ESAs veröffentlichen das erste Regelwerk im Rahmen von DORA für das IKT- und Drittanbieter-Risikomanagement sowie die Klassifizierung von Vorfällen

ESAs veröffentlichen das erste Regelwerk im Rahmen von DORA für das IKT- und Drittanbieter-Risikomanagement sowie die Klassifizierung von Vorfällen

Die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – zusammen als ESAs bekannt) haben den ersten Satz endgültiger technischer Standards im Rahmen des Digital Operational Resilience Act (DORA) veröffentlicht. Diese Initiative zielt darauf ab, die digitale operationale Resilienz des Finanzsektors der Europäischen Union zu stärken. Der Schwerpunkt liegt dabei auf der Stärkung des Risikomanagements für Informations- und Kommunikationstechnologien (IKT) und Drittanbieter sowie auf den Meldeverfahren bei Vorfällen für Finanzunternehmen.

Die unter DORA eingeführten endgültigen technischen Standards umfassen mehrere Schlüsselelemente:

  1. Regulatorischer Technischer Standard (RTS) zum IKT-Risikomanagementrahmen: Dies umfasst einen Standardrahmen sowie eine vereinfachte Version für Entitäten mit geringerer Größe, Risiko, Umfang und Komplexität. Diese Standards zielen darauf ab, Werkzeuge, Methoden, Prozesse und Richtlinien im Zusammenhang mit dem IKT-Risikomanagement über verschiedene Finanzsektoren hinweg zu harmonisieren.
  2. Regulatorischer Technischer Standards (RTS) zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen: Diese Standards legen die Kriterien für die Klassifizierung großer IKT-bezogener Vorfälle fest. Sie bieten einen harmonisierten und vereinfachten Prozess für die Klassifizierung von Vorfallsmeldungen im gesamten Finanzsektor. Die Standards umfassen den Ansatz für die Klassifizierung, Materialitätsschwellen, Kriterien zur Bestimmung bedeutender Cyber-Bedrohungen und Details zur Weitergabe von Vorfallinformationen an zuständige Behörden.
  3. Regulatorischer Technischer Standards (RTS) zur IKT-Drittanbieterpolitik (TPP): Diese Standards skizzieren die Governance-Strukturen, das Risikomanagement und den internen Kontrollrahmen, die Finanzunternehmen im Hinblick auf die Nutzung von IKT-Drittanbietern haben sollten. Ziel ist es, sicherzustellen, dass Finanzunternehmen die Kontrolle über operationelle Risiken, Informationssicherheit und Geschäftskontinuität während des gesamten Lebenszyklus von Vertragsvereinbarungen mit IKT-Drittanbietern behalten.
  4. Implementierung Technischer Standard (ITS) zum Register der Informationen: Diese Standards legen die Vorlagen für die Pflege und Aktualisierung von Informationen durch Finanzunternehmen bezüglich ihrer vertraglichen Vereinbarungen mit IKT-Drittanbietern fest. Das Register wird eine entscheidende Rolle im IKT-Drittanbieter-Risikomanagementrahmen spielen und wird von zuständigen Behörden und ESAs zur Überwachung der Einhaltung von DORA und zur Benennung kritischer IKT-Drittanbieter, die dem DORA-Aufsichtsregime unterliegen, verwendet.

Die Entwicklung dieser endgültigen technischen Standards basiert auf den Artikeln 15, 16(3), 18(3), 28(9) und 28(10) von DORA (Verordnung (EU) 2022/2554).

Die ESAs führten eine öffentliche Konsultation zu den technischen Entwürfen zwischen dem 19. Juni und dem 11. September 2023 durch und erhielten über 420 Antworten von Marktteilnehmern.

Das Feedback führte zu spezifischen Änderungen in den technischen Standards, mit Fokus auf Vereinfachung, Rationalisierung, Verhältnismäßigkeit und Berücksichtigung sektorspezifischer Bedenken.

Die endgültigen technischen Standards wurden nun zur Überprüfung an die Europäische Kommission übermittelt, mit dem Ziel, diese Standards in den kommenden Monaten zu verabschieden.

Quelle: https://www.eba.europa.eu/publications-and-media/press-releases/esas-publish-first-set-rules-under-dora-ict-and-third-party

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert