Übergreifende EU-Regelungen zu IKT-Risiken in Finanzsystemen stehen vor der Tür. DORA & Co. betreffen nahezu alle Akteure des Markts. Finanzunternehmen müssen jetzt aktiv werden.
Die EU plant einheitliche, sektorübergreifende Regelungen für das Management und die Minderung der IKT-Risiken bei Banken, Versicherungen, Zahlungsdienstleistern und weiteren Akteuren des Finanzsektors. Mithilfe von DORA (Digital Operational Resilience Act) strebt die Union an, die bisherigen nationalen Regelungen zu konsolidieren. Denn die bestehenden nationalen Regelungen zum Umgang mit IKT-Risiken im Finanzsektor sind uneinheitlich. Selbst zu grundlegenden Anforderungen existieren von Land zu Land unterschiedliche Vorschriften. Auch sind die Aufsichtsbehörden nicht überall mit den gleichen Befugnissen ausgestattet.
Angesichts der fortschreitenden Digitalisierung der Gesellschaft und der wachsenden Verknüpfung vieler Dienstleistungen mit der IKT will die Kommission den derzeitigen regulatorischen Flickenteppich nicht länger hinnehmen. Grundsätzliche Ziele sind:
Im Entwurf von DORA sind sechs Handlungsfelder vorgesehen, die nahezu die gesamte Bandbreite des IKT-Risikomanagements abdecken und entsprechenden Anpassungsaufwand auf Seiten der Finanzdienstleister nach sich ziehen:
Die Richtlinie Digital Operational Resilience Act fokussiert sechs betriebliche Arbeitsfelder
Die Themenbereiche mit den meisten Änderungen dürften nach derzeitigem Stand die IKT-Risiken Dritter und die Belastbarkeitstests darstellen. So sind für das Outsourcing in Zukunft eine Betrachtung des Konzentrationsrisikos bei Drittanbietern, eine Identifizierung und spezielle Beaufsichtigung der mit kritischen Funktionen befassten Partner und eine geänderte Vertragsgestaltung notwendig. Die Durchgriffsrechte der Aufsichtsbehörden auf Drittanbieter wachsen erheblich, bis hin zum Recht, die Kündigung von Verträgen anzuordnen.
Bei den Penetrations- und Belastungstests ist eine Steigerung der Testfrequenz zu erwarten, aber auch die Qualität rückt stärker in den Fokus. Es soll ein Rahmenwerk zu den Anforderungen an Penetrationstests sowie den Qualifikationen der Tester entstehen.
DORA soll nach der Verabschiedung durch die Auslegungen der EU-Aufsichtsbehörden zu den einzelnen Bereichen des Finanzsektors sowie durch die nationale Auslegung einzelner Bausteine seitens der Aufsichtsbehörden der Mitgliedsstaaten präzisiert und ergänzt werden. Der zeitliche Vorlauf für die Marktteilnehmer dürfte gering ausfallen. Es ist zu erwarten, dass DORA im Laufe des ersten Halbjahrs 2022 in Kraft tritt und die sekundäre Gesetzgebung unmittelbar folgt.
Die PPI AG hat die Regelungen aus DORA in einem Expert Summary zusammengefasst. Leser erhalten einen kompakten Überblick über die künftig vorgesehenen Standards und Maßnahmen zur Stärkung der digitalen operativen Resilienz.
PPI kann Sie bei den anstehenden Herausforderungen vielfältig unterstützen:
Füllen Sie das nachfolgende Formular aus und Sie erhalten umgehend den Downloadlink zu unserem Expert Summary „Legislativvorschläge zur Betriebsstabilität digitaler Systeme: DORA“.
Tim Glenewinkel
Manager
+49 151 17601697
Tim.Glenewinkel(at)ppi.de
Jan-Paul Neder
Manager
+49 151 74373850
jan-paul.neder(at)ppi.de
