1 Allgemeines
Tools, Methoden, Prozesse und Richtlinien
Die Delegierte Verordnung (EU) 2024/1774 [1] ergänzt den sog. „Digital Operational Resilience Act-2022/2554” (DORA-Verordnung) [2] durch technische Regulierungsstandards (RTS). DORA enthält Vorgaben für die Resilienz von IKT (Informations- und Kommunikationstechnik) -Systemen für verschiedene Arten von Finanzunternehmen, wie beispielsweise für Kreditinstitute (Banken) und Versicherungsunternehmen sowie für deren IKT-Dienstleister (Näheres zu DORA vgl. Kap. 02171).
Die Delegierte Verordnung (EU) 2024/1774 [1] ergänzt den sog. „Digital Operational Resilience Act-2022/2554” (DORA-Verordnung) [2] durch technische Regulierungsstandards (RTS). DORA enthält Vorgaben für die Resilienz von IKT (Informations- und Kommunikationstechnik) -Systemen für verschiedene Arten von Finanzunternehmen, wie beispielsweise für Kreditinstitute (Banken) und Versicherungsunternehmen sowie für deren IKT-Dienstleister (Näheres zu DORA vgl. Kap. 02171).
Die delegierte Verordnung konkretisiert somit DORA und legt konkret die Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie einen vereinfachten IKT-Risikomanagementrahmen fest. Damit schafft sie einen einheitlichen Rahmen für Finanzunternehmen in der EU zur Umsetzung der digitalen Resilienzanforderungen. Das Ziel der Verordnung ist es, die digitale Widerstandsfähigkeit der Finanzunternehmen gegenüber IKT-bezogenen Störungen, Sicherheitsvorfällen und Cyberangriffen zu stärken. Dies soll gewährleisten, dass kritische Funktionen auch unter widrigen technologischen Bedingungen aufrechterhalten werden können. Gleichzeitig wird angestrebt, regulatorische Fragmentierung zu vermeiden und einen kohärenten europäischen Mindeststandard zu etablieren. Die Delegierte Verordnung folgt einem risikobasierten Ansatz, der sich an Größe, Komplexität und Risikolage der Institute orientiert. Für weniger komplexe Institute bzw. weniger umfangreiche Datenverarbeitungen, ist ein vereinfachter Rahmen vorgesehen, der eine verhältnismäßige Umsetzung ermöglicht. Die Anforderungen der Delegierten Verordnung stehen im Einklang mit internationalen Standards wie ISO/IEC 27001 und ISO/IEC 27005, und fördern deren Integration in die unternehmensinterne IKT-Governance. Sie verpflichten die Institute zur Einrichtung eines internen Kontrollrahmens, klarer Verantwortlichkeitszuweisungen und regelmäßiger Überprüfung der Wirksamkeit der IKT-Risikomanagementmaßnahmen.
Anwendungsbereich
Die Verordnung als Ausgestaltung von DORA richtet sich primär an Finanzunternehmen, wie etwa Kreditinstitute (Banken), Zahlungsinstitute, Wertpapierfirmen sowie Versicherungs- und Rückversicherungsunternehmen. Darüber hinaus fallen unter DORA gem. Artikel 2 aber auch Kontoinformationsdienstleister, E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister und Verbriefungsregister. Somit werden weitaus mehr Bereiche von DORA und damit auch der Delegierten Verordnung erfasst, als man das auf den ersten Blick annehmen würde.
Die Verordnung als Ausgestaltung von DORA richtet sich primär an Finanzunternehmen, wie etwa Kreditinstitute (Banken), Zahlungsinstitute, Wertpapierfirmen sowie Versicherungs- und Rückversicherungsunternehmen. Darüber hinaus fallen unter DORA gem. Artikel 2 aber auch Kontoinformationsdienstleister, E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister und Verbriefungsregister. Somit werden weitaus mehr Bereiche von DORA und damit auch der Delegierten Verordnung erfasst, als man das auf den ersten Blick annehmen würde.
Die delegierte Verordnung gestattet die Nutzung bestehender Dokumentationen zur Erfüllung der Anforderungen und berücksichtigt die Proportionalität in Bezug auf Größe, Struktur und Risikoprofil der betroffenen Unternehmen.
Regelungsinhalt
Die Delegierte Verordnung (EU) 2024/1774 umfasst vier zentrale Kernbereiche: Sie fordert eine klare Governance und Kontrolle durch ein internes Rahmenwerk zur Steuerung von IKT-Risiken sowie die Verantwortung des Leitungsorgans für Strategie und Budget. Der IKT-Risikomanagementprozess deckt die Phasen Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung und Kommunikation ab. Für kleine und weniger komplexe Institute bietet die Verordnung einen vereinfachten, proportionalen Rahmen, um eine verhältnismäßige Umsetzung zu ermöglichen. Zudem schreibt sie umfassende Dokumentationspflichten vor, erlaubt dabei jedoch die Nutzung bereits vorhandener Unterlagen zur Nachweisführung, um Aufwand zu reduzieren.
Die Delegierte Verordnung (EU) 2024/1774 umfasst vier zentrale Kernbereiche: Sie fordert eine klare Governance und Kontrolle durch ein internes Rahmenwerk zur Steuerung von IKT-Risiken sowie die Verantwortung des Leitungsorgans für Strategie und Budget. Der IKT-Risikomanagementprozess deckt die Phasen Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung und Kommunikation ab. Für kleine und weniger komplexe Institute bietet die Verordnung einen vereinfachten, proportionalen Rahmen, um eine verhältnismäßige Umsetzung zu ermöglichen. Zudem schreibt sie umfassende Dokumentationspflichten vor, erlaubt dabei jedoch die Nutzung bereits vorhandener Unterlagen zur Nachweisführung, um Aufwand zu reduzieren.
2 Eckpunkte zum Inhalt
Art. 1-3Allgemeine Vorschriften
(Definitionen, Anwendungsbereich und Grundsätze des IKT-Risikomanagements)
Die Artikel 1 bis 3 legen die grundlegenden Voraussetzungen für das IKT-Risikomanagement im Finanzsektor fest.
Artikel 1 schreibt vor, dass das Risikomanagement unter Berücksichtigung der Unternehmensgröße, des Risikoprofils, des Dienstleistungsangebots sowie der Komplexität des Instituts auszurichten ist.
Artikel 2 definiert die wesentlichen Anforderungen an Verfahren, Werkzeuge und Maßnahmen zur Gewährleistung der IKT-Sicherheit über sämtliche Phasen des Risikomanagements hinweg, einschließlich der Identifikation, des Schutzes, der Erkennung, der Reaktion sowie der Wiederherstellung.
Artikel 3 regelt den Anwendungsbereich der Verordnung und verankert dabei die Grundsätze der Verhältnismäßigkeit und der risikoorientierten Ausgestaltung, wobei für kleine und weniger komplexe Institute die Anwendung eines vereinfachten Rahmens vorgesehen ist.
Art. 4-5Management von IKT-Assets
(Konkretisierung der Anforderungen an das Management von IKT-Assets im Rahmen des IKT-Risikomanagements gemäß DORA)
Artikel 4 verpflichtet Unternehmen zur Einführung einer dokumentierten Richtlinie für das Management von IKT-Assets. Diese muss Verfahren zur Identifikation, Klassifikation, Überwachung und Stilllegung digitaler Ressourcen enthalten und in die übergeordnete IKT-Sicherheitsstrategie eingebettet sein.