DORA Update – Ein weiteres Puzzleteil zum Verständnis von DORA
#DORA #RegulatoryStandards #OperativeResilienz
Heute, am 17. Januar 2024, haben die ESMA, EBA und EIOPA die finalen Entwürfe der ersten Charge von Regulatory Technical Standards (RTS) & Implementing Technical Standards (ITS) für den Digital Operational Resilience Act (DORA) veröffentlicht. Diese RTS & ITS bilden die lang erwarteten Konkretisierungen der DORA Anforderungen, die aufgrund hohen Interpretationsspielraums eine verlässliche Schätzung des Umsetzungsaufwands bislang erschwerten.
An manchen Stellen kann man argumentieren, dass DORA „einfach“ durch zusätzliche Prozesse oder Arbeitsanweisungen umgesetzt werden kann – speziell, wenn bereits VAIT oder BAIT umgesetzt wurden. So beschreibt DORA beispielsweise in Artikel 6 Absatz 2: „Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools[…]“. An anderer Stelle kann das in Artikel 11 Absatz 2c zu Reaktion bei IKT-bezogener Vorfälle geforderte „unverzüglich“ einen sehr hohen Automatisierungsgrad der IT-Sicherheit erfordern und wäre dann mit IT-Kosten in wohl empfindlicher Höhe verbunden.
Die nun veröffentlichten RTS schließen diesen Interpretationsspielraum noch nicht vollständig, da sie zunächst nur die regulatorischen Anforderungen beschreiben, nicht aber die Art der Umsetzung. Aufgrund des Verhältnismäßigkeitsprinzips werden die Anforderungen für große Unternehmen wahrscheinlich mit signifikanten Aufwänden in der Umsetzung verbunden sein. Kleinere Unternehmen hingegen könnten mit einfachen Änderungen an Richtlinien und Prozessen DORA-Compliance erreichen. Etwas anders sieht es bei dem veröffentlichten ITS aus, da hier genaue Erwartungen an die Implementierung formuliert werden und damit weniger Interpretationsspielraum lassen.
Unabhängig von den Konkretisierungen in RTS & ITS spielt die Auslegung des jeweiligen Regulators die ausschlaggebende Rolle, da dieser die finale Interpretation von DORA im Rahmen eines Audits anwendet. Letztere lässt sich zum jetzigen Zeitpunkt noch nicht abschätzen.
Wir haben in einem früheren Artikel bereits über DORA und die dahinterstehende Absicht berichtet. Daher wollen wir uns in diesem Artikel die veröffentlichten RTS & ITS genauer anschauen und einordnen, ob sie den Interpretationsspielraum wie erhofft reduzieren. Darüber hinaus wollen wir das weitere Vorgehen für Unternehmen beleuchten.
Die heutige Veröffentlichung umfasst 5 Konkretisierungen zu DORA. Die nachfolgende Grafik zeigt unsere Analyse, wie hilfreich die RTS & ITS im Hinblick auf die Interpretation von DORA sind und welche Aufwände sich dahinter verstecken können.
Der größte Aufwandstreiber ist der veröffentlichte ITS, da hier die genaue Umsetzung abgeschätzt werden kann. Die RTS konkretisieren die unklaren Anforderungen und beschreiben die Erwartung des Regulators genauer, sodass in diesen Punkten viel von jeweils bestehenden Prozessen genutzt werden kann. Dennoch kann auch hier in DORA ein ganz klarer Aufwandstreiber in der Umsetzung über die gesamte Organisation gesehen werden.
Im weiteren Verlauf werden diese Entwürfe der Kommission vorgelegt, im Europäischen Parlament besprochen und final durch das offizielle Journal der Europäische Union veröffentlicht. Grundlegende Änderungen an den Anforderungen sind hier allerdings nicht zu erwarten.
Wer mit der Umsetzung von DORA bereits begonnen hat, steht nun in einer ganz guten Position da. Die RTS haben offenen Fragen geklärt und der ITS Umsetzungserwartungen geschärft. Wer mit der Umsetzung gewartet und auf eine Reduzierung der Anforderungen gehofft hat oder alle Themen, die durch RTS & ITS konkretisiert werden, zunächst de-priorisiert hat, steht nun unter Zeitdruck. Finanzunternehmen sind verpflichtet das DORA Rahmenwerk bis Januar 2025 zu implementieren.
Die RTS & ITS zeigen nun nochmal deutlich, dass abhängig von der Größe des Unternehmens und der Komplexität der Unternehmensstruktur gemäß des Verhältnismäßigkeitsprinzip umfassende Anpassungen an Prozessen, Guidelines und Systemen nötig sind. Es ist also dringend nötig die eigene Größe zu bestimmen und einen Standard zur Interpretation von DORA zu definieren.
Auch im Hinblick auf eine erst späte Veröffentlichung der noch offenen RTS & ITS am 17. Juni 2024, nur 6 Monate vor Inkrafttreten von DORA, empfiehlt es sich bereits jetzt mit den Vorbereitungen und der Implementierung zu starten. Als Grundlage können dafür in einem ersten Schritt die RTS & ITS Entwürfe genutzt werden.
Sollten Sie bereits mit der Umsetzung der DORA Anforderungen begonnen haben, unterstützen wir Sie gerne zunächst bei der Erweiterung der bestehende Gap-Analyse um die veröffentlichten RTS & ITS, um Anpassungsbedarfe zu identifizieren. Im Anschluss können die noch ausstehenden Themen zielsicher umgesetzt werden, insbesondere in Bezug auf das grundlegende IKT-Risikomanagementframework, da hier mit keinen weiteren RTS oder ITS zu rechnen ist.
Sollten Sie noch nicht mit der Umsetzung der DORA Anforderungen begonnen haben, unterstützen unsere Experten Sie gerne beim unmittelbaren Start von No-Regret-Maßnahmen (z.B. Definition Risiko-Appetit, DOR-Strategie oder Risikomanagement Framework), um keine weitere Zeit zu verlieren sowie mit der parallelen Ausarbeitung einer grundlegenden Gap-Analyse von DORA und den veröffentlichten RTS & ITS. Das Zeitfenster für die Umsetzung ist knapp bemessen und kann abhängig von der Unternehmensgröße und -komplexität sehr eng werden.
Die Entwürfe der noch ausstehenden zweiten Charge an RTS & IST sollten genutzt werden, um bereits jetzt Abschätzungen über etwaige zusätzliche Anforderungen machen zu können. Bei komplexen Unternehmensstrukturen empfehlen wir darüber hinaus ein zentrales Projekt-/ Programmmanagement zur Steuerung der Implementierung über alle Gesellschaften hinweg.
Unsere Experten bei Horn & Company stehen Ihnen gern persönlich zur Verfügung, um die Implikationen der DORA-Regulatorik auf Ihre DOR-Strategie oder Ihr IKT-Risikomanagement zu besprechen.
Robert Tippmann
E-Mail: robert.tippmann@horn-company.de
Leon Heyn
E-Mail: leon.heyn@horn-company.de
Ihr Tor zu Branchenkenntnissen und Expertenanalysen! Folgen Sie uns auf LinkedIn für exklusive Fachartikel und Einblicke.