DORA: Finale Fassungen der ausstehenden RTS-Entwürfe veröffentlicht

Weniger als ein halbes Jahr vor dem Inkrafttreten des DORA am 17. Januar 2025 sind die verbleibenden endgültigen RTS-Entwürfe im dritten Quartal veröffentlicht worden und ermöglichen die weitere Vorbereitung zur Implementierung der bald standardisierten Cybersicherheitsgesetzgebung (siehe hier für eine allgemeine Einführung in DORA und hier für einen tieferen Einblick in die Anforderungen an Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern (TPSP)).

Am 17. und 26. Juli 2024 hat der Gemeinsame Ausschuss (Joint Committee - JC) der drei Europäischen Aufsichtsbehörden (European Supervisory Authorities - ESAs) gemeinsame Berichte u.a. über die fertiggestellten Entwürfe der letzten ausstehenden technischen Regulierungsstandards (RTS) gemäß der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act - DORA) veröffentlicht. 

Diese endgültigen Entwürfe berücksichtigen die Rückmeldungen, die das JC während der Konsultationsphase, die am 4. März 2024 endete, erhalten hat. Behörden und Unternehmen waren aufgefordert, Kommentare und Antworten zu den Konsultationsentwürfen der RTS einzureichen.

Diese gemeinsamen Berichte enthalten die endgültigen Entwürfe von fünf RTS, die wichtige Präzisierungen bestimmter unter DORA festgelegter Aspekte darstellen:

• RTS zur Meldung schwerwiegender IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen;
• RTS zu Voraussetzungen für die Durchführung der Überwachungstätigkeiten;
• RTS zu Kriterien für die Festlegung der Zusammensetzung des gemeinsamen Untersuchungsteams (Joint Examination Team - JET); 
• RTS über bedrohungsorientierte Penetrationstests (Threat-led Penetration Testing - TLPT); und
• RTS über die Vergabe von Unteraufträgen.

Außerdem enthalten die gemeinsamen Berichte endgültige Entwürfe von:

• dem technischen Durchführungsstandard für die Meldung schwerwiegender IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen; und
• zwei Leitlinien (i) zur Schätzung der durch schwerwiegende IKT-Vorfälle verursachten aggregierten Kosten/Verluste und (ii) zur Zusammenarbeit der Aufsichtsbehörden, die den Aufsichtsbehörden den Weg zur Anwendung des DORA ab dem 17. Januar 2025 weisen.

Die Leitlinien wurden bereits von dem Rat der Aufseher der drei ESAs angenommen. Die endgültigen Entwürfe der technischen Standards wurden der Europäischen Kommission vorgelegt, die sie nun mit dem Ziel prüfen wird, diese Rechtsakte in den kommenden Monaten anzunehmen.

Wenn Sie in den Anwendungsbereich von DORA fallen, sollten Sie prüfen, ob diese Anforderungen auf Ihr erforderliches IKT-Risikomanagement zutreffen und ob eine weitere Umsetzung erforderlich ist, um DORA-konform zu sein. Insbesondere bietet die Veröffentlichung der endgültigen Entwürfe die Gelegenheit, anhand dieser endgültigen Entwürfe zu prüfen, ob Lücken der relevanten (vertraglichen) Implementierungen bestehen und Ihr IKT-Risikomanagement auf der Grundlage der aktualisierten Anforderungen zu aktualisieren.

Nachstehend finden Sie einen kurzen Überblick über den Inhalt der endgültigen Entwürfe der RTS sowie eine kurze Zusammenfassung der relevanten Aktualisierungen im Vergleich zu den Konsultationsentwürfen.

RTS über die Meldung schwerwiegender IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen

In diesen RTS werden unter anderem der Inhalt der Berichte und die Fristen für schwerwiegende IKT-bezogene Vorfälle und erhebliche Cyberbedrohungen festgelegt. 

Im Vergleich zum Entwurf des RTS, der am 8. Dezember 2023 im Rahmen der Konsultationsphase veröffentlicht wurde, enthält der endgültige Entwurf mehrere wichtige Änderungen, unter anderem:

• Verlängerung der Fristen für die Meldung von IKT-Vorfällen (bei der Konsultation gab es zahlreiche Rückmeldungen zu den unterschiedlichen Anforderungen der NIS2 und der DSGVO, was die Herausforderungen verdeutlicht, die sich daraus ergeben, dass sie in den Anwendungsbereich einer Vielzahl von Cybersicherheitsvorschriften fallen);
• Verringerung der Anzahl der zu meldenden Felder;
• Ermöglichung einer einzigen aggregierten Meldung von Finanzunternehmen, die von einer einzigen zuständigen Behörde beaufsichtigt werden; und
• Weitere Umsetzung des Grundsatzes der Verhältnismäßigkeit durch Reduzierung und Befreiung kleinerer Finanzunternehmen von der Meldepflicht an Wochenenden und Feiertagen.

RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten

Eines der gesetzgeberischen Ziele des DORA ist es, durch die Harmonisierung der aufsichtlichen Bedingungen europaweit gleiche Bedingungen für die Cybersicherheit zu schaffen und einen neuen Aufsichtsrahmen für die Aufsicht über kritische IKT-Drittanbieter (Critical ICT Third–Party Service Provider - CTPPs) in Europa zu schaffen.

Dieser RTS legt fest:

• die Angaben, die ein TPSP in seinem Antrag machen muss, damit ein freiwilliger Antrag als kritisch eingestuft werden kann;
• den Inhalt, die Struktur und das Format der Informationen, die der IKT-Drittdienst der federführenden Aufsichtsbehörde vorzulegen, offenzulegen oder zu melden hat, einschließlich des Musters für die Bereitstellung von Informationen über Unterauftragsvereinbarungen; und
• die Einzelheiten der Bewertung der von den CTPPs ergriffenen Maßnahmen durch die zuständigen Behörden auf der Grundlage der Empfehlungen der federführenden Aufsichtsbehörde.

Die wichtigsten Änderungen im endgültigen Entwurf beziehen sich auf folgende Punkte:

• den Umfang der Informationen, die von einem TPSP in Antrag zur Einstufung als „kritisch“ zu liefern sind;
• den entsprechenden Identifizierungscode; und
• Umfang und Inhalt der Informationen, die die CTPPs der federführenden Überwachungsbehörde vorlegen müssen, einschließlich Informationen über ihre Unterauftragsvereinbarungen und die Bewertung der Risiken durch die zuständigen Behörden, die in den Empfehlungen der federführenden Überwachungsbehörde angesprochen werden.

RTS zur Festlegung der Kriterien für die Zusammensetzung des gemeinsamen Prüfungsteams (JET)

In diesem RTS werden bestimmte Informationen, Kriterien und Einzelheiten festgelegt, die es den ESAs und den zuständigen nationalen Behörden ermöglichen sollen, die Bedingungen für die Durchführung der Aufsicht zu harmonisieren und insbesondere einen europaweiten Rahmen für die Aufsicht über die CTPPs zu schaffen.

Dazu gehören:

• die Informationen, die ein TPSP in seinem Antrag auf freiwillige Einstufung als kritisch angeben muss;
• die von den TPSP zu übermittelnden Informationen, die der federführenden Überwachungsbehörden für die Erfüllung seiner Aufgaben benötigt;
• die Kriterien für die Zusammensetzung des JET, ihre Bezeichnung, ihre Aufgaben und ihre Arbeitsbedingungen;
• die Einzelheiten der Bewertung der von den CTPP ergriffenen Maßnahmen durch die zuständigen Behörden auf der Grundlage der Empfehlungen der federführenden Überwachungsbehörde.

Der JET setzt sich aus Mitarbeitern von:

• die ESAs;
• die jeweils zuständigen Behörden, die die Finanzunternehmen beaufsichtigen, für die der CTTP IKT-Dienstleistungen erbringt; 
• die gemäß der NIS2-Richtlinie benannte oder eingerichtete nationale zuständige Behörde, die für die Beaufsichtigung eines der Richtlinie unterliegenden wesentlichen oder bedeutenden Unternehmens, das als CTPP benannt wurde, auf freiwilliger Basis zuständig ist;
• eine zuständige nationale Behörde des Mitgliedstaates, in dem die CTPP eingerichtet ist, auf freiwilliger Basis.

Das Feedback war begrenzt und konzentrierte sich auf die Klärung einzelner begrenzter Bestimmungen.

RTS über bedrohungsorientierte Penetrationstests (TLPT)

Dieser RTS spezifiziert die Kriterien für die Identifizierung von Finanzunternehmen, die TLPTs durchführen müssen, die Anforderungen und Standards für den Einsatz interner Prüfer, die Anforderungen in Bezug auf den Umfang, die Prüfmethodik und den Ansatz für jede Phase der Prüfung, die Ergebnisse, den Abschluss und die Abhilfemaßnahmen sowie die Art der aufsichtlichen und sonstigen relevanten Zusammenarbeit, die für die Durchführung des TLPT und die Erleichterung der gegenseitigen Anerkennung erforderlich ist.

Im Anschluss an den Konsultationsprozess wurden mehrere Änderungen am RTS-Entwurf vorgenommen, unter anderem:

• Eine transparentere Berechnungsmethode in Bezug auf die Kriterien und die steigenden Schwellenwerte, die für die Auswahl bestimmter Einrichtungen für die Durchführung des TLPT verwendet werden;
• Klärung von Prozessen, die eine erweiterte Zusammenarbeit zwischen den beteiligten TLPT-Behörden in gepoolten und gemeinsamen TLPTs erfordern; und
• Einführung von Flexibilität bei den Anforderungen an externe und interne Prüfer und Anbieter von Bedrohungsdaten.

RTS zur Vergabe von Unteraufträgen (veröffentlicht am 26. Juli)

Der letzte noch ausstehende endgültige Entwurf des RTS zur Vergabe von Unteraufträgen wurde am 26. Juli 2024 veröffentlicht. 

Dieser RTS legt die Elemente fest, die ein Finanzinstitut bei der Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische und wichtige Funktionen unterstützen, bestimmen und bewerten muss. Darüber hinaus werden die Informationen definiert, die der schriftliche Untervertrag enthalten muss.

Der RTS legt insbesondere fest:

• Anforderungen, wenn die Nutzung von untervergebenen IKT-Diensten, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, durch TPSPs von Finanzunternehmen erlaubt wird, und die Bedingungen für eine solche Untervergabe;
• die Verpflichtung der Finanzinstitute, die mit der Vergabe von Unteraufträgen verbundenen Risiken in der vorvertraglichen Phase zu bewerten; dazu gehört auch der Prozess der Sorgfaltsprüfung; und
• Anforderungen an die Umsetzung, Überwachung und Verwaltung vertraglicher Vereinbarungen über die Bedingungen für die Vergabe von Unteraufträgen für die Nutzung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, um sicherzustellen, dass die Finanzinstitute in der Lage sind, die gesamte IKT-Unterauftragskette für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, zu überwachen.

Der endgültige Entwurf des RTS berücksichtigt zahlreiche Rückmeldungen, die zu diesem praktisch wichtigen Thema eingegangen sind. Die Rückmeldungen bezogen sich hauptsächlich auf:

• Verhältnismäßigkeit: Hinsichtlich der Anforderungen an die Vergabe von Unteraufträgen wurde ein verhältnismäßigerer Ansatz gewählt. Es gab zahlreiche Rückmeldungen, dass die im RTS-Entwurf festgelegten Anforderungen zu aufwändig wären, wenn sie auf die gesamte Kette der IKT-Dienstleistungserbringung angewendet würden.
• Überwachung der Untervergabekette: Die Befragten schlugen vor, dass die Verantwortung für die Überwachung von IKT-Unterauftragnehmern bei den TPSP liegen sollte und daher nicht auf das Finanzunternehmen (das nicht Vertragspartei ist) übertragen werden sollte, obwohl das Finanzunternehmen im Vertrag festlegen sollte, dass der TPSP den Subunternehmer überwacht und eine angemessene Aufsicht über ihn ausübt. Obwohl die europäische Gesetzgebung unter DORA eine ausdrückliche politische Entscheidung getroffen hat, um es Finanzunternehmen zu ermöglichen, die Vorteile innovativer Lösungen zu nutzen, indem sie keine harte Grenze für die Anzahl der Ebenen in der Unterauftragskette vorschreibt, wenn IKT-Dienstleistungen, die kritische oder wichtige Dienstleistungen unterstützen, von TPSPs untervergeben werden, legt sie dennoch fest, dass das Finanzunternehmen in der Lage sein sollte, die Unterauftragskette in ihrer Gesamtheit zu überwachen.
  In Bezug auf die verhältnismäßige Anwendung dieser Anforderung wurde klargestellt, dass die Finanzinstitute sich bei der Überwachung insbesondere auf die Unterauftragnehmer konzentrieren sollen, die die Erbringung der Dienstleistung tatsächlich unterstützen.
• Auferlegung von Anforderungen an TPSPs: Der RTS legt spezifische Anforderungen an IKT-Drittdienstleister fest, darunter: eine Verantwortung des Drittdienstleisters für die Bereitstellung von Informationen an das Finanzunternehmen und Anforderungen an Audit- und Zugangsrechte. Die Befragten äußerten die Befürchtung, dass zu viele Rechte für das Finanzinstitut den Abschluss von Untervertragsvereinbarungen erschweren würden.
• Beendigung: Es wurde darauf hingewiesen, dass ein besseres Gleichgewicht zwischen der Vertragsfreiheit und dem gesetzlich verankerten Recht von Finanzinstituten den Vertrag mit dem TPSP unter bestimmten Umständen bei wesentlichen Änderungen der Unterauftragsvereinbarungen zu kündigen, gewährleistet werden sollte. Es wurde darauf hingewiesen, dass das Recht auf Einspruch gegen Änderungen der Unterauftragsvereinbarungen nicht realistisch ist, da viele Finanzinstitute nicht über die notwendige Verhandlungsmacht verfügen. Die ESAs antworteten, dass diese Kündigungsrechte gesetzlich verankert sind und daher nicht im Wege von RTS abgeschafft werden können.
• Übergangsfrist: Die Befragten schlugen vor, dass die ESAs Flexibilität in Betracht ziehen sollten, um den Marktteilnehmern ausreichend Zeit für die Erfüllung der endgültigen Anforderungen zu geben. Die ESA merkten an, dass DORA keine Übergangsfristen vorsieht und die Anforderungen von DORA daher von festgelegten Anwendungszeitpunkt an (d. h. am 17. Januar 2025) gelten werden.