Konsultation aller delegierten Rechtsakte zu DORA abgeschlossen – Fokus auf Januar 2025
Mit dem 4. März 2024 wurden die zwei Konsultationsphasen der Europäischen Aufsichtsbehörden EBA, ESMA und EIPOPA der delegierten Rechtsakte zum Digital Operational Resilience Act (DORA) abgeschlossen. Ab 17. Januar 2024 sind alle DORA-Anforderungen an Finanzunternehmen ohne Übergangsfrist verbindlich.
Die wesentlichen Elemente der Anforderungen umfassen folgende Hauptelemente:
→ ein Risikomanagementrahmen für Informations- und Kommunikationstechnik (IKT),
→ die Klassifizierung von IKT-bezogenen Vorfällen sowie erweiterte Anforderungen an ein Informationsregister über alle IKT-bezogenen Assets,
→ Leitlinien für die Nutzung von IKT-Dienstleistungen durch Dritte,
→ Meldung schwerwiegender IKT-bezogener Vorfälle und Schätzung der aggregierten Kosten und Verluste daraus,
→ Weiterverlagerung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie
→ das umfangreiche an TIBER (Threat Intelligence-based Ethical Red Teaming) angelehnte Threat-led Penetration Testing (TLPT) als extern unterstützter Test der Widerstandsfähigkeit gegenüber Cyber-Angriffen.
Die finalen Anforderungen der Aufsicht werden durch die EU-Kommission sukzessive veröffentlicht.