Konkretisierung des DORA durch technische Durchführungs- und Implementierungsstandards: Ein Ausblick

Der Digital Operational Resilience Act (DORA) – eine Verordnung der Europäischen Kommission mit dem Ziel, die Cyber Resilienz in der europäischen Finanzindustrie zu stärken – ist seit dem 16. Januar 2023 in Kraft.
Obwohl die betroffenen Institutionen die Anforderungen des DORA bis zum Januar 2025 umsetzen müssen und zahlreiche Harmonisierungsprojekte bereits geplant werden, sind noch nicht alle dieser Anforderungen konkret festgelegt. Dies erfolgt erst im Rahmen von technischen Durchführungs- und Implementierungsstandards (RTS und ITS). In den RTS/ITSs werden insbesondere Anforderungen aus Kapiteln zum IKT-Risikomanagement, zur Meldung von IKT-bezogenen Vorfällen, zur Prüfung der digitalen Betriebsstabilität oder zum Risiko durch IKT-Drittanbieter konkretisiert. Diese Konkretisierungen umfassen zentrale Anforderungen wie zum Beispiel den vereinfachten IKT-Risikomanagementrahmen, die notwendigen Inhalte bei der Meldung von Vorfällen und die Anforderungen für erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von bedrohungsorientierten Penetrationstests.
Im Rahmen des Vortrags wird (a) ein Rückblick auf die vom DORA betroffenen Branchen und die zentralen Anforderungen gegeben; (b) die in den RTS/ITS zu konkretisierenden Anforderungen dargestellt; (c) schon vorhandene Entwürfe aus der öffentlichen Konsultationsfassung kommentiert und mögliche Konsequenzen für die Umsetzung sowie für weitere Vorgaben im Finanz- und Versicherungswesen diskutiert; und (d) ein Ausblick auf die noch ausstehenden RTS/ITS gegeben.

Lernziele

• Einordnen der Anforderungen des DORA im Kontext des eigenen Unternehmens,
• Verständnis des Lösungsraums für Umsetzungen in Harmonisierungsprojekten auf Basis der noch zu konkretisierenden Anforderungen und
• Kenntnis über den schon bekannten Stand der Konsultation von ITS/RTS