DIGITALE OPERATIVE RESILIENZ | Aktueller Stand rund um die delegierten Rechtsakte

Wir haben die Verordnung durchleuchtet, um betroffene Unternehmen und den verbundenen Umsetzungsaufwand zu erheben und den Umsetzungszeitraum zu identifizieren. Über die ausstehenden delegierten Rechtsakte halten wir Sie hier auf dem Laufenden.

ESAs befassen sich mit kritischen IKT-Drittdienstleistern unter DORA

Mit einem Diskussionspapier sind die ESAs Ende Mai 2023 auf die Marktteilnehmer zugekommen, um deren Input in einem bis 30. September 2023 zu übermittelnden Rat an die EU-Kommission zu berücksichtigen. Adressiert werden kritische IKT-Drittdienstleister, konkret die Kriterien für ihre Identifikation sowie die durch sie zu entrichtenden Aufsichtsgebühren. Zu beiden sind Delegierte Verordnungen der Kommission bis 17. Juli 2024 vorzulegen.
Stellungnahmen zu dem Diskussionspapier nehmen die ESAs bis zum 23. Juni 2023 entgegen.

1. Kriterien zur Identifikation kritischer IKT-Drittdienstleister

In Artikel 31 DORA werden erste Kriterien genannt, die einen kritischen IKT-Drittdienstleister auszeichnen. Diese werden nun durch die ESAs um quantitative und qualitative Faktoren ergänzt, die eine klare Einordnung in die Kategorie einfacher gestalten sollen. Ebenso werden Schwellen definiert, die mindestens überschritten sein müssen, um als kritischer IKT-Drittdienstleister zu gelten.
Dazu schlagen die ESAs folgendes Vorgehen vor:

1. Bewertung der Dienstleister gegen einen Mindeststandard;
2. Bewertung verbleibender Dienstleister gegen weitere Kritikalitäts-Indikatoren zur Identifikation der kritischen IKT-Drittdienstleister innerhalb der EU.

Zu diesem ersten Abschnitt des Papers werfen die Autoren einige Fragen auf, auf die in den Stellungnahmen gerne eingegangen werden soll. Dazu gehört neben anderen Themen auch, welche Hindernisse und Herausforderungen Marktteilnehmer bei der Identifikation sehen.
Schließlich stellen die ESAs die verschiedenen Faktoren unter den in DORA genannten vor, die sie für die Einordnung als relevant erachten. Sie geben dem Leser dazu Kontext mit an die Hand und stellen – sofern einschlägig – die Mindestgrenze vor, die überschritten sein muss.

2. Berechnung und Entrichtung der Aufsichtsgebühren

In Artikel 43 definiert DORA, dass beaufsichtigte kritische IKT-Drittdienstleister eine Aufsichtsgebühr zu entrichten haben, die die Kosten der Beaufsichtigung decken soll. Hierzu sollen die ESAs Details zur Berechnung und der Bezahlweise definieren. Mangels Informationen zur Zahl der kritischen IKT-Drittdienstleister sowie diesen Dienstleistern im Allgemeinen und deren Dienstleistungen hat sich dies als Herausforderung gestaltet. Zunächst betrachten die ESAs daher den Umfang der Gebühren mit Fokus auf die geschätzten Aufsichtsausgaben und deren Anpassung. Anschließend geht das Papier auf die Berechnungsmethodiken ein, um die tatsächliche Gebühr zu kalkulieren, bevor sie sich der Bezahlung der Gebühr durch die Dienstleister widmet. Abschließend adressieren die ESAs den Umgang mit der Opt-in Klausel nach Artikel 31 Absatz 11 DORA.
Auch im zweiten Abschnitt werfen die Autoren Fragen auf und bitten die Marktteilnehmer, auf dieser einzugehen.
Das Diskussionspapier der ESAs finden Sie hier auf der Webseite der EBA.

ESAs stellen erste Welle an RTS und ITS unter DORA zur Konsultation

Die ESAs haben die erste Welle der RTS und ITS unter DORA veröffentlicht und stellen diese bis zum 11. September 2023 zur Konsultation. Das finale Veröffentlichungsdatum dieser Rechtsakte wird der 17. Januar 2024 sein. Über unsere Webseite zur digitalen operationalen Resilienz halten wir sie dazu gerne auf dem Laufenden. Einen Überblick über die veröffentlichten und die noch ausstehenden RTS und ITS finden Sie hier auf der Webseite der EBA.

3. RTS zu Leitlinien für Vertragsbeziehungen mit IKT-Drittdienstleistern für kritische und wichtige Funktionen

In diesem Entwurf nähern sich die ESAs dem Thema der Leitlinien für Vertragsbeziehungen mit IKT-Drittdienstleistern für kritische und wichtige Funktionen (CI-Funktionen), Art. 28 Abs. 10 DORA. Der grundlegende Gedanke hinter den Anforderungen ist der aus bestehenden Regularien rund ums Outsourcing bekannte Ansatz, dass die Letztverantwortung für die Funktion beim Institut verbleibt.
Die interne Verantwortung für die Dienstleistungsbeziehung muss daher klar verschiedenen Unternehmensfunktionen zugewiesen werden. Die Leitlinien ermöglichen eine umfassende Steuerung des operativen Risikos im Kontext der Beziehung zu IKT-Drittdienstleistern für CI-Funktionen. Entsprechend greifen sie den gesamten Lebenszyklus einer solchen Beziehung auf und gehen u.a. auf  Governance, Risikomanagement und das interne Kontrollsystem ein. Dabei sollen Finanzunternehmen aber auch sicherstellen, dass ihre Dienstleister ausreichend Ressourcen und Kapazitäten vorhalten, um den vertraglichen und aufsichtlichen Anforderungen gerecht zu werden. Insgesamt unterscheiden die ESAs hierbei nicht grundlegend zwischen gruppeninternen und externen Dienstleistern, sondern adressieren alle IKT-Drittdienstleister für CI-Funktionen.
Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.

4. ITS für das Informationsregister zu IKT-Dienstleistungen

Der Entwurf der ITS umfasst Vorlagen für ein Informationsregister der Vertragsverhältnisse zur Erbringung von IKT-Dienstleistungen durch IKT-Drittdienstleister, Art. 28 Abs. 9 DORA. Das Register soll Finanzunternehmen dabei unterstützen, Risiken aus Dienstleistungsbeziehungen angemessen zu steuern und den Aufsichtsbehörden die Überwachung der Abhängigkeiten zwischen Instituten und Dienstleistern erleichtern. Die Vorlagen schaffen ferner eine Grundlage für gemeinsame vertragliche Mindestinhalte, die im Risikomanagementprozess gemeinsam mit den notwendigen Informationen aus dem Register des Instituts ausreichend zu berücksichtigen sind.
Die Informationsanforderungen berücksichtigen den Grad der Abhängigkeit vom Dienstleister und sind daher inhärent proportional. Je nach dem, wie abhängig ein Institut von seinem Dienstleister ist, sind zusätzliche Informationen bspw. zur Risikobewertung, zur Lieferkette oder zu Subauslagerungen nötig. Bei der Erstellung wurden außerdem die Aufsichtspraxis verschiedener Behörden, Erfahrungswerte aus bereits erfolgten Datenaggregationen sowie der Datenaustausch zwischen Finanzunternehmen, den Aufsichtsbehörden und dem Aufsichtsforum bedacht.
Die Konsultation der ITS finden Sie hier auf der Webseite der ESMA.

5. RTS zur Einstufung kritischer IKT-Vorfälle und Bedrohungen

Mit diesen RTS betrachten die ESAs die Klassifizierung erheblicher IKT-Vorfälle und Bedrohungen, Art. 18 Abs. 3 DORA. Zunächst gehen die ESAs dazu auf die verschiedenen Kriterien ein, die zur Klassifizierung der IKT-Vorfälle herangezogen werden, wie z.B. Datenverlust oder betroffene kritische Funktionen des Instituts. Zugleich betrachten sie die Anforderungen an die Erheblichkeitsschwelle. Sie schlagen vor, die Kriterien dabei unterschiedlich zu gewichten, um dem Proportionalitätsgrundsatz Rechnung zu tragen.
Neben den kritischen IKT-Vorfällen werden auch IKT-Bedrohungen adressiert. Als Kriterien herangezogen werden die Eintrittswahrscheinlichkeit, die potentielle Betroffenheit kritischer und wichtiger Funktionen sowie die Erfüllung der Kriterien eines erheblichen Vorfalls im Falle der Materialisierung der Bedrohung.
Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.

6. RTS zum IKT-Risikomanagement mit Schwerpunkt Tools, Methoden, Prozesse und Leitlinien

Diese RTS greifen die Harmonisierung der IKT-Risikomanagement-Tools, Methoden, Prozesse und Leitlinien gebündelt auf, Art. 15 und 16 Abs. 3 DORA. Die ESAs haben sich aufgrund der Themenverwanschaft dazu entschieden, die Anforderungen an den „normalen“ und den vereinfachten Risikomanagementprozess in einer Vorgabe zu bündeln.
Im Zuge der RTS betrachten die ESAs die verschiedenen Bestandteile der DORA-Anforderungen an das Risikomanagement näher und führen diese weiter aus. Beginnend mit der Governance arbeiten sie sich über das Risikomanagement, das Asset Management, die Verschlüsselung und Kryptographie, die operative Sicherheit, die Netzwerksicherheit, das Projekt- und Change Management, die physische Sicherheit, Schulungen und Awareness Trainings, Human Resources, das Identity und Access Management, den Umgang mit IKT-Vorfällen, das Business Continuity Management sowie das Reporting einmal durch die Vorgaben des DORA. In entsprechend reduzierter Form wird beim vereinfachten Risikomanagementrahmen vorgegangen.
In die Anforderungen sie bereits existierende Rahmenwerke, wie die EBA Leitlinien zum IKT- und Sicherheitsrisikomanagement von 2019 und die NIS2-Richtlinie mit eingeflossen. Sie sind als komplementierende Vorgaben zu DORA selbst zu sehen, wobei die hohe Bedeutung der Vorgaben zu betonen ist.
Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.