachtungen<\/h3>\n\n\n\n

    Die Elemente eines erh\u00f6hten oder verringerten Risikos sind von den Finanzunternehmen in Bezug auf IKT-Drittdienstleister und deren Unterauftragnehmer zu ber\u00fccksichtigen. Am wichtigsten sind die Prozesse der Due-Diligence-Pr\u00fcfung von IKT-Drittdienstleistern und ihren Unterauftragnehmern, der Ort, an dem die Daten verarbeitet und gespeichert werden, die potenziellen Auswirkungen von St\u00f6rungen und das Konzentrationsrisiko.<\/p>\n\n\n\n

    Risikobewertungen zur Nutzung von Unterauftragsnehmer<\/h3>\n\n\n\n

    Die Finanzinstitute m\u00fcssen ihre Absicht und Risikotoleranz bewerten, wenn sie IKT-Drittdienstleistern den Einsatz von Unterauftragnehmern zur Unterst\u00fctzung kritischer oder wichtiger Funktionen gestatten. Dabei sind mehrere Themen zu ber\u00fccksichtigen, die relevantesten sind: IKT-Drittdienstleister m\u00fcssen das Finanzinstitut in den Entscheidungsprozess f\u00fcr den Einsatz von Unterauftragnehmern einbeziehen, die Auswirkungen eines Versagens bewerten und Hindernisse bei der Erf\u00fcllung von Verpflichtungen aus vertraglichen Vereinbarungen ber\u00fccksichtigen.<\/p>\n\n\n\n

    Beschreibung und Bedingungen zur Weiterverlagerung von kritischen oder wichtigen IKT-Services<\/h3>\n\n\n\n

    Finanzunternehmen m\u00fcssen festlegen, welche IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterst\u00fctzen, f\u00fcr die Vergabe von Unterauftr\u00e4gen in Frage kommen und unter welchen Bedingungen. F\u00fcr diejenigen, die in Frage kommen, m\u00fcssen schriftliche vertragliche Vereinbarungen unter anderem \u00dcberwachungs- und Berichterstattungspflichten, notwendige Risikobewertungen und Anforderungen an die Einhaltung von IKT-Sicherheitsstandards und den Einsatz von Sicherheitswerkzeugen enthalten.<\/p>\n\n\n\n

    \u00dcberwachung der IKT-Unterauftragnehmer-Kette durch das Finanzinstitut<\/h3>\n\n\n\n

    Die Finanzinstitution muss die IKT-Unterauftragnehmer-Kette vollst\u00e4ndig \u00fcberwachen und dokumentieren. Dar\u00fcber hinaus muss sie die Bedingungen f\u00fcr die Vergabe von Unterauftr\u00e4gen angemessen \u00fcberwachen und anhand von Leistungsindikatoren sicherstellen, dass die vertraglichen Vereinbarungen eingehalten werden.<\/p>\n\n\n\n

    Wesentliche \u00c4nderungen von Auslagerungsvereinbarungen<\/h3>\n\n\n\n

    Wie eingangs erw\u00e4hnt, m\u00fcssen die Finanzunternehmen in den Entscheidungsprozess f\u00fcr die Vergabe von Unterauftr\u00e4gen einbezogen werden. IKT-Drittdienstleister d\u00fcrfen wesentliche \u00c4nderungen erst dann vornehmen, wenn das betroffene Finanzinstitut zugestimmt hat oder bis zum Ablauf einer Toleranzperiode kein Einspruch erhoben wird.<\/p>\n\n\n\n

    Draft Regulatory Technical Standards specifying elements related to threat led penetration tests<\/h2>\n\n\n\n

    In der komplexen Welt der Finanzvorschriften ist es sowohl f\u00fcr die Aufsichtsbeh\u00f6rden als auch f\u00fcr die Finanzinstitute von entscheidender Bedeutung sicher zu sein. Der Digital Operational Resilience Act (DORA) verlangt von bestimmten Finanzinstituten, dass sie sich alle drei Jahre einem erweiterten Test unter Verwendung von Threat-Led Penetration Testing (TLPT) unterziehen. In den jetzt ver\u00f6ffentlichten RTS f\u00fcr TLPT wird definiert, wie TLPT “in \u00dcbereinstimmung mit dem TIBER-EU-Rahmen” durchgef\u00fchrt werden m\u00fcssen.<\/p>\n\n\n\n

    Kernelemente der TLPT<\/h3>\n\n\n\n
      \n
    • Kriterien zur Identifizierung: In den technischen Regulierungsstandards sind Kriterien f\u00fcr die Identifizierung von Finanzinstitute festgelegt, die TLPT unterliegen.<\/li>\n\n\n\n
    • Tester: Die RTS beschreiben Anforderungen und Standards f\u00fcr den Einsatz von internen Testern. Dazu geh\u00f6rt auch die Definition der Qualifikationen, Rollen und Verantwortlichkeiten der internen Tester, die am TLPT-Prozess beteiligt sind. DORA verlangt, dass mindestens alle 3 Jahre externe Tests durchgef\u00fchrt werden.<\/li>\n\n\n\n
    • Umfang und Methodik: Die RTS bieten klare Leitlinien zum Umfang, zur Testmethodik und zum Ablauf f\u00fcr jede Phase der TLPT. Dies gew\u00e4hrleistet eine umfassende Evaluation, die alle f\u00fcr die digitale operationale Resilienz relevanten Aspekte abdeckt.<\/li>\n\n\n\n
    • Ergebnisse, Abschluss und Behebung: Der RTS befasst sich mit der Behandlung von Ergebnissen, Abschluss- und Behebungsphasen. Von Finanzinstitut wird erwartet, dass sie auf der Grundlage der Testergebnisse umgehend Ma\u00dfnahmen ergreifen und einen proaktiven Ansatz zur Behebung von Schwachstellen f\u00f6rdern.<\/li>\n\n\n\n
    • Kooperation mit der Aufsicht: Die Richtlinie unterstreicht die Bedeutung der Zusammenarbeit mit der Aufsicht und anderen Kooperationen, die f\u00fcr die Umsetzung des TLPT erforderlich sind. Dieser kollaborative Ansatz zielt darauf ab, die gegenseitige Anerkennung zu erleichtern und die Abl\u00e4ufe \u00fcber Zust\u00e4ndigkeitsbereiche hinweg zu harmonisieren.<\/li>\n<\/ul>\n\n\n\n

      Kriterien zur Identifizierung<\/h3>\n\n\n\n

      In Bezug auf die Identifizierungskriterien zeigt die folgende \u00dcbersicht im Einzelnen, wie die Beh\u00f6rden Finanzunternehmen identifizieren, die TLPT durchf\u00fchren m\u00fcssen:<\/p>\n\n\n\n

        \n
      • Kreditinstitute, die nach europ\u00e4ischen Vorschriften als global bedeutend gelten, oder andere bedeutende Institute.<\/li>\n\n\n\n
      • Zahlungsinstitute und E-Geld-Institute mit einem Gesamtwert der Zahlungstransaktionen von mehr als 120 Mrd. EUR in jedem der zwei vergangenen Gesch\u00e4ftsjahre.<\/li>\n\n\n\n
      • E-Geld-Institute mit einem E-Geld-Umlauf von mehr als 40 Mrd. EUR in jedem der zwei vergangenen Gesch\u00e4ftsjahre.<\/li>\n\n\n\n
      • Zentralverwahrer.<\/li>\n\n\n\n
      • Zentrale Gegenparteien.<\/li>\n\n\n\n
      • Handelspl\u00e4tze mit elektronischen Handelssystemen, die bestimmte Kriterien erf\u00fcllen, einschlie\u00dflich des h\u00f6chsten Marktanteils bei bestimmten Finanzinstrumenten auf nationaler oder EU-Ebene.<\/li>\n\n\n\n
      • Versicherungs- und R\u00fcckversicherungsunternehmen, die bestimmte Kriterien erf\u00fcllen, einschlie\u00dflich solcher mit Bruttopr\u00e4mien von jeweils mehr als 500 Mio. EUR in den letzten beiden Gesch\u00e4ftsjahren, und solche, die innerhalb des 90. Perzentils der Bruttopr\u00e4mien-Verteilung f\u00fcr bestimmte Bereiche liegen. Au\u00dferdem Unternehmen mit einer Bilanzsumme, die mindestens 10 % der gesamten Bilanzsummen f\u00fcr die angegebene Wirtschaftszweigart in dem Mitgliedstaat betr\u00e4gt.<\/li>\n<\/ul>\n\n\n\n

        Die f\u00fcr das TLPT zust\u00e4ndigen Beh\u00f6rden k\u00f6nnen weitere Finanzinstitute je nach Einfluss, Auswirkungen auf die Finanzstabilit\u00e4t oder IKT-Risikoprofil benennen, die gem\u00e4\u00df den Spezifikationen des RTS-Dokuments zur Durchf\u00fchrung von TLPTs verpflichtet werden.<\/p>\n\n\n\n

        Ausnahmen von TLPT<\/h3>\n\n\n\n

        Die unter den obigen Punkten genannten Finanzunternehmen sind von der Durchf\u00fchrung bedrohungsorientierter Penetrationstests (TLPT) befreit, wenn eine auf Kriterien basierende Bewertung ergibt, dass ihr Einfluss, ihre Auswirkungen auf die Finanzstabilit\u00e4t oder ihr IKT-Risikoprofil den Test nicht rechtfertigen. In F\u00e4llen, in denen mehrere Unternehmen innerhalb einer Gruppe gemeinsame IKT-Systeme nutzen oder denselben gruppeninternen Dienstleister in Anspruch nehmen und die genannten Kriterien erf\u00fcllen, k\u00f6nnen die f\u00fcr TLPT zust\u00e4ndigen Beh\u00f6rden in den betreffenden Mitgliedstaaten in Absprache mit der Beh\u00f6rde des Staates, in dem die Muttergesellschaft der Gruppe ihren Sitz hat, gemeinsam entscheiden, ob f\u00fcr diese Unternehmen individuelle TLPT-Anforderungen erforderlich sind.<\/p>\n\n\n\n

        \n\n\n\n

        Wir hoffen, dass unser Blogbeitrag Ihnen wertvolle Einblicke in die zweite Serie von RTS & ITS im Rahmen der DORA-Verordnung gegeben hat. Wenn Sie oder Ihre Organisation auf diesem Gebiet Expertise ben\u00f6tigen, steht Ihnen Certitude mit seinem umfangreichen Know-how zu DORA und den damit verbundenen RTS & ITS zur Verf\u00fcgung. Sprechen Sie uns an, wir unterst\u00fctzen Sie gerne.<\/p>\n\n\n\n

        \n\n\n\n

        Authors: Thomas Fischer and Jonathan Denzel<\/p>\n","protected":false},"excerpt":{"rendered":"

        Am 8. Dezember 2023 wurde die zweite Tranche von RTS (Regulatory Technical Standards) & ITS (Implementation Technical Standards) ver\u00f6ffentlicht. Diese Dokumente konkretisieren die Anforderungen, die in der Verordnung zur digitalen operationalen Resilienz im Finanzsektor (DORA) festgelegt sind. Derzeit befinden sich die ver\u00f6ffentlichten Dokumente in einer \u00f6ffentlichen Konsultationsphase, die am 4. M\u00e4rz 2024 endet und bis […]<\/p>\n","protected":false},"author":21,"featured_media":2435,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[228,34],"tags":[414,466,462,464],"class_list":["post-2448","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-expert","tag-dora","tag-major-ict-incident","tag-rtsits","tag-tlpt"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/21"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=2448"}],"version-history":[{"count":3,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2448\/revisions"}],"predecessor-version":[{"id":2515,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2448\/revisions\/2515"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/2435"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=2448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=2448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=2448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}