24.09.2024 | Regulatory Reporting Know-how Letter
Mit 17. Januar 2025 findet die EU-Verordnung 2022/2554, DORA, Anwendung. Nach der Veröffentlichung der ersten Entwürfe Anfang dieses Jahres liefert die zweite Tranche an Entwürfen nun Informationen zu den folgenden Punkten:
für Meldungen von schwerwiegenden Informations- und Kommunikationstechnologie (IKT) bezogenen Vorfällen
der jährlichen Gesamtkosten und -verluste verursacht durch schwerwiegende IKT-bezogene Vorfälle
von IKT-Tools, Systemen und Prozessen mittels Threat-Led Penetration Testing (TLPT)
Etwaige Anmerkungen und detaillierte Ausführungen der nationalen Aufsichtsbehörden (BaFin, FMA, …) werden in Anlehnung an die Veröffentlichungen der ESAs erwartet. Der zeitliche Horizont für die Entwicklung und Implementierung erfordert eine Fokussierung auf noch offene Punkte, um den DORA Zeitplan3 (siehe Abbildung 1) fristgerecht einhalten zu können.
Schwerwiegende IKT-bezogene Vorfälle sind direkt an die zuständigen Behörden zu melden. Ausschlaggebend sind die Kriterien zur Klassifizierung eines IKT-bezogenen Vorfalls. Diese wurden bereits in der ersten Tranche definiert und beinhalten die folgenden Differenzierungen:
Neu in der Tranche 2 werden zeitliche Komponenten für die Übermittlung von relevanten Vorfällen vorgegeben. Abbildung 2 zeigt, wann die einzelnen Berichte zu erfolgen haben.1
Um die Einheitlichkeit und Verständlichkeit der einzelnen Berichte aufrechtzuerhalten, wurde der konkrete Inhalt sowie entsprechende Vorlagen von den europäischen Aufsichtsbehörden festgelegt.
Auf Anfrage der zuständigen Behörden müssen Finanzinstitute eine Schätzung über die aggregierten jährlichen Kosten und Verluste, verursacht durch schwerwiegende IKT-bezogene Vorfälle, innerhalb des angeforderten Referenzjahres liefern. Dieses Referenzjahr kann hierbei vom jeweiligen Finanzinstitut festgelegt werden. Das Referenzjahr kann somit dem abgeschlossenen Kalenderjahr oder dem abgeschlossenen Rechnungsjahr entsprechen. Zur Abschätzung der Kosten und Verluste, wurden von den europäischen Aufsichtsbehörden, die nachfolgenden Schritte definiert:
Die Basis der Berechnung liefern hier die Kosten, Verluste und finanziellen Rückflüsse aus den Bestandteilen des Jahresabschlusses, wie beispielsweise die GuV des Referenzjahres. Für die Übermittlung dieser Schätzung bei der jeweiligen zuständigen Behörde liefern die europäischen Aufsichtsbehörden eine entsprechende Vorlage.
Um die IKT-Tools, Systeme und Prozesse, welche rund um das DORA-konforme IKT-Risikomanagement eingesetzt oder neu eingeführt werden, ordnungsgemäß zu testen, liefern die neuesten Entwürfe Standards auf der Grundlage von Threat-Led Penetration Testing (TLPT) in Übereinstimmung mit dem TIBER-EU-Rahmen. TIBER-EU ist ein Rahmenwerk zum Testen und zur Verbesserung der Cyber Resilienz verschiedener Organisationen durch die Durchführung kontrollierter Cyberangriffe. Während Tests auf Basis des TIBER-EU Rahmens auf freiwilliger Basis durchgeführt werden können, ist TLPT im Zuge von DORA für ausgewählte Finanzinstitute verpflichtend. Wie der TIBER-EU Rahmen, basiert TLPT ebenso auf der Nachbildung der Taktiken, Techniken und Verfahren realer Akteure (Red Team Test), um so die Auswirkungen auf kritische Systeme von Finanzinstituten zu ermitteln.
Die Hauptunterschiede zwischen TLPT und dem TIBER-EURahmen lassen sich wie folgt darstellen:
Durch DORA sieht die BaFin das Rahmenwerk von TIBER-DE als nunmehr verpflichtend an.3 Eine Anpassung für TIBER-EU sowie der nationalen Umsetzungen (TIBER-AT) wurde bereits von der EIOPA3 als auch der FMA5 angekündigt und wird voraussichtlich bis Ende des Jahres erfolgen. Ziel ist es, eine Angleichung an die TLPT-Anwendungen umzusetzen. Die verschiedenen am TLPT beteiligten Personen und Teams sowie der Ablauf können den RTS3 entnommen werden.
Um Details hinter der Meldung von schwerwiegenden IKTbezogenen Vorfällen, der Schätzung der Kosten und Verluste, verursacht von diesen Vorfällen, sowie zu TLPT genauer zu beleuchten, werden wir in den nächsten Wochen jeweils einen eigenständigen Artikel veröffentlichen.
Dies erfolgt anhand der angesprochenen technischen Regulierungs- und Durchführungsstandards, um Ihnen ein möglichst genaues Bild der Anforderungen liefern zu können.
Neben den zuvor genannten Punkten schreibt DORA auch die Aufstellung eines Informationsregisters für IKT-Drittanbieter vor. Um die Finanzinstitute bestmöglich bei der Umsetzung aller DORA-Vorgaben zu unterstützen, führen die europäischen Aufsichtsbehörden einen „Dry Run“ durch. Finanzinstitute konnten auf freiwilliger Basis ein Informationsregister anhand der bereitgestellten Vorlagen einreichen und erhalten im Zuge des „Dry Runs“ Feedback hinsichtlich der Datenqualität von den europäischen Aufsichtsbehörden. Zum Abschluss im Dezember 2024 soll ein entsprechender Bericht zur Datenqualität veröffentlicht werden.
Wir bei Nagler & Company arbeiten seit Jahren für Banken, Versicherungen und Vermögensverwalter. Unsere Projekterfahrung reicht von der Automation über die Optimierung von Datenbanken und Schnittstellen bis hin zur Prozessgestaltung sowie der fachlichen Unterstützung in übergreifenden Projekttätigkeiten.
Wenn wir Sie als verlässlicher Partner bei Ihrem Projekt unterstützen können, oder Sie weitere Fragen zu diesem oder verwandten Themen haben, freuen wir uns auf Ihre Kontaktaufnahme.
1https://www.eiopa.europa.eu/document/download/0dfbccfd-97b2-4076-9644-b5cf4566fc6f_en?filename=JC%202024-33%20-%20Final%20 report%20on%20the%20draft%20RTS%20and%20ITS%20on%20 incident%20reporting.pdf
2https://www.eiopa.europa.eu/document/download/9f9d0023-6667-4985-a7fd-b7b3d9f6e0d9_en?filename=JC%202024-29%20-%20Final%20 report_DORA%20RTS%20on%20TLPT.pdf
3https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
4 https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2024/fa_bj_2402_DORA.html
5https://www.fma.gv.at/tiber-at/