IT-Security Regulatory Update | Januar 2024

Fokus: Final Reports zu DORA, BaFin-Aufsichtsmitteilung Cloud Outsourcings und Risiken im BaFin-Fokus

Highlight aus dem Januar 2024

Finale Entwürfe der ersten Welle RTS & ITS zu DORA veröffentlicht

Die ESAs haben ihre finalen Entwürfe der ersten Level 2-Rechtsakte unter DORA an die Europäische Kommission weitergeleitet. Dabei sind noch einige Impulse aus den Rückmeldungen zur Konsultation eingeflossen, u.a. zum Proportionalitätsprinzip.

Pia Streicher

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

DORA: Finale Entwürfe der ersten Welle RTS & ITS an die Kommission übermittelt

Auf der Webseite der EIOPA haben die ESAs nun die finalen Entwürfe der ersten Welle von Level 2-Rechtsakten unter DORA veröffentlicht. Diese wurden an die Europäische Kommission übermittelt, die nun die Veröffentlichung der finalen Version der Rechtsakte übernimmt.

Thematisch befassen sich die vier Rechtsakte mit dem IKT-Risikomanagement, der Klassifikation von IKT Incidents, IKT-Drittdienstleistern, die bei kritischen und wichtigen Funktionen unterstützen sowie dem Informationsregister. Einer der wesentlichen Kritikpunkte aus der Konsultation wurde in allen Rechtsakten adressiert: das Proportionalitätsprinzip. Dementsprechend wurde in den einzelnen Rechtsakten einige Änderungen vorgenommen. Diese werden jeweils am Ende des Rechtsakts adressiert und aufgezeigt.

DORA Checkliste

Am Informationsregister haben die ESAs einige Vereinfachungen vorgenommen, u.a. haben sie die Vorlagen für das Register auf Unternehmensebene und das (teil-)konsolidierte Register harmonisiert, sodass nur noch ein Register befüllt werden muss.

In den RTS zum Risikomanagement wurde eine Textpassage ergänzt, die konkret das Proportionalitätsprinzip adressiert. Dort wird herausgestellt, dass anhand des risikobasierten Ansatzes nicht nur Verschärfungen der Anforderungen, sondern auch Erleichterungen möglich sein sollen.

Weitere Details rund um DORA finden Sie auch auf unseren Webseiten. Wir freuen uns über Ihren Besuch!

Die finalen Entwürfe finden Sie hier auf der Webseite der EIOPA.

Quelle: European Insurance and Occupational Pensions Authority – EIOPA, eiopa.europa.eu

BaFin ersetzt Merkblatt zu Cloud-Outsourcings mit Aufsichtsmitteilung

In ihrer Mitteilung aktualisiert die BaFin ihre Anforderungen im Kontext Governance, Einführung von Cloud-Ausgliederungen und vertraglichen Mindeststandards. Sie greifen weiterhin Cloud-Entwicklung, Cloud-Betrieb sowie Cybersicherheitsaspekte und die Überwachung des Dienstleisters auf.

Die Aufsichtsmitteilung ist ergänzend zu den bestehenden Vorgaben in den verschiedenen Branchen zu verstehen. Nach dem Verständnis der BaFin ist die Mitteilung analog zum 2018 veröffentlichten Merkblatt nur eine Erläuterung der bestehenden Regulierung.

Die aufsichtlichen Regelungen der DORA werden in Form eines Ausblicks aufgegriffen. Dort werden relevante Inhalte adressiert, die Finanzunternehmen bei ihrer DORA-Umsetzung berücksichtigen sollten.

Die Aufsichtsmitteilung finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

BaFin stellt Fokusrisiken für 2024 vor

In einem Pressegespräch stellte Marc Branson die Risiken vor, die die BaFin 2024 im Fokus sieht. Dabei bewertet sie die Risiken nach der potenziellen Gefährdung für die Finanzstabilität und die Integrität der Finanzmärkte in Deutschland.

Prognostiziert wird u. a. eine Steigerung der Risiken aus Cyberattacken sowie der Konzentrationsrisiken bei IT-Dienstleistungsbezügen. In künftigen Prüfungen und gerade auch in der DORA-Umsetzung sollten Finanzinstitute diese Themen also nicht aus dem Blick verlieren. In diesem Kontext plant die BaFin die Erstellung eines Cyber-Lagebildes des Finanzsektors, nationale Übungen zu Krisen und Notfällen, bessere Nutzung der Auslagerungsdatenbank im Kontext der Konzentrationsrisiken sowie eine zunehmende Dichte der Prüfungen bei Dienstleistern.

Die Fokusrisiken finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Die Zeit zur Umsetzung von DORA läuft. In diversen Veranstaltungen fordern die Aufsichtsbehörden Finanzunternehmen auf, nicht länger mit der Umsetzung zu warten. Gerade mit der Veröffentlichung der zweiten Welle an RTS & ITS sollten Institute nun tätig werden.

Sie wünschen sich eine erste Indikation zur Umsetzung in Ihrem Haus?
Nutzen Sie gerne unser limitiertes Sonderangebot zum kostenfreien DORA Quick Check!

Wir von ADWEKO stehen Ihnen bei der Implementierung des DORA gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

sprechen sie mit
Pia Streicher!

Pia Streicher