IT-Security Regulatory Update | Mai 2023
Fokus: DORA, IT-Aufsicht der BaFin, 5. Jahrestag der DSGVO
Highlight aus dem Mai 2023
Erste Inhalte zu kritischen IKT-Drittdienstleistern unter DORA veröffentlicht
In einem Diskussionpapier widmen sich die ESAs zwei Themen aus dem Digital Operational Resilience Act (DORA): den Kriterien zur Eindordnung als kritischer IKT-Drittdienstleister sowie der Berechnung und Zahlung der Aufsichtsgebühren
„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“
ESAs befassen sich mit kritischen IKT-Drittdienstleistern unter DORA
Mit einem Diskussionspapier sind die ESAs Ende Mai 2023 auf die Marktteilnehmer zugekommen, um deren Input in einem bis 30. September 2023 zu übermittelnden Rat an die EU-Kommission zu berücksichtigen. Adressiert werden kritische IKT-Drittdienstleister, konkret die Kriterien für ihre Identifikation sowie die durch sie zu entrichtenden Aufsichtsgebühren. Zu beiden sind Delegierte Verordnungen der Kommission bis 17. Juli 2024 vorzulegen.
Stellungnahmen zu dem Diskussionspapier nehmen die ESAs bis zum 23. Juni 2023 entgegen.
1. Kriterien zur Identifikation kritischer IKT-Drittdienstleister
In Artikel 31 DORA werden erste Kriterien genannt, die einen kritischen IKT-Drittdienstleister auszeichnen. Diese werden nun durch die ESAs um quantitative und qualitative Faktoren ergänzt, die eine klare Einordnung in die Kategorie einfacher gestalten sollen. Ebenso werden Schwellen definiert, die mindestens überschritten sein müssen, um als kritischer IKT-Drittdienstleister zu gelten.
Dazu schlagen die ESAs folgendes Vorgehen vor:
- Bewertung der Dienstleister gegen einen Mindeststandard;
- Bewertung verbleibender Dienstleister gegen weitere Kritikalitäts-Indikatoren zur Identifikation der kritischen IKT-Drittdienstleister innerhalb der EU.
Zu diesem ersten Abschnitt des Papers werfen die Autoren einige Fragen auf, auf die in den Stellungnahmen gerne eingegangen werden soll. Dazu gehört neben anderen Themen auch, welche Hindernisse und Herausforderungen Marktteilnehmer bei der Identifikation sehen.
Schließlich stellen die ESAs die verschiedenen Faktoren unter den in DORA genannten vor, die sie für die Einordnung als relevant erachten. Sie geben dem Leser dazu Kontext mit an die Hand und stellen – sofern einschlägig – die Mindestgrenze vor, die überschritten sein muss.
2. Berechnung und Entrichtung der Aufsichtsgebühren
In Artikel 43 definiert DORA, dass beaufsichtigte kritische IKT-Drittdienstleister eine Aufsichtsgebühr zu entrichten haben, die die Kosten der Beaufsichtigung decken soll. Hierzu sollen die ESAs Details zur Berechnung und der Bezahlweise definieren. Mangels Informationen zur Zahl der kritischen IKT-Drittdienstleister sowie diesen Dienstleistern im Allgemeinen und deren Dienstleistungen hat sich dies als Herausforderung gestaltet.
Zunächst betrachten die ESAs daher den Umfang der Gebühren mit Fokus auf die geschätzten Aufsichtsausgaben und deren Anpassung. Anschließend geht das Papier auf die Berechnungsmethodiken ein, um die tatsächliche Gebühr zu kalkulieren, bevor sie sich der Bezahlung der Gebühr durch die Dienstleister widmet. Abschließend adressieren die ESAs den Umgang mit der Opt-in Klausel nach Artikel 31 Absatz 11 DORA.
Auch im zweiten Abschnitt werfen die Autoren Fragen auf und bitten die Marktteilnehmer, auf dieser einzugehen.
Das Diskussionspapier der ESAs finden Sie hier auf der Webseite der EBA.
Quelle: Joint Committee of the European Supervisory Authorities – JC of the ESAs, esas-joint-committee.europa.eu
Die DSGVO wird fünf!
Im Jahr 2018 trat die Datenschutzgrundverordnung (DSGVO) in Kraft und brachte so einigen Wirbel mit sich.
Fünf Jahre später betrachtet der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) sie als Positiv-Beispiel für den internationalen Datenschutz. Er sieht zwar die anfänglichen Herausforderungen, hält diese aber für weitestgehend überwunden. Positiv hebt er vor allem die jüngsten Urteile in grenzüberschreitenden Fällen hervor. Diese verdeutlichen, dass die Regelungen der DSGVO zu einem international durchsetzbaren Datenschutz beitragen. Darüber hinaus betont er die international positive Rückmeldung, die sich in der Integration der Vorgaben der DSGVO in die Rechtssysteme von Drittländern niederschlägt.
Als Herausforderung für den Datenschutz betrachtet er vor allem neue Technologien, die von den existierenden Vorgaben oft nur unzureichend abgedeckt sind. In seinem Statement äußert er den Wunsch einer schnelleren Rechtsdurchsetzung in grenzüberschreitenden Fällen sowie einer Herstellerhaftung, die dann vermehrt die großen internationalen Anbieter treffen solle.
Das Statement des BfDI finden Sie hier auf dessen Webseite.
Anlässlich des fünften Geburtstags der DSGVO fand außerdem eine Diskussionsveranstaltung in Brüssel statt, die gemeinsam vom BfDI, dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) und dem Europäischen Datenschutzbeauftragten (EDPS) durchgeführt wurde. Vertreten waren dort außerdem der Europäische Gesetzgeber, und der Europäische Gerichtshof. Auch hier wurde die DSGVO grundsätzlich gelobt und ihre Signalwirkung für den Datenschutz positiv hervorgehoben. Der BayLfD betont die Betroffenenrechte als Ankerpunkt, zumal sich die EU entsprechend positioniert habe. Für eine ausgeglichene Berücksichtigung aller Interessen wirbt der BfDI, gerade auch im Kontext der Digitalstrategie.
Die Anmerkungen des BfDI, BayLfD und des EDPS finden Sie hier auf der Webseite des BfDI.
Quelle: © BfDI – bfdi.bund.de
Fachgremium IT geht auf aktuelle Entwicklungen rund um die IT-Aufsicht der BaFin ein
Das Protokoll des Fachgremium IT der BaFin vom 13. Dezember 2022 wurde veröffentlicht. In dieser Sitzung des Gremiums wurden u.a. folgende Themen aufgegriffen:
Erster Einblick in Ergebnisse des ICT SCREP
Insbesondere weist die Aufsicht hier auf Optimierungsmöglichkeiten beim Sollmaßnahmenkatalog aufgrund dessen wesentlicher Bedeutung für das gesamte Informationsrisikomanagement hin. Hier wird erwartet, dass sich bei künftigen SREPs eine Verbesserung einstellt. Angemerkt wurde hier durch die vertretenen Finanzunternehmen, dass eine Verhandlung des Sollmaßnahmenkatalogs sich teils schwierig gestalte.
Daneben weist die BaFin auf Verbesserungspotentiale im Bereich der operativen Informationssicherheit hin. Schließlich wird der Informationssicherheitsbeauftragte und seine Auslagerung besprochen. Hierzu müssen – so die Vertreter der Aufsicht – die Anforderungen der BAIT kumulativ erfüllt sein.
Stand der Arbeiten an DORA
Bis zum Geltungsbeginn des DORA im Januar 2025 sollen die BAIT weiterhin uneingeschränkt gelten. Im gegründeten Unterausschuss zur Umsetzung der DORA sind BaFin und Bundesbank mit je einer Person vertreten. Zu diesem Zeitpunkt war die DORA noch nicht veröffentlicht, weshalb das Protokoll keine weiteren Details rund um den Rechtsakt aufgreift.
Aktueller Stand der Orientierungshilfe Cloud
Der aktuelle Entwurf ist (noch) BaFin intern und sieht nur nötige Änderungen an bestehenden Vorgaben und Erweiterungen vor. Eine formale Konsultation der nicht verbindlichen Orientierungshilfe sei nicht geplant. Die Erkenntnisse des Sonderfachgremiums Cloud seien eingeflossen, auch durch DORA seien Veränderungen möglich. Neu hinzukommen sind demnach folgende Themenblöcke: Architektur von Cloud-Anwendungen, sicherer Cloud-Betrieb sowie Erläuterungen zur Überwachung und Kontrolle von Cloud-Auslagerungen.
Das Protokoll des Fachgremiums IT finden Sie hier auf der Webseite der BaFin.
Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Weitere Informationen zur Umsetzung des DORA sind von der Finanzbranche und auch von Dienstleistern mit Spannung erwartet. Diese ersten Inhalte der ESAs beantworten erste Fragen und bieten die Möglichkeit, Einfluss auf die Ausgestaltung zu nehmen. Nutzen Sie diese Möglichkeit!
Im Zuge der Umsetzung des DORA stehen wir von ADWEKO Ihnen gerne mit unserer Expertise zur Verfügung.
Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick
- Europäisches Parlament und Europäischer Rat erarbeiten Positionen zum Cyber Resilience Act
- BSI veröffentlicht FAQ und Checkliste zur Dokumentationspflicht für KRITIS im Kontext IT-Sicherheit
- BSI veröffentlicht Hilfestellung zur Dokumentationspflicht für KRITIS im Kontext IT-Sicherheit
- BSI stellt Prüfplan-Vorlage zur Dokumentationspflicht für KRITIS zur Verfügung
- BSI stellt aktuellen Stand zum BSI-Standard 200-4 vor
- EBA veröffentlicht Bericht zur Supervisory Convergence in 2022
- ESMA schlägt Priorisierung der Aufgaben aus ihrem Arbeitsprogramm 2023 vor
- ESAs betrachten das Jahr 2022
- EZB blickt auf 2022 zurück
- BIS betrachtet Ursache für jüngste Bank Failures
- BSI veröffentlicht BSI Forum 23-02
- EZB zeigt Risiken für Finanzstabilität auf
- Aussteller 19. IT-Sicherheitskongress BSI stellen sich vor
- BSI veröffentlicht Liste der Aussteller des 19. IT-Sicherheitskongresses
- BaFin schaltet Anmeldung zur Jahreskonferenz der Versicherungsaufsicht 2023 frei
- BaFin fokussiert sich bei der Veranstaltung „IT-Aufsicht im Finanzsektor“ auf DORA
- BSI veröffentlicht Agenda zum 3. IT-Grundschutz-Tag am 14. Juni 2023
- BSI veröffentlicht Vortragsunterlage zum Thema Chancen durch Outsourcing der Detektion von Angriffen
- BSI veröffentlicht Vortragsunterlage zum Thema Inhouse oder Outsourcen
- BSI veröffentlicht Vortragsunterlage zum Thema Outsourcing und Notfallmanagement
- BSI veröffentlicht Vortragsunterlage zum Thema IT-Grundschutz als Fundament und Arbeitswerkzeug
- BSI veröffentlicht Vortragsunterlage zum Thema Security as a Service
- BSI veröffentlicht Vortragsunterlage zum Thema Aktuelles rund um den IT-Grundschutz
- BSI veröffentlicht Vortragsunterlage zum Thema Neues zum IT-Grundschutz
- BSI veröffentlicht Vortragsunterlage zum Thema Livehacking
sprechen sie mit
Pia Streicher!