03.12.2024 | Regulatory Reporting
Wie bereits in unserem ersten Artikel1 beschrieben, erfordert die Umsetzung der DORA-Richtlinie die Meldung IKT-bezogener Vorfälle an die zuständigen Behörden. Die dedizierten Anforderungen an die Finanzinstitute wurden durch die europäischen Aufsichtsbehörden (EIOPA, ESMA und EBA – die ESAs) in den beiden Tranchen an finalen Entwürfen erläutert.
Die Klassifikation von IKT-bezogenen Vorfällen, wie in Abbildung 1 dargestellt, liefert eine mehrstufige Herangehensweise.
Betrifft der Vorfall ein kritisches System wird dieser unmittelbar als schwerwiegend eingestuft (rot), andernfalls gilt es sechs sekundäre Kriterien zu überprüfen (gelb).
Zur Bestimmung der Sekundärkriterien liefern die ESAs die Schwellenwerte wie in Abbildung 2 dargestellt. Somit ergeben sich zwei mögliche Varianten:
Die Berichterstattung an die zuständigen Behörden erfolgt nach Maßgabe der in Abbildung 3 dargestellten zeitlichen Richtwerte. Den ersten Bericht bildet die initiale Benachrichtigung über einen IKT-bezogenen Vorfall. Im weiteren Verlauf der Untersuchung folgen Zwischenberichte, welche spätestens 72 Stunden nach Übermittlung des ersten Berichts und ab dann laufend in aktualisierter Form übermittelt werden müssen. Den Ausklang bildet der Abschlussbericht. Einfache Cyberbedrohungen können auf freiwilliger Basis den zuständigen Behörden gemeldet werden.
Der Inhalt der Berichte ist durch die technischen Regulierungs- und Durchführungsstandards (RTS und ITS) der europäischen Aufsichtsbehörden vorgegeben. Die Inhalte reichen von generellen Informationen des Finanzinstituts über Daten bezüglich des Zeitpunktes der Erkennung des Vorfalls und den Zahlen zu den im Klassifizierungsschema enthaltenen Kriterien bis hin zum Zeitpunkt, an dem der Vorfall gelöst wurde. Tabelle 1 zeigt die im Zuge der Meldung eines IKT-bezogenen Vorfalls notwendigen allgemeinen Informationen zum Finanzinstitut. Tabelle 2, Tabelle 3 und Tabelle 4 zeigen die geforderten Informationen der jeweiligen Berichte. Zusätzlich enthalten die Tabellen weitere Informationen zum Format eines jeden in den Berichten enthaltenen Feldes. Eine detaillierte Darstellung kann aus Annex I und II der technischen Regulierungs- und Durchführungsstandards2 entnommen werden. Tabelle 5 zeigt den Inhalt sowie das Format der Informationen für die freiwillige Meldung von Cyberbedrohungen. Detailliertere Darstellungen können aus Annex III und IV der technischen Regulierungs- und Durchführungsstandards2 entnommen werden.
Durch die klaren Vorgaben an die Klassifizierung sowie den Inhalten der einzelnen Berichte, bietet sich die Möglichkeit automationsgestützte System zu implementieren, um so die vorgegebenen Richtlinien zeitgerecht einzuhalten und die Berichterstellung und Übermittlung möglichst ressourcenschonend durchzuführen. Systeme wie Robotic Process Automation (RPA) ermöglichen es repetitive Tätigkeiten zu minimieren und so den notwendigen Fokus auf die Untersuchung und Behebung des schwerwiegenden IKT-bezogenen Vorfalls zu legen. Somit kann eine rasche Wiederaufnahme der Geschäftstätigkeit erreicht werden. Abbildung 4: Beispielhafte Darstellung einer Automatisierung zeigt ein solches Vorgehen bespielhaft.
Wir bei Nagler & Company arbeiten seit Jahren für Banken, Versicherungen und Vermögensverwalter. Unsere Projekterfahrung reicht von der Automatisierung über die Optimierung von Datenbanken und Schnittstellen bis hin zur Prozessgestaltung sowie der fachlichen Unterstützung in übergreifenden Projekttätigkeiten. Wenn wir Sie als verlässlicher Partner bei Ihrem Projekt unterstützen können, oder Sie weitere Fragen zu diesem oder verwandten Themen haben, freuen wir uns auf Ihre Kontaktaufnahme.
1https://www.nagler-company.com/de/expertise/artikel/dora-die-zweite-tranche-ist-veroeffentlicht-was-die-finalen-entwuerfe-bereithalten.html
2 https://www.eiopa.europa.eu/document/download/0dfbccfd-97b2-4076-9644-b5cf4566fc6f_en?filename=JC%202024-33%20-%20Final%20report%20on%20the%20draft%20RTS%20and%20ITS%20on%20incident%20reporting.pdf
3 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554&from=FR
Die zweite Tranche ist veröffentlicht. Was die finalen Entwürfe bereithalten.
Weiterlesen >>>
Meldung von IKT-bezogenen Vorfällen. Herausforderungen im Detail.
Weiterlesen >>>
Schätzung der Bruttokosten und Bruttoverluste. Worauf es bei deren Ermittlung ankommt.
Weiterlesen >>>
Threat-Led Penetration Testing. Was bedeutet das Red Teaming für die Finanzinstitute.
Weiterlesen >>>