die bank 02 // 2023

REGULIERUNG Über

REGULIERUNG Über die in der DORA-Verordnung enthaltenen Mandate der ESAs sind die folgenden weiteren Detaillierungen vorgesehen und im Rahmen der Umsetzung zusätzlich zu berücksichtigen: Entwürfe bis 17.1.2024 Entwürfe bis 17.7.2024 » Einzelheiten zum IKT-Risikomanagement wie Anforderungen an Systeme und Netzwerke und an die Notfallplanung (ESA-Mandate gem. Art. 15 und Art. 16 (3)) » Details zur Klassifizierung von IKT-bezogenen Vorfällen & Cyber-Bedrohungen wie Schwellenwerte zur Bestimmung schwerwiegender IKT-Vorfälle & Cyber-Bedrohungen (ESA-Mandat gem. Art. 18 (3)) » Details zum Management des IKT-Drittparteienrisikos wie Vorgaben für ein Informationsregister und dessen Befüllung (ESA-Mandat gem. Art. 28) Am 6. Februar 2023 haben die ESAs im Rahmen einer Informationsveranstaltung weitere Informationen hinsichtlich des Zeitplans zur Ausarbeitung technischen Standards veröffentlicht. Dabei wurden folgende Termine für die Konsultation einzelner ESA- Texte angekündigt: Z Mai 2023: ESA-Advice zur Kritikalitätseinstufung von IKT-Dienstleistern gemäß Art. 31 der DORA-Verordnung („Targeted Public Consultation“) Z Mitte Juni bis September 2023: Technische Regulierungsstandards zum IKT- Risikomanagement gemäß Art. 15 und zum vereinfachten IKT-Risikomanagementrahmen gemäß Art. 16 der DORA- Verordnung Z Mitte Juni bis September 2023: Inhalte der Leitlinie bezüglich IKT-Dienstleistungen zur Unterstützung kritischer und » Details zu Berichtspflicht, Meldeterminen, Meldeformaten für schwerwiegende IKT-Vorfälle & Mitteilung wesentlicher Cyber-Bedrohungen (ESA-Mandat gem. Art. 20) » Einzelheiten zu erweiterten Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT (Threat Led Penetration Testing, bedrohungsorientierte Penetrationstests) (ESA-Mandat gem. Art. 26) » Spezifizierung zur Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister, zu Art und Umfang der Informationen sowie Berichtsinhalten (ESA-Mandat gem. Art. 41) » Details zum Management des IKT-Drittparteienrisikos wie Vorgaben zu internen Richtlinien & zur Unterauslagerung von kritischen oder wichtigen Funktionen (ESA-Mandat gem. Art. 30 (5)) wichtiger Funktionen gemäß Art. 28 der DORA-Verordnung Z Mitte Juni bis September 2023: Technischer Regulierungsstandard zur Klassifizierung schwerwiegender IKT-bezogener Vorfälle gemäß Art. 18 der DORA-Verordnung Z Mitte Juni bis September 2023: Technischer Durchführungsstandard zum Informationsregister bzgl. IKT-Dienstleistungen von IKT-Drittparteien gemäß Art. 28 Abs. 3 der DORA-Verordnung Z November 2023 bis Februar 2024: Technischer Regulierungsstandard zum Subcontracting gemäß Art. 30 Abs. 5 der DORA-Verordnung Z November 2023 bis Februar 2024: Technische Regulierungsstandards zur Meldung schwerwiegender IKT-bezogener Vorfälle gemäß Art. 20 der DORA-Verordnung Anpassungsbedarf bestehender aufsichtlicher Vorgaben mit IT-Bezug vor DORA in Deutschland In Deutschland wurden erweiterte Anforderungen an die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) von Banken bzw. deren IT-Dienstleistern bereits im Jahr 2021 in verschiedenen rechtlichen Vorgaben umgesetzt. Diese müssten nun wiederum im Zuge der DORA-Umsetzung angepasst werden. Das IT-Sicherheitsgesetz 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) erweiterte insbesondere die Definition von KRITIS-Betreibern. Zudem erfolgten inhaltliche Erweiterungen des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) u. a. bezüglich verstärkter IT-Komponentenprüfung und Sicherheitszertifizierung im Zuge von Anpassungen im BSI-Gesetz und über nachgelagerte Rechtsverordnungen. Zur Umsetzung der am 27. Dezember 2022 im EU- Amtsblatt veröffentlichten NIS-2-Richtlinie muss nun das BSI-Gesetz nochmals angepasst werden. Mit dem Finanzmarktintegritätsstärkungsgesetz (FISG) wurde ein neuer Rechtsrahmen für Auslagerungen im Finanzsektor umgesetzt. Wesentliche Neuerungen dabei sind: Z der direkte Zugriff der BaFin auf Auslagerungsunternehmen, an die Banken wesentliche Aktivitäten und Prozesse – insbesondere IKT-Dienstleisungen – auslagert haben, z. B. über Sonderprüfungen nach § 44 Abs. 1 KWG sowie Z die Anzeigepflichten für wesentliche Auslagerungen sowie die Pflicht zur Führung eines Auslagerungsregisters. Mit der Anwendung der DORA-Verordnung wird die BaFin ab 2025 Befugnisse zur Überwachung von kritischen IKT-Drittparteien an die ESAs abgeben müssen, sodass die im Rahmen des FISG erteilten Überwachungsbefugnisse der deutschen Aufsicht gegenüber Aus- 64 02 | 2023

REGULIERUNG lagerungsunternehmen zum Teil wieder eingeschränkt werden dürften. Mit der BAIT-Novelle 2021 (Bankaufsichtliche Anforderungen an die IT) wurden neue Anforderungen im Bereich des Informationssicherheitsmanagements auf Basis der EBA-Guidelines on ICT and Security Risk Management von 2019 eingeführt, die bereits viele Elemente der DORA-VO aufgreifen. Daneben wurden im Kapitel „Operative Informationssicherheit“ bereits Anforderungen bzgl. Durchführung von Penetrationstests integriert. Schließlich ergänzen detaillierte Anforderungen an das IT-Notfallmanagement in den BAIT die mit der MaRisk-Novelle vom 16. August 2021 umfassend überarbeiteten Regelungen zum allgemeinen Notfallmanagement in AT 7.3 MaRisk. Inwiefern die Anwendung der DORA-Verordnung und der darauf basierenden technischen Standards zu größeren Anpassungen der BAIT führen wird, ist noch nicht absehbar. Dies sollte sich aber spätestens im Jahr 2024 klären. FAZIT DORA beinhaltet viele Vorgaben, die weitgehend kongruent mit Vorschriften aus bereits bekannten Regularien, wie z. B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/KAIT, ZAIT, EBA-Guidelines on Outsourcing Arrangements und EBA-Guidelines on ICT and Security Risk Management, sind. Allerdings enthält DORA auch einige Abweichungen, Detaillierungen und Ergänzungen gegenüber diesen Regularien. Die erweiterten Anforderungen führen insgesamt zu einem umfangreichen Umsetzungsaufwand in der Finanzindustrie. Das individuelle Ausmaß ist dabei abhängig von der Größe, den Risiken aus dem Geschäftsmodell (Proportionalitätsprinzip) und dem Reifegrad der digitalen operationalen Resilienz des jeweiligen Finanzunternehmens. Finanzunternehmen und IKT-Drittdienstleister sollten die verbleibende Zeit bis zur Anwendung der DORA-Verordnung nutzen und sich schon frühzeitig mit der Umsetzung der DORA- Anforderungen und ihrer aktuell bestehenden eigenen digitalen operationellen Widerstandsfähigkeit im Sinne einer GAP-Analyse beschäftigen. Empfohlen wird dabei auch eine Orientierung an den aktuellen MaRisk-/BAIT-Anforderungen, den EBA Outsourcing Guidelines, den EBA Guidelines on ICT and Security Risk Management und der einschlägigen EZB-Prüfungspraxis sowie aktuellen Initiativen von EBA/EZB. Dringend angeraten wird eine unmittelbare und wirksame Verankerung und Umsetzung bestehender Melde- und Risikomanagementpflichten nach KWG/ZAG sowie BAIT/MaRisk im Unternehmen. Autoren Dr. Patrik Buchmüller, selbstständiger Unternehmensberater, Lehrbeauftragter an der Universität Leipzig, Universität Tübingen und Hochschule Worms Dazu empfehlen wir Ihnen auch unser Web-Seminar Umsetzungsprojekt DORA: Neue Anforderungen, Handlungsfelder, Lösungsstrategien am Donnerstag, 4. Mai 2023, 09:30 – 12:30 Uhr mit den Referenten Dr. Patrik Buchmüller Christian Ehrhardt und Ioannis Giousmas (Commerzbank AG) Alle Infos und Anmeldung hier: Sandra Schmolz, Managing Consultant im Bereich Risiko und Regulatorik bei RFC Professionals, Oestrich-Winkel. https://www.bv-events.de/event/umsetzungsprojekt-doraneue-anforderungen-handlungsfelder-loesungsstrategien-1-1 02 | 2023 65