Die EU-Kommission hat am 24.09.2020 im Rahmen des „Digital Finance Package“ einen Entwurf zur Verordnung zum Digital Operational Resilience Act, kurz DORA, veröffentlicht. Mit den neuen Regelungen soll den aus der zunehmenden Digitalisierung des Finanzsektors entstehenden Risiken entgegengewirkt und die Effizienz der Aufsicht erhöht werden. Eine Beschlussfassung wird noch im Jahr 2021 erwartet. Die Verordnung soll im Jahr 2022 in Kraft treten.
DORA beinhaltet Regelungen zur Harmonisierung der Vorschriften für das Risikomanagement zur Informations- und Kommunikationstechnologie (IKT) sowie zur Berichterstattung von IKT-Vorfällen, Prüfungen der operationellen Widerstandsfähigkeit und der Evaluierung von Risiken durch Abhängigkeiten zu IKT-Drittanbietern. Außerdem soll die Verordnung ein zentraler Treiber für die Digital Finance Transformation für Europa werden.
Die folgende Abbildung zeigt wesentliche Regelungsbereiche der Verordnung:
Die in DORA enthaltenen Regelungen basieren auf der bestehenden EU-Finanzgesetzgebung und beinhalten eine Verschärfung bzw. Erweiterung bestehender Vorschriften mit dem Ziel, die Betriebsstabilität digitaler Systeme im EU-Finanzsektor zu stärken.
Zu den wesentlichen Neuerungen in den genannten Regelungsbereichen gehören u.a.
- Anforderungen an das IKT-Risikomanagement-Rahmenwerk, z.B. zur Risikotoleranzschwelle,
- Pflicht zur Entwicklung von Reaktions- und Wiederherstellungsplänen für Finanzdienstleister inklusive Regelungen zur Kommunikation an Kunden und sonstigen von IT-Vorfällen Geschädigten
- Einführung einer generellen Verpflichtung zur Meldung von IKT-bezogenen Vorfällen, Vereinheitlichung der Meldeverfahren sowie die Klassifizierung von Vorfällen mittels Wesentlichkeitsschwellen,
- Einführung regelmäßiger Tests der Widerstandsfähigkeit der IKT-Systeme sowie interner Validierungsmethoden zur Identifizierung von Schwachstellen,
- Umfassende aufsichtliche Prüf-/Zugriffsrechte auf IKT-Dienstleister sowie Dokumentation und Kritikalitätseinschätzung aller IKT-Dienstleistungsverträge und damit eine Verstärkung der Überprüfung ausgelagerter Dienstleistungen,
- Verstärkte Prüfung von Vereinbarungen mit Dritten auf Konzentrationsrisiken durch Weiterverlagerungen sowie
- Einbindung der Geschäftsführung in das BCM und bei IKT-Audits sowie verpflichtende Schulungen zur Informationssicherheit.
Die aufgezeigten neuen und verschärften Anforderungen machen Anpassungen insbesondere beim Datenmanagement, dem Informationsrisiko- und Informationssicherheitsmanagement, dem Business Continuity Management, dem Meldewesen sowie dem Auslagerungsmanagement erforderlich. Um auf die Implementierung vorbereitet zu sein, sollte bereits jetzt eine erste Gap Analyse auf Basis des vorliegenden Entwurfes zu DORA erfolgen.
Die Experten von RFC Professionals begleiten ihre Mandanten seit vielen Jahren erfolgreich bei der Umsetzung aufsichtsrechtlicher Anforderungen. Neben der regulatorischen Expertise verfügen wir über vielfältige Praxiskenntnisse zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. Greifen Sie auf unser umfangreiches Umsetzungs- und Benchmark-Know-How bei der Umsetzung der MaRisk, BAIT und EBA IKT Richtlinie zurück und kontaktieren Sie uns gerne per Mail.
Dringlichkeit
Umsetzungsaufwand
Auswirkungen