IT-Security Regulatory Update | Juni2023

Fokus: DORA ITS und RTS, 7. MaRisk Novelle, BSI-Standard 200-4 zum BCM

← ESG – EU-Taxonomie – Definition der Umweltziele | 30.06.23 Digitale Operative Resilienz | Stand delegierte Rechtsakten | 04.07.23 →

Highlight aus dem Juni 2023

Erste Rechtsakte unter DORA stehen zur Konsultation

Die im Januar 2025 in Kraft tretende Verordnung zur digitalen operationalen Resilienz wird durch die erste Welle an RTS und ITS weiter detailliert. Diese ersten Vorgaben unterstützen Institute bei der vollständigen Implementierung und sollten unbedingt berücksichtigt werden.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

ESAs stellen erste Welle an RTS und ITS unter DORA zur Konsultation

Die ESAs haben die erste Welle der RTS und ITS unter DORA veröffentlicht und stellen diese bis zum 11. September 2023 zur Konsultation. Das finale Veröffentlichungsdatum dieser Rechtsakte wird der 17. Januar 2024 sein. Über unsere Webseite zur digitalen operationalen Resilienz halten wir sie dazu gerne auf dem Laufenden. Einen Überblick über die veröffentlichten und die noch ausstehenden RTS und ITS finden Sie hier auf der Webseite der EBA.

1. RTS zu Leitlinien für Vertragsbeziehungen mit IKT-Drittdienstleistern für kritische und wichtige Funktionen

In diesem Entwurf nähern sich die ESAs dem Thema der Leitlinien für Vertragsbeziehungen mit IKT-Drittdienstleistern für kritische und wichtige Funktionen (CI-Funktionen), Art. 28 Abs. 10 DORA. Der grundlegende Gedanke hinter den Anforderungen ist der aus bestehenden Regularien rund ums Outsourcing bekannte Ansatz, dass die Letztverantwortung für die Funktion beim Institut verbleibt.

Die interne Verantwortung für die Dienstleistungsbeziehung muss daher klar verschiedenen Unternehmensfunktionen zugewiesen werden. Die Leitlinien ermöglichen eine umfassende Steuerung des operativen Risikos im Kontext der Beziehung zu IKT-Drittdienstleistern für CI-Funktionen. Entsprechend greifen sie den gesamten Lebenszyklus einer solchen Beziehung auf und gehen u.a. auf Governance, Risikomanagement und das interne Kontrollsystem ein. Dabei sollen Finanzunternehmen aber auch sicherstellen, dass ihre Dienstleister ausreichend Ressourcen und Kapazitäten vorhalten, um den vertraglichen und aufsichtlichen Anforderungen gerecht zu werden. Insgesamt unterscheiden die ESAs hierbei nicht grundlegend zwischen gruppeninternen und externen Dienstleistern, sondern adressieren alle IKT-Drittdienstleister für CI-Funktionen.

Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.

Alte Bücher, die leicht aneinander gelehnt in einem Regal nebeneinander stehen. Sie neigen alle leicht nach links.

2. ITS für das Informationsregister zu IKT-Dienstleistungen

Der Entwurf der ITS umfasst Vorlagen für ein Informationsregister der Vertragsverhältnisse zur Erbringung von IKT-Dienstleistungen durch IKT-Drittdienstleister, Art. 28 Abs. 9 DORA. Das Register soll Finanzunternehmen dabei unterstützen, Risiken aus Dienstleistungsbeziehungen angemessen zu steuern und den Aufsichtsbehörden die Überwachung der Abhängigkeiten zwischen Instituten und Dienstleistern erleichtern. Die Vorlagen schaffen ferner eine Grundlage für gemeinsame vertragliche Mindestinhalte, die im Risikomanagementprozess gemeinsam mit den notwendigen Informationen aus dem Register des Instituts ausreichend zu berücksichtigen sind.

Die Informationsanforderungen berücksichtigen den Grad der Abhängigkeit vom Dienstleister und sind daher inhärent proportional. Je nach dem, wie abhängig ein Institut von seinem Dienstleister ist, sind zusätzliche Informationen bspw. zur Risikobewertung, zur Lieferkette oder zu Subauslagerungen nötig. Bei der Erstellung wurden außerdem die Aufsichtspraxis verschiedener Behörden, Erfahrungswerte aus bereits erfolgten Datenaggregationen sowie der Datenaustausch zwischen Finanzunternehmen, den Aufsichtsbehörden und dem Aufsichtsforum bedacht.

Die Konsultation der ITS finden Sie hier auf der Webseite der ESMA.

Quelle: Joint Committee of the European Supervisory Authorities – JC of the ESAs, esas-joint-committee.europa.eu

3. RTS zur Einstufung kritischer IKT-Vorfälle und Bedrohungen

Mit diesen RTS betrachten die ESAs die Klassifizierung erheblicher IKT-Vorfälle und Bedrohungen, Art. 18 Abs. 3 DORA. Zunächst gehen die ESAs dazu auf die verschiedenen Kriterien ein, die zur Klassifizierung der IKT-Vorfälle herangezogen werden, wie z.B. Datenverlust oder betroffene kritische Funktionen des Instituts. Zugleich betrachten sie die Anforderungen an die Erheblichkeitsschwelle. Sie schlagen vor, die Kriterien dabei unterschiedlich zu gewichten, um dem Proportionalitätsgrundsatz Rechnung zu tragen.

Neben den kritischen IKT-Vorfällen werden auch IKT-Bedrohungen adressiert. Als Kriterien herangezogen werden die Eintrittswahrscheinlichkeit, die potentielle Betroffenheit kritischer und wichtiger Funktionen sowie die Erfüllung der Kriterien eines erheblichen Vorfalls im Falle der Materialisierung der Bedrohung.

Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.

4. RTS zum IKT-Risikomanagement mit Schwerpunkt Tools, Methoden, Prozesse und Leitlinien

Diese RTS greifen die Harmonisierung der IKT-Risikomanagement-Tools, Methoden, Prozesse und Leitlinien gebündelt auf, Art. 15 und 16 Abs. 3 DORA. Die ESAs haben sich aufgrund der Themenverwanschaft dazu entschieden, die Anforderungen an den „normalen“ und den vereinfachten Risikomanagementprozess in einer Vorgabe zu bündeln.

Im Zuge der RTS betrachten die ESAs die verschiedenen Bestandteile der DORA-Anforderungen an das Risikomanagement näher und führen diese weiter aus. Beginnend mit der Governance arbeiten sie sich über das Risikomanagement, das Asset Management, die Verschlüsselung und Kryptographie, die operative Sicherheit, die Netzwerksicherheit, das Projekt- und Change Management, die physische Sicherheit, Schulungen und Awareness Trainings, Human Resources, das Identity und Access Management, den Umgang mit IKT-Vorfällen, das Business Continuity Management sowie das Reporting einmal durch die Vorgaben des DORA. In entsprechend reduzierter Form wird beim vereinfachten Risikomanagementrahmen vorgegangen.

In die Anforderungen sie bereits existierende Rahmenwerke, wie die EBA Leitlinien zum IKT- und Sicherheitsrisikomanagement von 2019 und die NIS2-Richtlinie mit eingeflossen. Sie sind als komplementierende Vorgaben zu DORA selbst zu sehen, wobei die hohe Bedeutung der Vorgaben zu betonen ist.

Die Konsultation der RTS finden Sie hier auf der Webseite der ESMA.

Quelle: Joint Committee of the European Supervisory Authorities – JC of the ESAs, esas-joint-committee.europa.eu

BaFin veröffentlicht 7. MaRisk-Novelle

Am 29. Juni 2023 hat die BaFin die Mindestanforderungen an das Risikomanagement (MaRisk) als Rundschreiben 05/2023 (BA) veröffentlicht. Die Vorgaben sind seit ihrer Veröffentlichung in Kraft und müssen bis Januar 2024 umgestzt sein.

In erster Linie wurde mit der Novellierung die EBA-Leitlinie zur Kreditvergabe und -überwachung umgesetzt. Weitere Themen der neuen MaRisk sind der Umgang von Banken mit eigenen Immobilien, Home Office im Wertpapierhandel sowie die Nachhaltigkeit. Mehr Details dazu finden Sie hier in unserem Blogbeitrag zur Konsultation. Im Verhältnis zu dieser hat die BaFin wenig Veränderungen vorgenommen. Zu erwähnen ist hier vor allem, dass sie ihre Verweispraxis auf die EBA-Leitlinien angepasst hat und anstelle der Verweise die Inhalte weiter ausführt. Dies betrifft vor allem den BTO 1.

Wesentliche Handlungsbedarfe im Kontext Cybersicherheit und Informationssicherheit ergeben sich nicht.

Die Mindestanforderungen an das Risikomanagement 2023 finden Sie hier auf der Websiete der BaFin.

BSI veröffentlicht Standard 200-4 zum BCM

Im BSI-Standard 200-4 gibt das Bundesamt eine praxisnahe Anleitung zum Business Continuity Management (BCM) und dazu, wie ein Business Continuity Management System (BCMS) aufgebaut und etabliert werden kann. Neben dem Standard selbst veröffentlichte das BSI auch einen Hilfsmittel-Anforderungskatalog zum Standard.

Den Standard sowie den Anforderungskatalog finden Sie auf der Webseite des BSI.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, bsi.bund.de

DORA sorgt aktuell in vielen Häusern für Wirbel und Diskussionen. Mit der ersten Welle an konkretisierenden Rechtsakten geben die ESAs Antworten auf die ein oder andere aufgekommene Frage. Die Umsetzung des DORA wird durch die nun publizierten Entwürfe der RTS und ITS spezifischer. Binden Sie diese daher unbedingt mit ein!

Bei der Umsetzung des DORA in Ihrem Haus sowie bei offenen Fragen stehen wir von ADWEKO Ihnen gerne mit unserer Expertise zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

EU Parlament beleuchtet Vorschlag zur Cybersicherheit von EU-Einrichtungen, Organen, Ämtern u.a.

FSB adressiert Management von Risiken im Kontext von Dienstleistern

BSI befasst sich mit KI-Entwicklung und Anwendung

BaFin publiziert Programm der Jahreskonferenz zur Versicherungsaufsicht

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

IT-Security Regulatory Update | Juni2023

Fokus: DORA ITS und RTS, 7. MaRisk Novelle, BSI-Standard 200-4 zum BCM

Highlight aus dem Juni 2023

ESAs stellen erste Welle an RTS und ITS unter DORA zur Konsultation

1. RTS zu Leitlinien für Vertragsbeziehungen mit IKT-Drittdienstleistern für kritische und wichtige Funktionen

2. ITS für das Informationsregister zu IKT-Dienstleistungen

3. RTS zur Einstufung kritischer IKT-Vorfälle und Bedrohungen

4. RTS zum IKT-Risikomanagement mit Schwerpunkt Tools, Methoden, Prozesse und Leitlinien

BaFin veröffentlicht 7. MaRisk-Novelle

BSI veröffentlicht Standard 200-4 zum BCM

sprechen sie mitPia Streicher!

sprechen sie mit
Pia Streicher!