DORA Update – Ein weiteres Puzzleteil zum Verständnis von DORA 

#DORA #RegulatoryStandards #OperativeResilienz

Heute, am 17. Januar 2024, haben die ESMA, EBA und EIOPA die finalen Entwürfe der ersten Charge von Regulatory Technical Standards (RTS) & Implementing Technical Standards (ITS) für den Digital Operational Resilience Act (DORA) veröffentlicht. Diese RTS & ITS bilden die lang erwarteten Konkretisierungen der DORA Anforderungen, die aufgrund hohen Interpretationsspielraums eine verlässliche Schätzung des Umsetzungsaufwands bislang erschwerten.

An manchen Stellen kann man argumentieren, dass DORA „einfach“ durch zusätzliche Prozesse oder Arbeitsanweisungen umgesetzt werden kann – speziell, wenn bereits VAIT oder BAIT umgesetzt wurden. So beschreibt DORA beispielsweise in Artikel 6 Absatz 2: „Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools[…]“. An anderer Stelle kann das in Artikel 11 Absatz 2c zu Reaktion bei IKT-bezogener Vorfälle geforderte „unverzüglich“ einen sehr hohen Automatisierungsgrad der IT-Sicherheit erfordern und wäre dann mit IT-Kosten in wohl empfindlicher Höhe verbunden.

Die nun veröffentlichten RTS schließen diesen Interpretationsspielraum noch nicht vollständig, da sie zunächst nur die regulatorischen Anforderungen beschreiben, nicht aber die Art der Umsetzung. Aufgrund des Verhältnismäßigkeitsprinzips werden die Anforderungen für große Unternehmen wahrscheinlich mit signifikanten Aufwänden in der Umsetzung verbunden sein. Kleinere Unternehmen hingegen könnten mit einfachen Änderungen an Richtlinien und Prozessen DORA-Compliance erreichen. Etwas anders sieht es bei dem veröffentlichten ITS aus, da hier genaue Erwartungen an die Implementierung formuliert werden und damit weniger Interpretationsspielraum lassen.

Unabhängig von den Konkretisierungen in RTS & ITS spielt die Auslegung des jeweiligen Regulators die ausschlaggebende Rolle, da dieser die finale Interpretation von DORA im Rahmen eines Audits anwendet. Letztere lässt sich zum jetzigen Zeitpunkt noch nicht abschätzen.

Wir haben in einem früheren Artikel bereits über DORA und die dahinterstehende Absicht berichtet. Daher wollen wir uns in diesem Artikel die veröffentlichten RTS & ITS genauer anschauen und einordnen, ob sie den Interpretationsspielraum wie erhofft reduzieren. Darüber hinaus wollen wir das weitere Vorgehen für Unternehmen beleuchten.

Veröffentlichung von RTS & ITS

Die heutige Veröffentlichung umfasst 5 Konkretisierungen zu DORA. Die nachfolgende Grafik zeigt unsere Analyse, wie hilfreich die RTS & ITS im Hinblick auf die Interpretation von DORA sind und welche Aufwände sich dahinter verstecken können.

• RTS on ICT Risk Management framework (Art. 15) & RTS on simplified risk management framework (Art. 16.3): Diese RTS detaillieren die Anforderungen aus Kapitel II, Abschnitt II an Richtlinien und Prozesse bzgl. Schutz, Prävention, Aufdeckung und Reaktion des IKT-Risikomanagements. Damit sind beide RTS für Unternehmen hilfreich, um die Anforderungen genau zu verstehen und nötigen Anpassungsbedarfe zu identifizieren. Dennoch können die Anpassungen durchaus kostspielig sein, da Frameworks und Prozesse angepasst und in die gesamte Organisation ausgerollt werden müssen.
• RTS on criteria for the classification of ICT related incidents (Art. 18.3): Dieser RTS beschreibt die Konzeption und Kriterien für die Klassifizierung von IKT-Vorfällen. Darüber hinaus skizziert er Schwellenwerte für die Bestimmung der Wesentlichkeit für schwere IKT-Vorfälle und erhebliche Cyber-Bedrohungen. Diese Kriterien orientieren sich dabei an den Vorgaben, die in der Network and Information Security Directive 2 (NIS2) und der Payment Services Directive 2 (PSD2) beschrieben werden. Dadurch ist der RTS äußerst hilfreich, um die Abweichungen zu bestehenden Frameworks und die damit verbundenen nötigen Anpassungen zu identifizieren. Für Unternehmen, die bereits zur Einhaltung dieser Vorschriften verpflichtet sind, bedeutet es wahrscheinlich keinen wesentlichen Aufwand. Für andere Unternehmen kann es aber Anpassungen an bestehenden Bewertungs- und Reportingprozessen sowie den beteiligten Systemen bedeuten und ist damit auch mit höheren Aufwänden verbunden.
• ITS to establish the templates of register of information (Art. 28.9): Dieser ITS geht genauer auf die Anforderungen an das Informationsregister für IKT-Drittdienstleister ein. Ziel ist es die Abhängigkeiten zu IKT-Drittdienstleistern dem Regulator gegenüber sichtbar zu machen. Das Informationsregister soll auf Level der einzelnen Entität, Sub-konsolidiertem und Konsolidiertem Level erstellt werden und alle Vertragsinformationen zu IKT-Drittdienstleistern enthalten. Die Menge der zu sammelnden Informationen ist dabei abhängig von der Kritikalität der Dienstleistung, überschreitet aber oft bestehende Informationsanforderungen. Darüber hinaus beschreibt der ITS genaue Anforderungen an Implementierung, zu erfassende Informationen und das zugrundeliegende Datenmodell. Für viele Unternehmen wird dieses Informationsregister signifikante Aufwände durch die Einführung eines neuen Tools oder weitreichende Änderungen an bestehenden Lösungen bedeuten.
• RTS to specify the policy on ICT services performed by third-party (Art. 28.10): Dieser RTS spezifiziert den Inhalt der Richtlinien bezüglich des Lebenszyklusmanagements von Verträgen und Vereinbarungen mit Dritten, wobei der Schwerpunkt auf IKT-Dienstleistungen liegt, die kritische oder wichtige Funktionen unterstützen. Obwohl interne Dienstleister für IKT-Services explizit als Drittdienstleister inkludiert sind, schränkt der RTS die Anforderungen an die Steuerung und die Exit-Strategien zum Positiven ein. Andererseits werden zukünftig auch interne Dienstleister umfangreicheres Management mit Service-Level und KPI-Reporting benötigen. Da der RTS klare Vorgaben für Richtlinien und Prozesse gibt, beschränkt sich der Interpretationsspielraum für die Implementierung. Dennoch werde die hohen Anforderungen an in- und externe Dienstleistungsverträge hohen Ergänzungs- und Anpassungsaufwand nach sich ziehen.

Der größte Aufwandstreiber ist der veröffentlichte ITS, da hier die genaue Umsetzung abgeschätzt werden kann. Die RTS konkretisieren die unklaren Anforderungen und beschreiben die Erwartung des Regulators genauer, sodass in diesen Punkten viel von jeweils bestehenden Prozessen genutzt werden kann. Dennoch kann auch hier in DORA ein ganz klarer Aufwandstreiber in der Umsetzung über die gesamte Organisation gesehen werden.

Im weiteren Verlauf werden diese Entwürfe der Kommission vorgelegt, im Europäischen Parlament besprochen und final durch das offizielle Journal der Europäische Union veröffentlicht. Grundlegende Änderungen an den Anforderungen sind hier allerdings nicht zu erwarten.

Bedeutung der RTS & ITS für Unternehmen in der Umsetzung

Wer mit der Umsetzung von DORA bereits begonnen hat, steht nun in einer ganz guten Position da. Die RTS haben offenen Fragen geklärt und der ITS Umsetzungserwartungen geschärft. Wer mit der Umsetzung gewartet und auf eine Reduzierung der Anforderungen gehofft hat oder alle Themen, die durch RTS & ITS konkretisiert werden, zunächst de-priorisiert hat, steht nun unter Zeitdruck. Finanzunternehmen sind verpflichtet das DORA Rahmenwerk bis Januar 2025 zu implementieren.

Die RTS & ITS zeigen nun nochmal deutlich, dass abhängig von der Größe des Unternehmens und der Komplexität der Unternehmensstruktur gemäß des Verhältnismäßigkeitsprinzip umfassende Anpassungen an Prozessen, Guidelines und Systemen nötig sind. Es ist also dringend nötig die eigene Größe zu bestimmen und einen Standard zur Interpretation von DORA zu definieren.

Auch im Hinblick auf eine erst späte Veröffentlichung der noch offenen RTS & ITS am 17. Juni 2024, nur 6 Monate vor Inkrafttreten von DORA, empfiehlt es sich bereits jetzt mit den Vorbereitungen und der Implementierung zu starten. Als Grundlage können dafür in einem ersten Schritt die RTS & ITS Entwürfe genutzt werden.

Unser Vorschlag für das weitere Vorgehen

Sollten Sie bereits mit der Umsetzung der DORA Anforderungen begonnen haben, unterstützen wir Sie gerne zunächst bei der Erweiterung der bestehende Gap-Analyse um die veröffentlichten RTS & ITS, um Anpassungsbedarfe zu identifizieren. Im Anschluss können die noch ausstehenden Themen zielsicher umgesetzt werden, insbesondere in Bezug auf das grundlegende IKT-Risikomanagementframework, da hier mit keinen weiteren RTS oder ITS zu rechnen ist.

Sollten Sie noch nicht mit der Umsetzung der DORA Anforderungen begonnen haben, unterstützen unsere Experten Sie gerne beim unmittelbaren Start von No-Regret-Maßnahmen (z.B. Definition Risiko-Appetit, DOR-Strategie oder Risikomanagement Framework), um keine weitere Zeit zu verlieren sowie mit der parallelen Ausarbeitung einer grundlegenden Gap-Analyse von DORA und den veröffentlichten RTS & ITS. Das Zeitfenster für die Umsetzung ist knapp bemessen und kann abhängig von der Unternehmensgröße und -komplexität sehr eng werden.

Die Entwürfe der noch ausstehenden zweiten Charge an RTS & IST sollten genutzt werden, um bereits jetzt Abschätzungen über etwaige zusätzliche Anforderungen machen zu können. Bei komplexen Unternehmensstrukturen empfehlen wir darüber hinaus ein zentrales Projekt-/ Programmmanagement zur Steuerung der Implementierung über alle Gesellschaften hinweg.

Sie haben konkrete Fragen zu Ihrer DORA Implementierung?

Unsere Experten bei Horn & Company stehen Ihnen gern persönlich zur Verfügung, um die Implikationen der DORA-Regulatorik auf Ihre DOR-Strategie oder Ihr IKT-Risikomanagement zu besprechen.