Die Verordnung (EU) 2022/2554 und die Richtlinie (EU) 2022/2556 sind am 16. Januar 2023 in Kraft getreten. Die Richtlinie (EU) 2022/2556 muss bis zum 17. Januar 2025 in nationales Recht umgesetzt werden, die Verordnung (EU) 2022/2554 gilt ab dem 17. Januar 2025.
Beide Rechtsakte beziehen sich auf wesentliche Bereiche zur Stärkung der digitalen operationalen Resilienz des europäischen Finanzsektors:
- IKT-Risikomanagement einschließlich Auslagerungen
- Meldewesen zu IKT-Vorfällen und wesentlichen Cyber-Bedrohungen
- Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister
- Informationsaustausch sowie Cyber-Krisen- und Notfallübungen
- Testen der digitalen operationellen Resilienz durch Vorgaben zur Durchführung si- mulierter Angriffe auf die Informations- und Kommunikationstechnologie, sog. Penetration Testing (TLPT)
Ergänzende technische Regulierungsstandards (RTS), Implementierungsstandards (ITS) und Leitlinien werden seitens der EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), der EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und der EU-Aufsichtsbehörde für das Versicherungswesen und betrieblichen Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA) erarbeitet. Somit wird die Anwendung von DORA in mehreren Sektoren weiter konkretisiert werden.
Im Zuge der Transformation in nationales Recht hat das Bundesministerium der Finanzen einen Referentenentwurf zum Entwurf eines Gesetzes über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) am 23. Oktober 2023 veröffentlicht, welcher bis zum 13. November 2023 für Stellungnahmen und Mitteilungen gegenüber BMF offen steht. FinmadiG wird nicht nur DORA-relevante Regelungen in nationales Recht transformieren, sondern beispielsweise auch MiCAR in deutsches Recht überführen.
Insgesamt sollten die Aufsicht sowie der deutsche Finanzsektor nach Einschätzung der BaFin bereits in einer guten Startposition für die Anwendbarkeit von DORA ab 2025 sein, da einige von der BaFin geschaffene und implementierte Instrumente sich auch in DORA wiederfinden. Dies betrifft beispielsweise harmonisierte Anforderungen an das ITK-Risikomanagement für einzelne Finanzsektoren.
Zitat von der Webseite der BaFin:
„Auch die BaFin und die Deutsche Bundesbank bereiten sich auf DORA vor – insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und Implementierung von IT-Prozessen und -Systemen im Rahmen von DORA. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.“
Quellenangabe des Zitats: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Wir verfolgen die Entwicklung mit Interesse weiter.
Die Inhalte dieses Beitrages wurden mit angemessener Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte übernehmen wir keine Gewähr und diese sind in keiner Weise als Angebot oder Empfehlung bestimmter Vorgehensweisen oder Beratungsinhalte zu verstehen, sondern spiegeln vielmehr die persönlichen Einschätzungen und Erkenntnisse der jeweiligen Autorin oder des jeweiligen Autors in Bezug auf die hier angeführten Sachverhalte wider. Wir bitten Sie, eine weitere Verwendung nur im Falle unserer ausdrücklichen separat zu erteilenden schriftlichen Zustimmung in Betracht zu ziehen. Kommen Sie gerne auf uns zu.