IT-Security Regulatory Update | Dezember 2023

Fokus: RTS & ITS zu DORA, Nutzung von Cloud-Dienstleistungen sowie Drittparteienrisikomanagement

← Soziale Taxonomie - vierter Artikel der ESG Themenserie | 14.12.23 VEREINIGTE HAGEL X ADWEKO IAM-Management | 30.01.24 →

Highlight aus dem Dezember 2023

Zweite Welle an RTS & ITS zu DORA veröffentlicht

Die ESAs haben Mitte Dezember die zweite Welle an technischen Regulierungs- und Implementierungsstandards (sog. RTS und ITS) veröffentlicht. Damit liegen nun alle detaillierenden Rechtsakte unter DORA im Entwurf vor und können bei der Umsetzung herangezogen werden.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

DORA: IKT Incidents, Pentrationstests und Subdienstleistungen

Die ESAs haben die zweite Welle der RTS und ITS unter DORA veröffentlicht. Als finales Veröffentlichungsdatum dieser Rechtsakte ist der 17. Juli 2024 geplant, für die erste Welle soll die Übermittlung an die Kommission am 17. Januar 2024 erfolgen.
Die Inhalte der Entwürfe werden seit dem 8. Dezember bis zum 4. März 2024 mit den Marktteilnehmenden konsultiert.
Wie schon bei der ersten Welle haben die ESAs zusätzlich zu den Rechtsakten auch ein Übersichtsdokument veröffentlicht.

Thematisch befassen sich die RTS und ITS mit den folgenden Schwerpunkten:

RTS und ITS zu Inhalt, Fristen und Vorlagen für die Meldung von bedeutenden IKT-bezogenen Vorfällen
Leitlinien zu den aggregierten Kosten und Verlusten bei bedeutenden IKT-bezogenen Vorfällen
RTS mit Spezifika zu bedrohungsorientierten Penetrationstests (TLPT)
RTS über die Vergabe von Unteraufträgen für kritische oder wichtige Funktionen
RTS zur Harmonisierung der Überwachung
Leitlinien für die Zusammenarbeit zwischen den ESAs und den zuständigen Behörden

Weitere Details finden Sie auf unseren Webseiten rund um DORA. Wir freuen uns über Ihren Besuch!

Mit der Veröffentlichung dieser zweiten Welle verfügen Finanzunternehmen nun über alle tiefergehenden Informationen im Entwurfsstadium, die vor dem Geltungsbeginn des DORA im Januar 2025 zu erwarten sind.

Den Überblick der ESAs finden Sie hier auf der Webseite der ESMA.
Die RTS und ITS sowie Leitlinien finden Sie hier auf der Webseite der ESMA.

Quelle: European Security and Markets Authority – ESMA, esma.europa.eu

Cloud-Nutzung im Einklang mit den BAIT

Das Sonderfachgremium IT der BaFin befasste sich in seinen Sitzungen im November 2023 mit eine rechtskonformen Gestaltung der Nutzung von Cloud-Dienstleistungen mit Fokus auf das IT-Notfallmanagement und den Exit-Prozess. In beiden Fällen weisen die Teilnehmenden des Gremiums darauf hin, dass die getroffenen Aussagen den aktuellen Stand wiederspiegeln und im Laufe der Zeit Änderungen unterliegen können.

1. IT-Notfallmanagement

Besonders herausfordernd für Institute sind die fehlenden Detailinformationen zu den konkret eingesetzten IT-Komponenten sowie oftmals nur standardisierte Notfallmaßnahmen durch den Dienstleister. Hinzu kommt außerdem, dass durch die Virtualisierung veränderte Umstände bestehen, die auch ein Umdenken der regulatorisch notwendigen Maßnahmen erforderlich machen.

Generell hält das Gremium an der Verantwortlichkeit des auslagernden Instituts für das Notfallmanagement fest. Dabei gilt die Abstraktionsgrenze der CMDB auch als Grenze der Zuständigkeit des Instituts vs des Dienstleisters. Im Notfallkonzept muss das Finanzunternehmen daher architekturelle, geografische und serviceseitige Konfigurationen der Cloud-Dienste und Cloud-Anwendungen adressieren. Notfalltests unterhalb der Abstraktionsgrenze müssen nicht von denen des Instituts zeitlich oder logisch abhängig sein. Ein Austausch über Ergebnisse – v.a. wenn diese auf Lücken jenseits der Abstraktionsgrenze hindeuten – informiert Anbieter und Finanzunternehmen gleichermaßen. Die Nachweise des Cloud-Anbieters müssen dabei aber nicht kundenspezifisch sein.

2. Exit-Strategien

Grundsätzlich sind die Erstellung von Ausstiegsstrategien, – plänen und -tests komplex. Finanzunternehmen können sich dabei an den allgemeinen und spezifischen Charakteristika eines Ausstiegs orientieren. Zu den spezifischen Eigenschaften gehörden bspw. eine hohe Standardisierung, mangelnde Interoperabilität und Konzentrationsrisiken.

Ganz generell sollte beim Ausstieg berücksichtigt werden, ob er erhebliche Beeinträchtigungen des Betriebs herbeiführen kann. Je nach dem müssen Exitpläne definiert und operationalisiert werden. Dabei sind spezifische Risiken aus der Risikoanalyse, der Zeithorizont und Dienstleisterspezifika zu bedenken. Bei der regelmäßigen Prüfung soll insb. die Operationalisierbarkeit hinterfragt und ggf. Anpassungen vorgenommen werden.

Das Protokoll des Sonderfachgremiums IT der BaFin zum IT-Notfallmanagement finden Sie hier, das zu den Exit-Strategien hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

FSB veröffentlicht Final Report zum Drittparteienrisikomanagement

Als Reaktion auf die Besorgnis über die Risiken im Zusammenhang mit der Auslagerung und den Beziehungen zu Dritten hat das FSB ein Instrumentarium für Finanzbehörden und Finanzinstitute zur Verbesserung ihres Risikomanagements und ihrer Aufsicht über Dritte entwickelt. Dieses hat das FSB nun in seinem Final Report vorgestellt.

Bestandteil des Final Reports sind gemeinsame Begriffe und Definitionen, Instrumente zur Identifikation kritischer Dienstleistungen und potentieller Risiken sowie Hinweise an die Aufsicht zum Umgang mit diesen und systemischen Risiken. Dabei werden bestehende Standards und Leitlinien berücksichtigt bzw. ergänzt, aber nicht ersetzt.

Den Final Report des FSB finden Sie hier auf dessen Webseite.

Quelle: Financial Stability Board, c/o Bank for International Settlements, Basel, Switzerland – fsb.org

Die Zeit zur Umsetzung von DORA läuft. In diversen Veranstaltungen fordern die Aufsichtsbehörden Finanzunternehmen auf, nicht länger mit der Umsetzung zu warten. Gerade mit der Veröffentlichung der zweiten Welle an RTS & ITS sollten Institute nun tätig werden.

Sie wünschen sich eine erste Indikation zur Umsetzung in Ihrem Haus?
Nutzen Sie gerne unser limitiertes Sonderangebot zum kostenfreien DORA Quick Check!

Wir von ADWEKO stehen Ihnen bei der Implementierung des DORA gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

FSB veröffentlicht Überblick über Rückmeldungen zur Konsultation rund um das Drittparteien-Risikomanagement

BSI veröffentlicht zweites BSI Magazin 2023

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.