DIGITALE OPERATIVE RESILIENZ | Aktueller Stand rund um die delegierten Rechtsakte
Die delegierten Rechtsakte unter der DORA-Verordnung befassen sich mit diversen Aspekten des DORA und geben Finanzunternehmen mehr Informationen zur Umsetzung und dem Anspruch des Gesetzgebers an die Hand.
Wir haben uns die Rechtsakte genauer angesehen und einige Informationen für Sie zusammen gestellt, orientiert am Zeitpunkt ihrer geplanten Veröffentlichung.
Kritische IKT-Dienstleister: Überwachungsgebühren und Klassifizierungskriterien
Update vom 16. November 2023: Beide Rechtsakte liegen als Initiativen der Europäischen Kommission vor. Feedback wird bis 14.12.2023 entgegengenommen.
Mit einem Diskussionspapier sind die ESAs bereits Ende Mai 2023 auf die Marktteilnehmer zugekommen, um deren Input in einem bis 30. September 2023 zu übermittelnden Rat an die EU-Kommission zu berücksichtigen. Ende September übermittelten die ESAs ihre Stellungnahme an die Kommission.
Die beiden Rechtsakte adressieren kritische IKT-Drittdienstleister, konkret die Kriterien für ihre Identifikation sowie die durch sie zu entrichtenden Aufsichtsgebühren. Die Veröffentlichungen der finalen delegierten Verordnungen der Kommission sind bis 17. Juli 2024 geplant.
1. Kriterien zur Identifikation kritischer IKT-Drittdienstleister
In Artikel 31 DORA werden erste Kriterien genannt, die einen kritischen IKT-Drittdienstleister auszeichnen. Diese werden nun durch die ESAs um quantitative und qualitative Faktoren ergänzt, die eine klare Einordnung in die Kategorie einfacher gestalten sollen. Ebenso werden Schwellen definiert, die mindestens überschritten sein müssen, um als kritischer IKT-Drittdienstleister zu gelten.
Dazu schlagen die ESAs folgendes Vorgehen vor:
- Bewertung der Dienstleister gegen einen Mindeststandard;
- Bewertung verbleibender Dienstleister gegen weitere Kritikalitäts-Indikatoren zur Identifikation der kritischen IKT-Drittdienstleister innerhalb der EU.
Zu diesem ersten Abschnitt des Papers werfen die Autoren einige Fragen auf, auf die in den Stellungnahmen gerne eingegangen werden soll. Dazu gehört neben anderen Themen auch, welche Hindernisse und Herausforderungen Marktteilnehmer bei der Identifikation sehen.
Schließlich stellen die ESAs die verschiedenen Faktoren unter den in DORA genannten vor, die sie für die Einordnung als relevant erachten. Sie geben dem Leser dazu Kontext mit an die Hand und stellen – sofern einschlägig – die Mindestgrenze vor, die überschritten sein muss.
2. Berechnung und Entrichtung der Aufsichtsgebühren
In Artikel 43 definiert DORA, dass beaufsichtigte kritische IKT-Drittdienstleister eine Aufsichtsgebühr zu entrichten haben, die die Kosten der Beaufsichtigung decken soll. Hierzu sollen die ESAs Details zur Berechnung und der Bezahlweise definieren. Mangels Informationen zur Zahl der kritischen IKT-Drittdienstleister sowie diesen Dienstleistern im Allgemeinen und deren Dienstleistungen hat sich dies als Herausforderung gestaltet. Zunächst betrachten die ESAs daher den Umfang der Gebühren mit Fokus auf die geschätzten Aufsichtsausgaben und deren Anpassung. Anschließend geht das Papier auf die Berechnungsmethodiken ein, um die tatsächliche Gebühr zu kalkulieren, bevor sie sich der Bezahlung der Gebühr durch die Dienstleister widmet. Abschließend adressieren die ESAs den Umgang mit der Opt-in Klausel nach Artikel 31 Absatz 11 DORA.
Auch im zweiten Abschnitt werfen die Autoren Fragen auf und bitten die Marktteilnehmer, auf dieser einzugehen.
Das Diskussionspapier der ESAs finden Sie hier auf der Webseite der EBA.
Erste Welle delegierter Rechtsakte
Update vom 17. Januar 2024: Die finalen Entwürfe wurden von den ESAs am 17. Januar termingerecht an die Kommission übermittelt. Die Veröffentlichung der Rechtsakte im europäischen Amtsblatt steht aus.
Die ESAs haben die erste Welle der RTS und ITS unter DORA veröffentlicht und diese bis zum 11. September 2023 konsultiert. Als finales Veröffentlichungsdatum dieser Rechtsakte ist der 17. Januar 2024 geplant.
Die Inhalte der Entwürfe wurden von den Marktteilnehmern teils deutlich kritisiert. Unter anderem wird die Proportionalität der Vorgaben hinterfragt.
Einige Stellungnahmen finden Sie hier: BVI, DK, Insurance Europe.
1. RTS zu Leitlinien für Vertragsbeziehungen mit IKT-Drittdienstleistern für kritische und wichtige Funktionen
In diesem Entwurf nähern sich die ESAs dem Thema der Leitlinien für Vertragsbeziehungen mit IKT-Drittdienstleistern für kritische und wichtige Funktionen (CI-Funktionen), Art. 28 Abs. 10 DORA. Der grundlegende Gedanke hinter den Anforderungen ist der aus bestehenden Regularien rund ums Outsourcing bekannte Ansatz, dass die Letztverantwortung für die Funktion beim Institut verbleibt.
Die interne Verantwortung für die Dienstleistungsbeziehung muss daher klar verschiedenen Unternehmensfunktionen zugewiesen werden. Die Leitlinien ermöglichen eine umfassende Steuerung des operativen Risikos im Kontext der Beziehung zu IKT-Drittdienstleistern für CI-Funktionen. Entsprechend greifen sie den gesamten Lebenszyklus einer solchen Beziehung auf und gehen u.a. auf Governance, Risikomanagement und das interne Kontrollsystem ein. Dabei sollen Finanzunternehmen aber auch sicherstellen, dass ihre Dienstleister ausreichend Ressourcen und Kapazitäten vorhalten, um den vertraglichen und aufsichtlichen Anforderungen gerecht zu werden. Insgesamt unterscheiden die ESAs hierbei nicht grundlegend zwischen gruppeninternen und externen Dienstleistern, sondern adressieren alle IKT-Drittdienstleister für CI-Funktionen.
Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.
2. ITS für das Informationsregister zu IKT-Dienstleistungen
Der Entwurf der ITS umfasst Vorlagen für ein Informationsregister der Vertragsverhältnisse zur Erbringung von IKT-Dienstleistungen durch IKT-Drittdienstleister, Art. 28 Abs. 9 DORA. Das Register soll Finanzunternehmen dabei unterstützen, Risiken aus Dienstleistungsbeziehungen angemessen zu steuern und den Aufsichtsbehörden die Überwachung der Abhängigkeiten zwischen Instituten und Dienstleistern erleichtern. Die Vorlagen schaffen ferner eine Grundlage für gemeinsame vertragliche Mindestinhalte, die im Risikomanagementprozess gemeinsam mit den notwendigen Informationen aus dem Register des Instituts ausreichend zu berücksichtigen sind.
Die Informationsanforderungen berücksichtigen den Grad der Abhängigkeit vom Dienstleister und sind daher inhärent proportional. Je nach dem, wie abhängig ein Institut von seinem Dienstleister ist, sind zusätzliche Informationen bspw. zur Risikobewertung, zur Lieferkette oder zu Subauslagerungen nötig. Bei der Erstellung wurden außerdem die Aufsichtspraxis verschiedener Behörden, Erfahrungswerte aus bereits erfolgten Datenaggregationen sowie der Datenaustausch zwischen Finanzunternehmen, den Aufsichtsbehörden und dem Aufsichtsforum bedacht.
Die Konsultation der ITS finden Sie hier auf der Webseite der ESMA.
3. RTS zur Einstufung kritischer IKT-Vorfälle und Bedrohungen
Mit diesen RTS betrachten die ESAs die Klassifizierung erheblicher IKT-Vorfälle und Bedrohungen, Art. 18 Abs. 3 DORA. Zunächst gehen die ESAs dazu auf die verschiedenen Kriterien ein, die zur Klassifizierung der IKT-Vorfälle herangezogen werden, wie z.B. Datenverlust oder betroffene kritische Funktionen des Instituts. Zugleich betrachten sie die Anforderungen an die Erheblichkeitsschwelle. Sie schlagen vor, die Kriterien dabei unterschiedlich zu gewichten, um dem Proportionalitätsgrundsatz Rechnung zu tragen.
Neben den kritischen IKT-Vorfällen werden auch IKT-Bedrohungen adressiert. Als Kriterien herangezogen werden die Eintrittswahrscheinlichkeit, die potentielle Betroffenheit kritischer und wichtiger Funktionen sowie die Erfüllung der Kriterien eines erheblichen Vorfalls im Falle der Materialisierung der Bedrohung.
Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.
4. RTS zum IKT-Risikomanagement mit Schwerpunkt Tools, Methoden, Prozesse und Leitlinien
Diese RTS greifen die Harmonisierung der IKT-Risikomanagement-Tools, Methoden, Prozesse und Leitlinien gebündelt auf, Art. 15 und 16 Abs. 3 DORA. Die ESAs haben sich aufgrund der Themenverwanschaft dazu entschieden, die Anforderungen an den „normalen“ und den vereinfachten Risikomanagementprozess in einer Vorgabe zu bündeln.
Im Zuge der RTS betrachten die ESAs die verschiedenen Bestandteile der DORA-Anforderungen an das Risikomanagement näher und führen diese weiter aus. Beginnend mit der Governance arbeiten sie sich über das Risikomanagement, das Asset Management, die Verschlüsselung und Kryptographie, die operative Sicherheit, die Netzwerksicherheit, das Projekt- und Change Management, die physische Sicherheit, Schulungen und Awareness Trainings, Human Resources, das Identity und Access Management, den Umgang mit IKT-Vorfällen, das Business Continuity Management sowie das Reporting einmal durch die Vorgaben des DORA. In entsprechend reduzierter Form wird beim vereinfachten Risikomanagementrahmen vorgegangen.
In die Anforderungen sie bereits existierende Rahmenwerke, wie die EBA Leitlinien zum IKT- und Sicherheitsrisikomanagement von 2019 und die NIS2-Richtlinie mit eingeflossen. Sie sind als komplementierende Vorgaben zu DORA selbst zu sehen, wobei die hohe Bedeutung der Vorgaben zu betonen ist.
Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.
Zweite Welle delegierter Rechtsakte
Die ESAs haben die zweite Welle der RTS und ITS unter DORA veröffentlicht. Als finales Veröffentlichungsdatum dieser Rechtsakte ist der 17. Juli 2024 geplant.
Die Inhalte der Entwürfe werden seit dem 8. Dezember bis zum 4. März 2024 mit den Marktteilnehmern konsultiert.
1. RTS zu bedrohungsorientierten Penetrationstests (TLPT)
Die DORA verpflichtet bestimmte Finanzinstitute, mindestens alle drei Jahre fortgeschrittene Tests mit dem TLPT durchzuführen.
In den RTS werden die Kriterien für die Bestimmung der Finanzunternehmen, die TLPT durchführen müssen, die Anforderungen und Standards für den Einsatz interner Prüfer, die Anforderungen in Bezug auf den Umfang, die Testmethodik und den Ansatz für jede Phase der Tests, die Ergebnisse, den Abschluss und die Abhilfemaßnahmen sowie die Art der aufsichtlichen und sonstigen relevanten Zusammenarbeit, die für die Durchführung des TLPT und die Erleichterung der gegenseitigen Anerkennung erforderlich ist, näher erläutert.
2. RTS über die Vergabe von Unteraufträgen für kritische oder wichtige Funktionen
Der Entwurf enthält Spezifikationen zur Durchführung einer Subauslagerung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen. Der RTS konzentriert sich somit auf IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, die von IKT-Unterauftragnehmern erbracht werden.
Der Entwurf folgt dabei dem Lebenszyklus von Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern bei der Vergabe von Unteraufträgen und legt die wichtigsten Anforderungen an Finanzunternehmen für die Nutzung solcher Unteraufträge fest. Diese umfassen Folgendes:
- die Risikobewertung, die vor der Genehmigung der Vergabe von Unteraufträgen für mit kritischen oder wichtigen Funktionen verbundene IKT-Dienstleistungen durchgeführt werden muss,
- Anforderungen an die vertraglichen Vereinbarungen,
- die Überwachung der Unterauftragsvereinbarungen,
- die Unterrichtung über wesentliche Änderungen sowie
- Ausstiegs- und Kündigungsrechte.
3. RTS und ITS zu Inhalt, Fristen und Vorlagen für die Meldung von Vorfällen
Der RTS-Entwurf behandelt drei Aspekte:
- Inhalt der Meldung für Berichte über schwerwiegende Vorfälle;
- Fristen für die Einreichung einer Erstmeldung sowie von Zwischen- und Abschlussberichten;
- Inhalt der Meldung erheblicher Cyber-Bedrohungen.
Dabei berücksichtigt sie den in der NIS2-Richtlinie verfolgten Ansatz zur Meldung von Vorfällen.
Was die Meldefristen betrifft, so schlägt der Entwurf harmonisierte Fristen für alle Finanzunternehmen vor:
- Erstmeldung: innerhalb von 4 Stunden nach der Einstufung als schwerwiegender Vorfall, spätestens jedoch 24 Stunden nach seiner Entdeckung
- Zwischenbericht: innerhalb von 72 Stunden nach der Einstufung oder wenn die regulären Tätigkeiten wieder aufgenommen wurden und der Geschäftsbetrieb wieder normal läuft
- Abschlussbericht: Spätestens 1 Monat nach der Einstufung.
Vorlagen und Formate für diese Berichte sind in den integrierten ITS zu finden, in denen auch die allgemeinen Meldeanforderungen enthalten sind.
In Bezug auf den Inhalt der Berichte über schwerwiegende Vorfälle zielt der Entwurf darauf ab, ein Gleichgewicht zu finden, das es den zuständigen Behörden ermöglicht, die wesentlichen Informationen zu erhalten, ohne die Finanzunternehmen mit einer hohen Berichtslast zu überlasten. In Bezug auf erhebliche Cyber-Bedrohungen sieht der Entwurf einen kurzen, einfachen und prägnanten Inhalt der Meldungen vor.
4. Leitlinien zu den aggregierten Kosten und Verlusten bei bedeutenden Vorfällen
Der Entwurf der Leitlinien legt die Schätzung der aggregierten jährlichen Kosten und Verluste fest, die durch größere IKT-bezogene Vorfälle verursacht werden. Die Berechnung der jährlichen Kosten und Verluste im Rahmen der Leitlinien ist auf die Bewertung der Kosten und Verluste jedes einzelnen Vorfalls im Rahmen der RTS zur Meldung von Vorfällen abgestimmt.
Insbesondere sehen die Leitlinien eine Berichterstattung über die Bruttokosten und -verluste, die finanziellen Rückflüsse und die Nettokosten und -verluste nach größeren IKT-bezogenen Vorfällen vor. In den Leitlinien wird auch vorgeschlagen, den Bezugszeitraum für die Aggregation auf ein Geschäftsjahr zu konzentrieren, um sich auf verfügbare Zahlen aus den validierten Jahresabschlüssen stützen zu können.
5. RTS zur Harmonisierung der Überwachung
Der Entwurf strebt ist die Harmonisierung der Anforderungen in allen Vorschriften und die Einführung effizienter Aufsichtsbedingungen für kritische Drittdienstleister, Finanzunternehmen und Aufsichtsbehörden in der gesamten EU an. So soll eine Fragmentierung der Rechtsvorschriften vermieden und gleichzeitig die Stabilität des Finanzsektors gewährleistet werden.
6. Leitlinien für die Zusammenarbeit zwischen den ESAs und den zuständigen Behörden bei der Aufsicht
Der Leitlinienentwurf bezieht sich nur auf die Zusammenarbeit und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden. Die Zusammenarbeit mit Finanzunternehmen, kritischen IKT-Drittanbietern, zuständigen Behörden untereinander, zwischen den ESAs und mit anderen EU-Institutionen fällt daher nicht in den Anwendungsbereich der Leitlinien.
Er deckt die folgenden vier Bereiche ab:
- Allgemeine Überlegungen
- Benennung von kritischen IKT-Drittanbietern
- Überwachungsaktivitäten
- Folgemaßnahmen zu den Empfehlungen
Weiterführende Informationen:
Weiterführende Informationen rund um DORA finden Sie hier:
- Übersicht der BaFin rund um DORA
- Übersicht der ESAs rund um delegierte Rechtsakte
- Unsere ADWEKO-Übersicht zur digitalen operationalen Resilienz
- Unser X1F-Webinar als Einstieg in DORA
- Unsere kostenfreie Checkliste zur Ersteinschätzung der Handlungsbedarfe
- Unser kostenfreier DORA-Quick Check
- Artikel der BaFin zur Vorbereitung des Geltungsbeginns der DORA
- BaFin aktualisiert Aufsichtsmitteilung zur Auslagerung an Cloud-Anbieter
Wir von ADWEKO stehen Ihnen gerne mit unserer Expertise zur Verfügung!