IT-Security Regulatory Update | Dezember 2023
Fokus: RTS & ITS zu DORA, Nutzung von Cloud-Dienstleistungen sowie Drittparteienrisikomanagement
Highlight aus dem Dezember 2023
Zweite Welle an RTS & ITS zu DORA veröffentlicht
Die ESAs haben Mitte Dezember die zweite Welle an technischen Regulierungs- und Implementierungsstandards (sog. RTS und ITS) veröffentlicht. Damit liegen nun alle detaillierenden Rechtsakte unter DORA im Entwurf vor und können bei der Umsetzung herangezogen werden.
DORA: IKT Incidents, Pentrationstests und Subdienstleistungen
Die ESAs haben die zweite Welle der RTS und ITS unter DORA veröffentlicht. Als finales Veröffentlichungsdatum dieser Rechtsakte ist der 17. Juli 2024 geplant, für die erste Welle soll die Übermittlung an die Kommission am 17. Januar 2024 erfolgen.
Die Inhalte der Entwürfe werden seit dem 8. Dezember bis zum 4. März 2024 mit den Marktteilnehmenden konsultiert.
Wie schon bei der ersten Welle haben die ESAs zusätzlich zu den Rechtsakten auch ein Übersichtsdokument veröffentlicht.
Thematisch befassen sich die RTS und ITS mit den folgenden Schwerpunkten:
- RTS und ITS zu Inhalt, Fristen und Vorlagen für die Meldung von bedeutenden IKT-bezogenen Vorfällen
- Leitlinien zu den aggregierten Kosten und Verlusten bei bedeutenden IKT-bezogenen Vorfällen
- RTS mit Spezifika zu bedrohungsorientierten Penetrationstests (TLPT)
- RTS über die Vergabe von Unteraufträgen für kritische oder wichtige Funktionen
- RTS zur Harmonisierung der Überwachung
- Leitlinien für die Zusammenarbeit zwischen den ESAs und den zuständigen Behörden
Weitere Details finden Sie auf unseren Webseiten rund um DORA. Wir freuen uns über Ihren Besuch!
Mit der Veröffentlichung dieser zweiten Welle verfügen Finanzunternehmen nun über alle tiefergehenden Informationen im Entwurfsstadium, die vor dem Geltungsbeginn des DORA im Januar 2025 zu erwarten sind.
Den Überblick der ESAs finden Sie hier auf der Webseite der ESMA.
Die RTS und ITS sowie Leitlinien finden Sie hier auf der Webseite der ESMA.
Quelle: European Security and Markets Authority – ESMA, esma.europa.eu
Cloud-Nutzung im Einklang mit den BAIT
Das Sonderfachgremium IT der BaFin befasste sich in seinen Sitzungen im November 2023 mit eine rechtskonformen Gestaltung der Nutzung von Cloud-Dienstleistungen mit Fokus auf das IT-Notfallmanagement und den Exit-Prozess. In beiden Fällen weisen die Teilnehmenden des Gremiums darauf hin, dass die getroffenen Aussagen den aktuellen Stand wiederspiegeln und im Laufe der Zeit Änderungen unterliegen können.
1. IT-Notfallmanagement
Besonders herausfordernd für Institute sind die fehlenden Detailinformationen zu den konkret eingesetzten IT-Komponenten sowie oftmals nur standardisierte Notfallmaßnahmen durch den Dienstleister. Hinzu kommt außerdem, dass durch die Virtualisierung veränderte Umstände bestehen, die auch ein Umdenken der regulatorisch notwendigen Maßnahmen erforderlich machen.
Generell hält das Gremium an der Verantwortlichkeit des auslagernden Instituts für das Notfallmanagement fest. Dabei gilt die Abstraktionsgrenze der CMDB auch als Grenze der Zuständigkeit des Instituts vs des Dienstleisters. Im Notfallkonzept muss das Finanzunternehmen daher architekturelle, geografische und serviceseitige Konfigurationen der Cloud-Dienste und Cloud-Anwendungen adressieren. Notfalltests unterhalb der Abstraktionsgrenze müssen nicht von denen des Instituts zeitlich oder logisch abhängig sein. Ein Austausch über Ergebnisse – v.a. wenn diese auf Lücken jenseits der Abstraktionsgrenze hindeuten – informiert Anbieter und Finanzunternehmen gleichermaßen. Die Nachweise des Cloud-Anbieters müssen dabei aber nicht kundenspezifisch sein.
2. Exit-Strategien
Grundsätzlich sind die Erstellung von Ausstiegsstrategien, – plänen und -tests komplex. Finanzunternehmen können sich dabei an den allgemeinen und spezifischen Charakteristika eines Ausstiegs orientieren. Zu den spezifischen Eigenschaften gehörden bspw. eine hohe Standardisierung, mangelnde Interoperabilität und Konzentrationsrisiken.
Ganz generell sollte beim Ausstieg berücksichtigt werden, ob er erhebliche Beeinträchtigungen des Betriebs herbeiführen kann. Je nach dem müssen Exitpläne definiert und operationalisiert werden. Dabei sind spezifische Risiken aus der Risikoanalyse, der Zeithorizont und Dienstleisterspezifika zu bedenken. Bei der regelmäßigen Prüfung soll insb. die Operationalisierbarkeit hinterfragt und ggf. Anpassungen vorgenommen werden.
Das Protokoll des Sonderfachgremiums IT der BaFin zum IT-Notfallmanagement finden Sie hier, das zu den Exit-Strategien hier auf der Webseite der BaFin.
Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
FSB veröffentlicht Final Report zum Drittparteienrisikomanagement
Als Reaktion auf die Besorgnis über die Risiken im Zusammenhang mit der Auslagerung und den Beziehungen zu Dritten hat das FSB ein Instrumentarium für Finanzbehörden und Finanzinstitute zur Verbesserung ihres Risikomanagements und ihrer Aufsicht über Dritte entwickelt. Dieses hat das FSB nun in seinem Final Report vorgestellt.
Bestandteil des Final Reports sind gemeinsame Begriffe und Definitionen, Instrumente zur Identifikation kritischer Dienstleistungen und potentieller Risiken sowie Hinweise an die Aufsicht zum Umgang mit diesen und systemischen Risiken. Dabei werden bestehende Standards und Leitlinien berücksichtigt bzw. ergänzt, aber nicht ersetzt.
Den Final Report des FSB finden Sie hier auf dessen Webseite.
Quelle: Financial Stability Board, c/o Bank for International Settlements, Basel, Switzerland – fsb.org
Die Zeit zur Umsetzung von DORA läuft. In diversen Veranstaltungen fordern die Aufsichtsbehörden Finanzunternehmen auf, nicht länger mit der Umsetzung zu warten. Gerade mit der Veröffentlichung der zweiten Welle an RTS & ITS sollten Institute nun tätig werden.
Sie wünschen sich eine erste Indikation zur Umsetzung in Ihrem Haus?
Nutzen Sie gerne unser limitiertes Sonderangebot zum kostenfreien DORA Quick Check!
Wir von ADWEKO stehen Ihnen bei der Implementierung des DORA gerne zur Seite.