admin

Kritische IKT-Drittdienstleister Artikel 31 DORA – Einstufung kritischer IKT-Drittdienstleister Mit Artikel 31 der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – DORA) hat die EU erstmals ein Verfahren zur Einstufung von IKT-Drittdienstleistern als kritisch für den Finanzsektor geschaffen. Die Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) führen diese Bewertung über den Gemeinsamen Ausschuss und das Überwachungsforum durch. Maßgebliche Kriterien sind: Die Einstufung folgt einem zweistufigen Verfahren (quantitative Filterung → qualitative Analyse). Nach erfolgter Einstufung wird der Anbieter in die jährliche EU-Liste kritischer IKT-Drittdienstleister aufgenommen und einer federführenden Überwachungsbehörde zugeordnet. Der europäische Überwachungsrahmen (Art. 32–44 DORA) Zielsetzung und Struktur Der Überwachungsrahmen nach DORA Kapitel V Abschnitt II (Art.Read More →

Anforderungen an die interne IKT-Revision nach DORA Mit der Verordnung (EU) 2022/2554, bekannt als DORA (Digital Operational Resilience Act), hat die Europäische Union erstmals ein einheitliches Regelwerk geschaffen, das die digitale operationale Resilienz von Finanzunternehmen umfassend reguliert.Ein zentrales Element dieses Regelwerks ist die interne IKT-Revision – sie stellt sicher, dass Governance-, Risiko- und Kontrollprozesse im Bereich der Informations- und Kommunikationstechnologie (IKT) effektiv, unabhängig und nachweisbar funktionieren. 1. Rechtlicher Rahmen und Zielsetzung Die Anforderungen an die interne IKT-Revision leiten sich direkt aus mehreren Artikeln und Erwägungsgründen der DORA ab: Damit schafft DORA erstmals eine verbindliche europäische Prüfarchitektur für IT- und Cyber-Resilienz im Finanzsektor. 2. Governance undRead More →

Aufsichtliche DORA-Prüfung im Rahmen der Abschlussprüfung Mit der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – DORA) hat die Europäische Union einen einheitlichen Rechtsrahmen für die digitale operationale Resilienz im Finanzsektor geschaffen. Seit dem 17. Januar 2025 müssen Finanzunternehmen nachweisen, dass sie ihre Informations- und Kommunikationstechnologie (IKT) sicher, widerstandsfähig und prüfbar betreiben. Deutschland hat diese Pflicht in allen wichtigen Finanzaufsichtsgesetzen verankert:Bei der Prüfung des Jahresabschlusses muss der Abschlussprüfer ausdrücklich beurteilen, ob die Institute ihren Verpflichtungen aus den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Abs. 3 DORA sowie den zugehörigen Delegierten Verordnungen nachgekommen sind. Kreditinstitute Der PrüferRead More →

RTS SUB: Neue DORA-Vorgaben für Untervergabe von IKT-Dienstleistungen Was regelt die Delegierte Verordnung (EU) 2025/532? Die Delegierte Verordnung (EU) 2025/532 der Europäischen Kommission vom 24. März 2025 ist ein zentraler Bestandteil der Umsetzung der Digital Operational Resilience Act (DORA) – Verordnung (EU) 2022/2554. Sie konkretisiert durch technische Regulierungsstandards (RTS SUB), welche Aspekte Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen bewerten und vertraglich regeln müssen – insbesondere wenn diese Dienste kritische oder wichtige Funktionen betreffen. Ziel ist es, die operative Resilienz zu stärken und systemische Risiken durch Sub-Outsourcing zu minimieren. Die Verordnung gilt ab dem 22. Juli 2025 und ist in allen EU-Mitgliedstaaten unmittelbar verbindlich. Wer istRead More →

XAIT – das Ende einer Ära Die deutschen Rundschreiben der BaFin zu den IT-Anforderungen im Finanzsektor – zusammengefasst als XAIT (BAIT, VAIT, ZAIT, KAIT) – haben jahrelang die IT-Sicherheitsstandards geprägt. Doch mit dem Inkrafttreten der Digital Operational Resilience Act (DORA) am 17. Januar 2025 endet diese Ära. In diesem Artikel beleuchten wir, warum die XAIT-Rundschreiben aufgehoben wurden, was dies für Unternehmen bedeutet und wie die Zukunft der IT-Regulierung aussieht. Was war XAIT? Die Rundschreiben BAIT, VAIT, ZAIT und KAIT legten spezifische Anforderungen für IT-Systeme und deren Sicherheitsmaßnahmen fest. Sie richteten sich an: XAIT bot klare Vorgaben, die Unternehmen halfen, ihre IT-Risiken zu minimieren und regulatorischeRead More →

Startschuss: DORA Am 17. Januar 2025 ist es soweit: Die EU-Verordnung Digital Operational Resilience Act (DORA) tritt offiziell in Kraft. Mit diesem Schritt wird die digitale Resilienz im europäischen Finanzsektor auf ein neues Level gehoben. Doch was bedeutet DORA konkret, und was müssen Unternehmen beachten? Warum DORA? Die Digitalisierung hat den Finanzsektor revolutioniert, bringt jedoch auch neue Risiken mit sich – von Cyberangriffen bis zu IT-Ausfällen. DORA adressiert diese Herausforderungen, indem sie einheitliche und sektorübergreifende Anforderungen an die Informations- und Kommunikationstechnologie (IKT) schafft. Das Ziel: Stärkung der digitalen Widerstandsfähigkeit und Schutz des Finanzsystems vor Störungen. Wen betrifft DORA? DORA gilt für alle Unternehmen im Finanzsektor,Read More →

DORA READY in drei Tagen 1. Seminarüberblick Das Seminar „DORA READY in drei Tagen“ bereitet Sie gezielt auf die Anforderungen des Digital Operational Resilience Act (DORA) vor. Sie lernen, wie Sie ein robustes IKT-Risikomanagementsystem implementieren, IKT-bezogene Vorfälle effektiv behandeln und Resilienztests durchführen. Unsere erfahrenen Referenten vermitteln die Inhalte praxisnah und fundiert. 2. Seminarziele 3. Zielgruppe Das Seminar richtet sich an: 4. Seminaragenda Tag 1: Einführung und Grundlagen Tag 2: IKT-Risikomanagement und Vorfallbehandlung Tag 3: Resilienz-Tests und Drittparteienmanagement 5. Veranstaltungsorte und Termine Das Seminar wird in den folgenden Städten angeboten: Termine finden Sie auf unserer Website unter https://digitale-operationale-resilienz.de. 6. Teilnahmegebühr 7. Umbuchung und Stornierung Umbuchungen undRead More →

DORA-Dokumentationsanforderungen Die Verordnung über die digitale operationale Resilienz (DORA) stellt neue Anforderungen an Unternehmen im Finanzsektor. Eine der zentralen Herausforderungen besteht darin, die umfassenden Dokumentationsanforderungen zu erfüllen. Unsere Checkliste für DORA-Dokumentationsanforderungen hilft Ihnen, Ihren Fortschritt zu bewerten und Lücken zu schließen. Entdecken Sie, wie diese Checkliste Ihnen dabei hilft, die Compliance-Anforderungen effektiv zu erfüllen und Ihr Unternehmen auf die neue Ära der digitalen Resilienz vorzubereiten. Warum ist die Checkliste für DORA-Dokumentationsanforderungen wichtig? DORA zielt darauf ab, den Finanzsektor gegen Cyberrisiken zu wappnen und die operationale Resilienz zu stärken. Die Dokumentationsanforderungen sind dabei ein zentraler Bestandteil. Mit unserer Checkliste können Sie: Was beinhaltet die Checkliste? WieRead More →

ESAs veröffentlichen das erste Regelwerk im Rahmen von DORA für das IKT- und Drittanbieter-Risikomanagement sowie die Klassifizierung von Vorfällen Die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – zusammen als ESAs bekannt) haben den ersten Satz endgültiger technischer Standards im Rahmen des Digital Operational Resilience Act (DORA) veröffentlicht. Diese Initiative zielt darauf ab, die digitale operationale Resilienz des Finanzsektors der Europäischen Union zu stärken. Der Schwerpunkt liegt dabei auf der Stärkung des Risikomanagements für Informations- und Kommunikationstechnologien (IKT) und Drittanbieter sowie auf den Meldeverfahren bei Vorfällen für Finanzunternehmen. Die unter DORA eingeführten endgültigen technischen Standards umfassen mehrere Schlüsselelemente: Die Entwicklung dieser endgültigen technischen Standards basiert aufRead More →

Die European Supervisory Authorities (EBA, EIOPA and ESMA – the ESAs) konsultieren den zweiten Entwurf der RTS und ITS Die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) haben am 08. Dezember 2023 eine öffentliche Konsultation zum zweiten Schwung von Politikmandaten unter dem Digital Operational Resilience Act (DORA) gestartet. Das zweite Paket umfasst vier Entwürfe technischer Regulierungsstandards (RTS), einen Satz Entwürfe technischer Durchführungsstandards (ITS) und zwei Satz Leitlinien (GL). Diese politischen Instrumente zielen darauf ab, einen konsistenten und harmonisierten Rechtsrahmen in den Bereichen Meldung wichtiger ICT-bezogener Vorfälle, Testen der digitalen Betriebsresilienz, Risikomanagement bei Drittanbietern von ICT und Aufsicht über kritische Drittanbieter von ICT zu gewährleisten.Read More →