Am 08.12.2023 haben die Europäischen Aufsichtsbehörden (ESAs – EBA, EIOPA und ESMA) die Dokumente zur öffentlichen Konsultation des 2. Pakets an technischen Standards im Rahmen von DORA (Digital Operational Resilience Act) veröffentlicht.
Der Zeitplan für die öffentliche Konsultation des 2. Pakets ist wie nachfolgend dargestellt geplant.
Primäres Ziel der Spezifizierungen durch die technischen Standards und Leitlinien ist die Schaffung eines kohärenten sowie harmonisierten Rechtsrahmens in den Bereichen Meldung schwerwiegender IKT-bezogener Vorfälle, Prüfung der digitalen betrieblichen Widerstandsfähigkeit, IKT-Risikomanagement und Aufsicht über kritische IKT-Drittanbieter. Im Wesentlichen beinhaltet das 2. Paket vier Entwürfe technischer Regulierungsstandards (RTS), einen technischen Durchführungsstandard (ITS) und zwei Leitlinien (GL) zu den folgenden Aspekten:
- RTS zur Festlegung der Kriterien, die bei der Vergabe von Unteraufträgen für IKT-Dienstleistungen, die eine kritische oder wichtige Funktion unterstützen, zu bestimmen und zu bewerten sind
Präzisierung der Aspekte, welche ein Finanzunternehmen bei der Untervergabe von kritischen oder wichtigen IKT-Dienstleistungen bestimmen und bewerten muss (gem. DORA-VO Artikel 30 (5) i.V.m. 30 (2a)).
- RTS zur Harmonisierung der Aufsichtsbedingungen
Harmonisierung des EU-Aufsichtsrahmens für die Überwachung von kritischen IKT-Drittanbietern (Rollen und Verantwortlichkeiten der ESAs und zuständigen Aufsichtsbehörden – gem. DORA-VO Artikel 41 (1a, b, d)).
- RTS zur Spezifizierung von Threat Led Penetration Tests
Spezifizierung von Elementen im Zusammenhang mit Threat Led Penetration Tests (TLPT – im Einvernehmen mit der EZB und den ESAs Entwürfe technischer Regulierungsstandards im Einklang mit dem TIBER-EU-Rahmen – gem. DORA-VO Artikel 26(1)).
- RTS zur Festlegung der Meldung schwerwiegender IKT-bezogener Vorfälle und ITS zur Festlegung von Einzelheiten für die Meldung schwerwiegender IKT-bezogener Vorfälle
Entwurf zu Berichtsstandards/-inhalten sowie Meldeformate, Meldefristen und Meldeprozess für schwerwiegende IKT-bezogene Vorfälle und erheblicher Cyberbedrohungen (freiwillige Meldung – gem. DORA-VO Artikel 20).
- Leitlinie für die Schätzung aggregierter Kosten/Verluste, verursacht durch schwerwiegende IKT-bezogene Vorfälle
Auf Anfrage der zuständigen Behörde ist Meldung der geschätzten aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden, abzugeben (gem. DORA-VO Artikel 11 (1)).
- Leitlinie für die Zusammenarbeit ESAs – CAs (Competent Authorities) bzgl. der DORA –Beaufsichtigung
Harmonisierung des EU-Aufsichtsrahmens für die Überwachung von kritischen IKT-Drittanbietern (Leitlinien für die Zusammenarbeit zwischen den ESAs und den zuständigen Behörden [detaillierte Verfahren und Bedingungen für die Zuweisung und Ausführung von Aufgaben zwischen zuständigen Behörden und den ESAs sowie die Einzelheiten zum Austausch von Informationen mit den zuständigen Behörden] – gem. DORA-VO Artikel 32 (7)).
Die nachstehende Abbildung gibt einen Gesamt-Überblick zu den technischen Standards, Leitlinien und weiteren Veröffentlichungen im Kontext der DORA-Spezifizierung.
Neben der Konsultation des 1. Pakets an technischen Standards ist auch ein Aufruf zur Rückmeldung zu Kritikalitätskriterien und Gebühren bereits erfolgt. Darüber hinaus ist noch eine Machbarkeitsstudie zur künftigen Zentralisierung der Vorfalls-Meldungen durch die Einrichtung eines einzigen EU hubs für die Meldung Major- IKT-bezogener Vorfälle (Art. 21) geplant.
Eine Übersicht zur Veröffentlichung des 1. Pakets finden Sie hier in diesem Blog.
Weitere Erläuterungen zu den Konsultationsentwürfen des 2. Pakets werden im Rahmen eines Public Hearing der ESAs am 23.Januar 2024 erfolgen.
Für weitere Informationen und Unterstützung bei der Ermittlung Ihres individuellen Handlungsbedarfes stehen wir Ihnen gerne zur Verfügung. RFC Professionals begleitet ihre Mandanten seit vielen Jahren bei der Analyse und Umsetzung aufsichtsrechtlicher Anforderungen. Kontaktieren Sie uns gerne für ein erstes persönliches Beratungsgespräch per Mail.
Dringlichkeit
Umsetzungsaufwand
Auswirkungen