Wie wir bereits in einem einfachen Überblick im Juli 2023 berichteten, hat die Bundesregierung den Digital Operational Resilience Act, kurz DORA, mit Gültigkeit seit dem 16. Januar 2023 für Unternehmen im Finanzsektor und deren IT-Dienstleister eingeführt. Und damit wird so etwas wie ein Paradigmenwechsel umgesetzt. Es sind mit der Einführung DORA nicht mehr (nur) die Finanzunternehmen in der Pflicht, sondern auch die IT-Dienstleister, die für Unternehmen in diesem Sektor tätig sind.
Zur Erinnerung hier noch einmal die vorgesehenen Strafzahlungsparameter wenn DORA-Anforderungen nicht durch die Gesellschaften bzw. IT-Dienstleister in diesem Zeitraum umgesetzt sind und Prüfungen ab 2025 durch die Aufsichtsbehörden zu diesem Ergebnis kommen. In diesen Fällen ist beispielsweise vorgesehen, dass die ESA Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen, was bedeutet, dass immer Ersatzlieferanten vorzuhalten sind, was wiederum das Risiko- und Lieferantenmanagement im Auslagerungsmanagement bei vielen Finanzunternehmen auf ein neues Niveau habt.
Für die verantwortlichen Führungskräfte bleibt zu berücksichtigen, dass auch Sie persönlich haftbar gemacht werden können, wenn nachgewiesen werden kann, und das kann es in der Regel, dass diese die Umsetzung der regulatorischen Vorschrift zu spät oder unvollständig eingeleitet haben.
Und die Uhr tickt. Es sind nur noch 7 Monate Zeit, bis Januar 2025 in dem die zweijährige Umsetzungsfrist endet und die Anforderungen vollumfänglich umgesetzt sein müssen. Die Zeit muss ggf. auch für Vertragsverhandlungen genutzt werden – und die, wie die meisten Personen aus diesem Unternehmensbereich wissen, können dauern.
Ferner bleibt auch zu berücksichtigen, dass die Umsetzung von der BaFin nicht so verstanden wird, wie die Einführung der DSGVO von den Bundes- und Landesdatenschutzbeauftragten und es ist davon auszugehen, dass die vorgesehenen Strafen und Ordnungsgelder auch entsprechend eingefordert werden.
Die ersten RTS und ITS Vorgaben
Die ersten RTS und ITS sind, wie erwartet, im Januar 2024 veröffentlicht worden und einige Unternehmen haben bereits Projekte zur Behandlung der daraus hervorgehenden Themen aufgesetzt. Die drei ESAs (EBA, EIOPA und ESMA) haben am 17.01.2024 die ersten finalen Vorlagen der technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) zu DORA hier veröffentlicht.
Weitere Informationen sind auf der themenbezogenen Fachseite der BaFin veröffentlicht, die auch immer wieder angepasst wird, letztmalig am 22. Mai 2024.
Die ersten gemeinsamen endgültigen Entwürfe technischer Regulierungs- und Implementierungsstandards umfassen:
- RTS zum IKT-Risikomanagementrahmen (Art. 15)
- RTS zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3)
- RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
- RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen (Art. 28 Abs. 10) und
- ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9).
Die finalen Fassungen werden in den kommenden Monaten von der Europäische Kommission im Amtsblatt der EU veröffentlicht.
Aktuelle Konsultation zu DORA
die öffentliche Konsultation der der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA fanden vom 08.12.2023 bis zum 04.03.2024 zu den nachfolgenden Entwürfen statt:
- Konsultation des RTS zu Threat Led Penetration Testing (Art. 26.11)
- Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5)
- Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
- Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
- Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7)
- Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)
Wissenswertes zu DORA
Der Fragenkatalog zu DORA vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.
Den aktuellen Fragenkatalog der BaFin haben wir am Ende des Artikels abgelegt.
------------------------------------------------------------------------
Gerne unterstützen wir Sie bei der Aufnahme des Status Quo, einer Projektplanung sowie der Erstellung der entsprechenden Prozesse, Dokumente, Schriftlich fixierten Ordnung, IKS-Maßnahmen sowie der Ergänzung der bestehenden unternehmensinhärenten Abläufen in den betroffenen Unternehmensbereichen.
Für Fragen, Anregungen und Projektanfragen kommen Sie gerne auf den Autor zu.
Dr. Klaus-D. Krause
compliance-net GmbH
Klaus.d.krause@compliance-net.com
Telefon: +49 (0) 6103 376 96 40
Mobil: +49 172 65 17 99 5