IT-Security Regulatory Update | September 2023

Fokus: Timeline zu DORA, Konsultation der ZAG-MaRisk und INput zu IKT-Drittdienstleistern

← Recap Fachtagung IT-Regulatorik | 04.10.23 ESG im Kreditprozess | 11.10.23 →

Highlight aus dem September 2023

BaFin und Bundesbank äußern sich zu DORA

Im Rahmen der BaFinTech 2023 ergriffen Bundesbank und BaFin die Möglichkeit, sich zum aktuellen Stand und einer möglichen Zeitleiste rund um den Digital Operational Resilience Act zu äußern.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

DORA in der aufsichtsrechtlichen Perspektive

Am 19. und 20. September fand die BaFinTech in Berlin mit BaFin und Bundesbank als Gastgebende statt. Themenschwerpunkte waren die Digitalisierung der Finanzindustrie, Innovationen, aber auch Kryptowerte und digitale Ökosysteme. Unter anderem widmeten sich die Gastgebenden dabei auch dem Digital Operational Resilience Act (DORA) und betrachteten die Konsequenzen für die Finanzbranche.

Zunächst gingen die Vortragenden auf die Zielsetzung und Hintergründe der Verordnung ein, die ab Januar 2025 in allen Mitgliedstaaten der EU gelten wird und zeigt dabei die Fokusthemen auf. In ihrer Unterlage greifen die Referienden als nächstes eine Zeitleiste rund um den Rechtsakt auf, die auch offenbart, was künftig zu erwarten ist.

Neben den ausstehenden RTS und ITS der zweiten Welle, ist die Finalisierung der ersten Welle ebenfalls noch zu erwarten. Neben diesen bereits bekannten Umständen, kündigen Bundesbank und BaFin eine nationale Umsetzung zwischen Ende 2023 und Mitte 2024 an. Diese soll sich einerseits in einer Begleitgesetzgebung als auch in der IT-Implementierund niederschlagen. Darüber hinaus stehend zwischen Mitte 2024 und Mitte 2025 die Überarbeitung der nationalen und europäischen untergesetzlichen Vorgaben an. Das bedeutet auch, dass MaRisk, BAIT und die EBA-Guidelines sowie deren Schwesterregularien erst nach dem Geltungsbeginn des DORA zu erwarten sind. Damit werden einige Fragen offen bleiben, die schon zur Implemenmtierung des DORA hilfreich gewesen wären.

Ein Mann mit Mikrofon in der Hand sitzt mit von der Kamera abgewandtem Gesicht zu einer Leinwand hin. Vor ihm steht ein Computer und eine Flasche Wasser auf einem Holztisch.

Neben den eher allgemeinen Informationen stellen die Referierenden zwei Schwerpunkte eingehender vor: das Risikomanagementrahmenwerk und die europäische Überwachung kritischer IKT-Drittdienstleister.

Im Zuge der Umsetzung empfehlen die beiden Sprechenden der Aufsichtsbehörden neben einem Vertrautmachen mit den Anforderungen und der Identifikation von Lücken die abschließende Ermittlung und Bewertung der Handlungsbedarfe nach der Veröffentlichung der noch zu erwartenden Vorgaben.

Sie finden die Vortragsunterlage der BaFin und Bundsbank hier auf der Webseite der Bundesbank.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht und / www.bafin.de und Deutsche Bundesbank – bundesbank.de

ZAG-MaRisk werden konsultiert

Mit dieser Konsultation richtet sich die BaFin mit dezidierten Mindestanforderungen an das Risikomanagement an die Institute im Sinne des Zahlungsdienstaufsichtsgesetzes (ZAG). Der Entwurf spezifiziert die Vorgaben zur ordnungsgemäßen Geschäftsorganisation gemäß ZAG.

Im Vergleich mit der zuletzt veröffentlichten siebten MaRisk-Novelle an KWG-regulierte Institute, ergeben sich neben den unterschiedlichen Detaillierungen vor allem zwei Änderungen:

In den allgemeinen Anforderungen an das Risikomanagement des AT 4 spricht AT 4.1 hier von der „Abschirmung von Risiken“ statt von der „Risikotragfähigkeit“. Ein Abschnitt zum Risikomanagement auf Gruppenebene ist nicht vorgesehen.
BTO und BTR unterscheiden sich in ihren Anforderungen aufgrund der unterschiedlichen Ausprägung der Geschäftsmodelle.

Rückmeldungen zur Konsultation nimmt die BaFin bis zum 6. Dezember entgegen.

Die Konsultation der BaFin finden Sie hier.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

IKT-Drittdienstleister im Visier der ESAs

Die drei europäischen Finanzaufsichtsbehörden EBA, EIOPA und ESMA (gemeinsam: die ESAs) haben im Rahmen ihrer Vorbereitungen für den DORA eine indikative Übersicht zu Drittdienstleistungen im Kontext Informations- und Kommunikationstechnologie (IKT) veröffentlicht. Im Rahmen einer Analyse haben die Behörden relevante IKT-Drittdienstleister identifziert und kartiert. Diese Analyse soll die ESAs bei der Erarbeitung einer Empfehlung für die Definition von Indikatoren zur Bestimmung kritischer IKT-Drittdienstleister unterstützen. Als kritische IKT-Drittdienstleister klassifizierte Unternehmen fallen unter eine aufsichtliche Überwachung gemäß dem DORA, die auch eine Überwachungsgebühr nach sich zieht.

Der Bericht der ESAs bezieht sich auf eine erstmalige Datenerhebung, die IKT-bezogene Verträge von Finanzunternehmen über die gesamte Breite der Branche umfasst hat. Dabei wurden etwa 15.000 direkt für Unternehmen tätige IKT-Drittdienstleister ermittelt. Die am häufigsten genutzten Dienstleister unterstützen bei den Unternehmen jeweils kritische / wichtige Funktionen und wurden als nicht zu ersetzen bewertet.

Für die DORA-Umsetzung interessant werden zwei Nebeneffekte dieser Erhebung: Erstens zeigte sich die Relevanz eindeutiger Identifkationsmerkmale für Dienstleister und zweitens die Notwendigkeit einer eindeutigen Taxonomie des Begriffs „IKT-Dienstleistung“. Für einen ersten Anlauf einer solchen im Rahmen des Annex IV der ITS zum Informationsregister erhielten die ESAs jüngst Kritik aus der Branche.

Den Bericht der ESAs finden Sie hier auf der Webseite der EBA.

Quelle: Joint Committee of the European Supervisory Authorities – JC of the ESAs, esas-joint-committee.europa.eu

Die konkreten Anforderungen unter DORA zeichnen sich immer genauer ab. Mit der Veröffentlichung von weiteren Rechtstexten unter der Verordnung, aber auch zunehmender Präsenz der Aufsichtsbehörden bei Veranstaltungen der Branche werden die Details bekannt. Nutzen Sie diesen Input und lassen Sie ihn in die Umsetzung des DORA in Ihrem Haus einfließen.

Wir von ADWEKO stehen Ihnen bei der Umsetzung des DORA und anderer Vorhaben gerne zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

FSB veröffentlicht Rückmeldungen zur Konsultation rund um das Drittparteien-Risikomanagement

BaFin und Bundesbank veröffentlichen Vortragsunterlagen zur BaFinTech 2023

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.