DORA, die zweite Tranche ist veröffentlicht. Was die finalen Entwürfe bereithalten.

von Alexander Klug und Sascha Peindl

Die zweite Konsultationsphase ist beendet, und am 17. Juli 2024 wurden nun die finalen technischen Regulierungs-(RTS) und Durchführungsstandards (ITS) sowie Richtlinien der noch ausstehenden Entwürfe veröffentlicht. Dieser Artikel liefert eine Übersicht über die notwendigen Schritte, um für die Anwendung des Digital Operational Resilience Act (DORA) gewappnet zu sein.

Mit 17. Januar 2025 findet die EU-Verordnung 2022/2554, DORA, Anwendung. Nach der Veröffentlichung der ersten Entwürfe Anfang dieses Jahres liefert die zweite Tranche an Entwürfen nun Informationen zu den folgenden Punkten:

1. Zeitliche Richtwerte

für Meldungen von schwerwiegenden Informations- und Kommunikationstechnologie (IKT) bezogenen Vorfällen

2. Schätzung

der jährlichen Gesamtkosten und -verluste verursacht durch schwerwiegende IKT-bezogene Vorfälle

3. Testen

von IKT-Tools, Systemen und Prozessen mittels Threat-Led Penetration Testing (TLPT)

Etwaige Anmerkungen und detaillierte Ausführungen der nationalen Aufsichtsbehörden (BaFin, FMA, …) werden in Anlehnung an die Veröffentlichungen der ESAs erwartet. Der zeitliche Horizont für die Entwicklung und Implementierung erfordert eine Fokussierung auf noch offene Punkte, um den DORA Zeitplan3 (siehe Abbildung 1) fristgerecht einhalten zu können.

Meldungen von schwerwiegenden IKT-bezogenen Vorfällen

Schwerwiegende IKT-bezogene Vorfälle sind direkt an die zuständigen Behörden zu melden. Ausschlaggebend sind die Kriterien zur Klassifizierung eines IKT-bezogenen Vorfalls. Diese wurden bereits in der ersten Tranche definiert und beinhalten die folgenden Differenzierungen:

  • System (kritisch oder unkritisch)
  • Kunden, finanzielle Gegenparteien und Transaktionen
  • Datenverlust
  • Auswirkungen auf den Ruf
  • Dauer des Vorfalls und Ausfallzeit des Services
  • Geografische Verteilung
  • Wirtschaftliche Auswirkungen

Neu in der Tranche 2 werden zeitliche Komponenten für die Übermittlung von relevanten Vorfällen vorgegeben. Abbildung 2 zeigt, wann die einzelnen Berichte zu erfolgen haben.1

Um die Einheitlichkeit und Verständlichkeit der einzelnen Berichte aufrechtzuerhalten, wurde der konkrete Inhalt sowie entsprechende Vorlagen von den europäischen Aufsichtsbehörden festgelegt.

Schätzung der Bruttokosten und -verluste

Auf Anfrage der zuständigen Behörden müssen Finanzinstitute eine Schätzung über die aggregierten jährlichen Kosten und Verluste, verursacht durch schwerwiegende IKT-bezogene Vorfälle, innerhalb des angeforderten Referenzjahres liefern. Dieses Referenzjahr kann hierbei vom jeweiligen Finanzinstitut festgelegt werden. Das Referenzjahr kann somit dem abgeschlossenen Kalenderjahr oder dem abgeschlossenen Rechnungsjahr entsprechen. Zur Abschätzung der Kosten und Verluste, wurden von den europäischen Aufsichtsbehörden, die nachfolgenden Schritte definiert:

  • a. Schätzung der Kosten und Verluste jedes schwerwiegenden Vorfalls. Dabei ist zwischen direkten und indirekten Kosten und Verlusten zu unterscheiden.
  • b. Schätzung von finanziellen Rückflüssen, welche unabhängig und zeitlich getrennt in Bezug auf den schwerwiegenden IKT-bezogenen Vorfall zufließen.
  • c. Konsolidierung der Ergebnisse aus den Punkten 1 und 2 für alle schwerwiegenden IKT-bezogenen Vorfälle.

Die Basis der Berechnung liefern hier die Kosten, Verluste und finanziellen Rückflüsse aus den Bestandteilen des Jahresabschlusses, wie beispielsweise die GuV des Referenzjahres. Für die Übermittlung dieser Schätzung bei der jeweiligen zuständigen Behörde liefern die europäischen Aufsichtsbehörden eine entsprechende Vorlage.

Threat-Led Penetration Testing

Um die IKT-Tools, Systeme und Prozesse, welche rund um das DORA-konforme IKT-Risikomanagement eingesetzt oder neu eingeführt werden, ordnungsgemäß zu testen, liefern die neuesten Entwürfe Standards auf der Grundlage von Threat-Led Penetration Testing (TLPT) in Übereinstimmung mit dem TIBER-EU-Rahmen. TIBER-EU ist ein Rahmenwerk zum Testen und zur Verbesserung der Cyber Resilienz verschiedener Organisationen durch die Durchführung kontrollierter Cyberangriffe. Während Tests auf Basis des TIBER-EU Rahmens auf freiwilliger Basis durchgeführt werden können, ist TLPT im Zuge von DORA für ausgewählte Finanzinstitute verpflichtend. Wie der TIBER-EU Rahmen, basiert TLPT ebenso auf der Nachbildung der Taktiken, Techniken und Verfahren realer Akteure (Red Team Test), um so die Auswirkungen auf kritische Systeme von Finanzinstituten zu ermitteln.

Die Hauptunterschiede zwischen TLPT und dem TIBER-EURahmen lassen sich wie folgt darstellen:

  • Im Zuge von TLPT kann nicht nur eine national zuständige Behörde für alle zugehörigen Aufgaben verantwortlich sein, sondern einzelne Aufgaben können von unterschiedlichen Behörden übernommen werden.
  • Einzelne Finanzinstitute fallen in die Zuständigkeiten europaweiter Behörden, wie Kreditrating-Agenturen in die der ESMA oder als bedeutsam gewertete Kreditinstitute in jene der EBA.
  • Im Gegensatz zu TIBER-EU, welches die Verwendung von externen Testern vorschreibt, können für TLPT auch interne Tester verwendet werden.
  • Zusätzlich zu den allgemeinen Testroutinen sind für TLPT auch Kollaborations-Übungen der unterschiedlichen Akteure und Teams vorgesehen (Purple Team Übungen).

Durch DORA sieht die BaFin das Rahmenwerk von TIBER-DE als nunmehr verpflichtend an.3 Eine Anpassung für TIBER-EU sowie der nationalen Umsetzungen (TIBER-AT) wurde bereits von der EIOPA3 als auch der FMA5 angekündigt und wird voraussichtlich bis Ende des Jahres erfolgen. Ziel ist es, eine Angleichung an die TLPT-Anwendungen umzusetzen. Die verschiedenen am TLPT beteiligten Personen und Teams sowie der Ablauf können den RTS3 entnommen werden.

Um Details hinter der Meldung von schwerwiegenden IKTbezogenen Vorfällen, der Schätzung der Kosten und Verluste, verursacht von diesen Vorfällen, sowie zu TLPT genauer zu beleuchten, werden wir in den nächsten Wochen jeweils einen eigenständigen Artikel veröffentlichen.

Dies erfolgt anhand der angesprochenen technischen Regulierungs- und Durchführungsstandards, um Ihnen ein möglichst genaues Bild der Anforderungen liefern zu können.

Neben den zuvor genannten Punkten schreibt DORA auch die Aufstellung eines Informationsregisters für IKT-Drittanbieter vor. Um die Finanzinstitute bestmöglich bei der Umsetzung aller DORA-Vorgaben zu unterstützen, führen die europäischen Aufsichtsbehörden einen „Dry Run“ durch. Finanzinstitute konnten auf freiwilliger Basis ein Informationsregister anhand der bereitgestellten Vorlagen einreichen und erhalten im Zuge des „Dry Runs“ Feedback hinsichtlich der Datenqualität von den europäischen Aufsichtsbehörden. Zum Abschluss im Dezember 2024 soll ein entsprechender Bericht zur Datenqualität veröffentlicht werden.

Wir bei Nagler & Company arbeiten seit Jahren für Banken, Versicherungen und Vermögensverwalter. Unsere Projekterfahrung reicht von der Automation über die Optimierung von Datenbanken und Schnittstellen bis hin zur Prozessgestaltung sowie der fachlichen Unterstützung in übergreifenden Projekttätigkeiten.

Wenn wir Sie als verlässlicher Partner bei Ihrem Projekt unterstützen können, oder Sie weitere Fragen zu diesem oder verwandten Themen haben, freuen wir uns auf Ihre Kontaktaufnahme.

Alexander Klug

Alexander Klug

Sascha Peindl

Sascha Peindl

Unternehmen