DORA: Schätzung der Bruttokosten und Bruttoverluste. Worauf es bei deren Ermittlung ankommt.

von Alexander Klug und Sascha Peindl

Im Rahmen der Digital Operational Resilience Act (DORA) Verordnung müssen Finanzinstitutionen auf Anfrage der zuständigen Behörden ihre jährlichen aggregierten Kosten und Verluste, welche sich auf schwerwiegende IKT-bezogene Vorfälle zurückführen lassen, schätzen und übermitteln. Dieser Artikel beschäftigt sich mit den Fragen WIE diese Abschätzung erfolgt und WELCHE Kosten und Verluste berücksichtigt werden müssen.

Am 17. Januar 2025 tritt die DORA-Verordnung in Kraft. Mit der zweiten Tranche an finalen Entwürfen wurde unter anderem eine Richtlinie zur Schätzung der Kosten und Verluste von den europäischen Aufsichtsbehörden (EIOPA, ESMA und EBA – die ESAs) veröffentlicht. Gemäß dieser Richtlinie sind Finanzinstitute dazu verpflichtet, die aggregierten jährlichen Kosten und Verluste in Bezug auf schwerwiegende IKT-bezogene Vorfälle abzuschätzen und diese Schätzung auf Anfrage an die zuständigen Behörden zu übermitteln.

Referenzjahr und Ablauf der Schätzung

Die Kosten und Verluste beziehen sich hierbei auf ein vom Finanzinstitut gewähltes Referenzjahr. Dieses entspricht entweder dem abgeschlossenen Kalenderjahr oder dem abgeschlossenen Rechnungsjahr. Ein Wechsel des Referenzjahres ist durch eine entsprechende Meldung an die zuständige Behörde möglich, jedoch unter der Prämisse, dass die Behörde dieser Änderung nicht innerhalb von zwei Monaten widerspricht. Die Schätzung umfasst alle schwerwiegenden IKT-bezogenen Vorfälle unabhängig davon warum diese als schwerwiegend klassifiziert wurden. Hierzu zählen alle Vorfälle, für welche ein Abschlussbericht im Referenzjahr eingereicht wurde, sowie all jene Vorfälle, für welche in den Vorjahren ein Abschlussbericht eingereicht wurde und diese Vorfälle einen finanziellen Einfluss auf das Referenzjahr haben.

Wie in Abbildung 1 dargestellt, umfasst die Schätzung drei Schritte:

  1. Schätzung der Kosten und Verluste jedes schwerwiegenden Vorfalls, wobei hier zwischen direkten und indirekten Kosten und Verlusten zu unterscheiden ist.
  2. Schätzung der finanziellen Rückflüsse, welche unabhängig und zeitlich getrennt in Bezug auf den schwerwiegenden IKT-bezogenen Vorfall zufließen.
  3. Konsolidierung der Ergebnisse aus Punkt 1 und 2 über alle schwerwiegenden Vorfälle hinweg.

Die Basis der Berechnung liefern die Kosten, Verluste und finanziellen Rückflüsse aus den Bestandteilen des Jahresabschlusses wie beispielsweise der GuV des Referenzjahres oder gegebenenfalls aufsichtsrechtlichen Berichten. Hierbei sollen auch ausgewiesene Rückstellungen mitberücksichtigt werden. Im Falle, dass aufgrund ungenauer Daten keine konkreten Schätzungen vorgenommen werden können, sollen Finanzinstitute ihre jeweiligen Schätzungen so weit wie möglich auf andere verfügbare Daten und Informationen stützen. Zusätzlich sollen dazu Anpassungen von Kosten und Verluste einer Schätzung, welche für ein vorangegangenes Jahr vorgelegt wurde, in die Schätzung des Referenzjahres einfließen, in welchem die Anpassungen vorgenommen wurden. Für die korrekte Übermittlung der Schätzung liefern die europäischen Aufsichtsbehörden eine geeignete Vorlage, wie in Tabelle 1 dargestellt1.

In die Schätzung einfließende direkte und indirekte Kosten und Verluste sowie finanzielle Rückflüsse

Um die Schätzung, wie in Abbildung 1 gezeigt, in geeigneter Form durchführen zu können, listen die europäischen Aufsichtsbehörden alle Kosten, welche in die Schätzung einfließen auf. Tabelle 2 stellt diese Kosten und Verluste in tabellarischer Form da. Diese sollen aber nicht jene Kosten enthalten, welche zur Führung der Geschäftstätigkeiten benötigt werden (siehe Tabelle 3).

Die finanziellen Rückflüsse umfassen wiederum alle, von Erst- oder Drittparteien erhaltenen Zuflüsse und Mittel, welche unabhängig und zeitlich getrennt vom ursprünglichen Verlust, verursacht durch einen schwerwiegenden IKT-bezogenen Vorfall, empfangen wurden. Zusätzlich zu den aggregierten Kosten und Verlusten, soll ebenfalls eine Aufschlüsselung der Bruttokosten und -verluste sowie finanzielle Rückflüsse für jeden Vorfall, der in die Aggregation eingeflossen ist, im Bericht enthalten sein.

Wir bei Nagler & Company arbeiten seit Jahren für Banken, Versicherungen und Vermögensverwalter. Unsere Projekterfahrung reicht von der Automation über die Optimierung von Datenbanken und Schnittstellen bis hin zur Prozessgestaltung sowie der fachlichen Unterstützung in übergreifenden Projekttätigkeiten. Wenn wir Sie als verlässlicher Partner bei Ihrem Projekt unterstützen können, oder Sie weitere Fragen zu diesem oder verwandten Themen haben, freuen wir uns auf Ihre Kontaktaufnahme.


Literaturverzeichnis

1https://www.eiopa.europa.eu/document/download/d0d65117-2a8d-46db-bfe2-12acf9816bc9_en?filename=JC%202024-34%20-%20Final%20report%20GL%20on%20costs%20and%20losses.pdf


 

DORA: Artikelreihe

Die zweite Tranche ist veröffentlicht. Was die finalen Entwürfe bereithalten.
Weiterlesen >>>

Meldung von IKT-bezogenen Vorfällen. Herausforderungen im Detail.
Weiterlesen >>>

Schätzung der Bruttokosten und Bruttoverluste. Worauf es bei deren Ermittlung ankommt.
Weiterlesen >>>

Threat-Led Penetration Testing. Was bedeutet das Red Teaming für die Finanzinstitute.
Weiterlesen >>>

Alexander Klug

Alexander Klug

Sascha Peindl

Sascha Peindl

Unternehmen