IT-Security Regulatory Update | Januar 2024

Fokus: Final Reports zu DORA, BaFin-Aufsichtsmitteilung Cloud Outsourcings und Risiken im BaFin-Fokus

← VEREINIGTE HAGEL X ADWEKO IAM-Management | 30.01.24 NORD/LB X ADWEKO Ausplatzierungsanbahnungsservice | 13.02.2024 →

Highlight aus dem Januar 2024

Finale Entwürfe der ersten Welle RTS & ITS zu DORA veröffentlicht

Die ESAs haben ihre finalen Entwürfe der ersten Level 2-Rechtsakte unter DORA an die Europäische Kommission weitergeleitet. Dabei sind noch einige Impulse aus den Rückmeldungen zur Konsultation eingeflossen, u.a. zum Proportionalitätsprinzip.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

DORA: Finale Entwürfe der ersten Welle RTS & ITS an die Kommission übermittelt

Auf der Webseite der EIOPA haben die ESAs nun die finalen Entwürfe der ersten Welle von Level 2-Rechtsakten unter DORA veröffentlicht. Diese wurden an die Europäische Kommission übermittelt, die nun die Veröffentlichung der finalen Version der Rechtsakte übernimmt.

Thematisch befassen sich die vier Rechtsakte mit dem IKT-Risikomanagement, der Klassifikation von IKT Incidents, IKT-Drittdienstleistern, die bei kritischen und wichtigen Funktionen unterstützen sowie dem Informationsregister. Einer der wesentlichen Kritikpunkte aus der Konsultation wurde in allen Rechtsakten adressiert: das Proportionalitätsprinzip. Dementsprechend wurde in den einzelnen Rechtsakten einige Änderungen vorgenommen. Diese werden jeweils am Ende des Rechtsakts adressiert und aufgezeigt.

Am Informationsregister haben die ESAs einige Vereinfachungen vorgenommen, u.a. haben sie die Vorlagen für das Register auf Unternehmensebene und das (teil-)konsolidierte Register harmonisiert, sodass nur noch ein Register befüllt werden muss.

In den RTS zum Risikomanagement wurde eine Textpassage ergänzt, die konkret das Proportionalitätsprinzip adressiert. Dort wird herausgestellt, dass anhand des risikobasierten Ansatzes nicht nur Verschärfungen der Anforderungen, sondern auch Erleichterungen möglich sein sollen.

Weitere Details rund um DORA finden Sie auch auf unseren Webseiten. Wir freuen uns über Ihren Besuch!

Die finalen Entwürfe finden Sie hier auf der Webseite der EIOPA.

Quelle: European Insurance and Occupational Pensions Authority – EIOPA, eiopa.europa.eu

BaFin ersetzt Merkblatt zu Cloud-Outsourcings mit Aufsichtsmitteilung

In ihrer Mitteilung aktualisiert die BaFin ihre Anforderungen im Kontext Governance, Einführung von Cloud-Ausgliederungen und vertraglichen Mindeststandards. Sie greifen weiterhin Cloud-Entwicklung, Cloud-Betrieb sowie Cybersicherheitsaspekte und die Überwachung des Dienstleisters auf.

Die Aufsichtsmitteilung ist ergänzend zu den bestehenden Vorgaben in den verschiedenen Branchen zu verstehen. Nach dem Verständnis der BaFin ist die Mitteilung analog zum 2018 veröffentlichten Merkblatt nur eine Erläuterung der bestehenden Regulierung.

Die aufsichtlichen Regelungen der DORA werden in Form eines Ausblicks aufgegriffen. Dort werden relevante Inhalte adressiert, die Finanzunternehmen bei ihrer DORA-Umsetzung berücksichtigen sollten.

Die Aufsichtsmitteilung finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

BaFin stellt Fokusrisiken für 2024 vor

In einem Pressegespräch stellte Marc Branson die Risiken vor, die die BaFin 2024 im Fokus sieht. Dabei bewertet sie die Risiken nach der potenziellen Gefährdung für die Finanzstabilität und die Integrität der Finanzmärkte in Deutschland.

Prognostiziert wird u. a. eine Steigerung der Risiken aus Cyberattacken sowie der Konzentrationsrisiken bei IT-Dienstleistungsbezügen. In künftigen Prüfungen und gerade auch in der DORA-Umsetzung sollten Finanzinstitute diese Themen also nicht aus dem Blick verlieren. In diesem Kontext plant die BaFin die Erstellung eines Cyber-Lagebildes des Finanzsektors, nationale Übungen zu Krisen und Notfällen, bessere Nutzung der Auslagerungsdatenbank im Kontext der Konzentrationsrisiken sowie eine zunehmende Dichte der Prüfungen bei Dienstleistern.

Die Fokusrisiken finden Sie hier auf der Webseite der BaFin.

Die Zeit zur Umsetzung von DORA läuft. In diversen Veranstaltungen fordern die Aufsichtsbehörden Finanzunternehmen auf, nicht länger mit der Umsetzung zu warten. Gerade mit der Veröffentlichung der zweiten Welle an RTS & ITS sollten Institute nun tätig werden.

Sie wünschen sich eine erste Indikation zur Umsetzung in Ihrem Haus?
Nutzen Sie gerne unser limitiertes Sonderangebot zum kostenfreien DORA Quick Check!

Wir von ADWEKO stehen Ihnen bei der Implementierung des DORA gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

EBF gibt gemeinsam mit Deloitte Feedback zum DORA RTS zur Klassifikation kritischer IKT-Vorfälle

ESAs berichten über Services von BigTech in der Finanzbranche

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.