DORA – Laufende Veröffentlichungen der Aufsicht

Die BaFin informiert regelmäßig zum Digital Operational Resilience Act (DORA) auf ihrer Homepage, u. a. zu den Umsetzungshinweisen. Zudem wurden am 17.07.2024 weitere finale Entwürfe der DORA-RTS/ITS veröffentlicht.

Bis zum 17.01.2025 sind die Anforderungen aus der Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz (DORA-Verordnung) im Finanzsektor umzusetzen. Um die beaufsichtigten Unternehmen bei der Umsetzung der DORA-Anforderungen zu unterstützen, informiert die BaFin laufend über aktuelle Entwicklungen im Zusammenhang mit der DORA-Verordnung, u. a. im Rahmen von Veranstaltungen, z. B. zum Informationsregister. Zudem hat die BaFin in Zusammenarbeit mit Vertretern der Finanzindustrie Umsetzungshinweise erarbeitet und am 08.07.2024 veröffentlicht.

Um den beaufsichtigten Unternehmen einen schnellen Überblick über die Veröffentlichungen und Veranstaltungen zu geben, betreibt die BaFin eine Informationsseite zu DORA auf ihrer Homepage, welche regelmäßig aktualisiert wird. Diese Informationsseite stellt einen guten Anlaufpunkt dar, um sich schnell über die aktuellen Entwicklungen zur DORA-Verordnung zu informieren, sich auf dem Laufenden zu halten und tiefer in das Thema einzusteigen und sollte deshalb entsprechend verwendet werden.

Umsetzungshinweise zu DORA

Aus dem klaren Verständnis der Aufsicht und der Finanzindustrie, dass es in Deutschland bereits eine starke Regulierung der IT im Finanzsektor gibt (u.a. über BAIT, VAIT), hat die BaFin zusammen mit Vertretern der Finanzindustrie die Auswirkungen der DORA-Verordnung auf die bestehende Regulatorik tiefergehend analysiert. Durch verschiedene themenspezifische Arbeitsgruppen (z. B. zur IT-Governance und IT-Strategie oder zum Auslagerungsmanagement) wurden die Unterschiede zwischen den DORA-Anforderungen und der bisherigen Regulatorik ausgearbeitet und im Ergebnis in Umsetzungshinweisen für den Finanzsektor festgehalten.

Diese Umsetzungshinweise wurden durch die BaFin am 08.07.2024 auf deren Homepage veröffentlicht und stellen eine gute Hilfestellung für die beaufsichtigen Unternehmen dar, um zielgerichtet die Herausforderungen zur Umsetzung der DORA-Anforderungen anzugehen. Neben den Anforderungen aus der DORA-Verordnung wurden bei der Ausarbeitung der Umsetzungshinweise auch die einschlägigen technischen Regulierungsstandards berücksichtigt. Zudem enthalten die Umsetzungshinweise eine Übersicht über die Mindestvertragsinhalte, die mit IKT- (Informations- und Kommunikationstechnologie-) Drittdienstleistern zu vereinbaren sind.

Veröffentlichung weiterer finaler Entwürfe der DORA-RTS/ITS

Durch die ESAs (European Supervisory Authorities) wurde am 17.07.2024 der zweite Stapel von finalen Entwürfen technischer Regulierungsstandards (RTS/ITS) zur DORA-Verordnung veröffentlicht. Diese finalen Entwürfe liegen nun der Europäischen Kommission mit dem Ziel vor, diese in den kommenden Monaten zu verabschieden. Der noch fehlende finale Entwurf des technischen Regulierungsstandards zur Vergabe von Unteraufträgen soll zu einem späteren Zeitpunkt veröffentlicht werden. Vor dem Hintergrund der Umsetzungsfrist der DORA-Anforderungen zum 17.01.2025 ist es empfehlenswert, sich unabhängig von der Verabschiedung der noch ausstehenden technischen Regulierungsstands zur DORA-Verordnung mit den dort adressierten Anforderungen frühzeitig auseinanderzusetzen und mit der Umsetzung zu beginnen.

Quellen: https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html, https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2024/meldung_2024_07_08_DORAGap.html?nn=19669324, https://www.esma.europa.eu/press-news/esma-news/esas-published-second-batch-policy-products-under-dora

Sprechen Sie hierzu gerne an: