Cybersicherheit & IT-Steuerung

Konsultation aller delegierte Rechtsakte zu DORA abgeschlossen – Fokus auf Januar 2025

Mit dem 4. März 2024 wurden die zwei Konsultationsphasen der Europäischen Aufsichtsbehörden EBA, ESMA und EIPOPA zu den delegierten Rechtsakten des Digital Operational Resilience Act (DORA) abgeschlossen.

Ab dem 17. Januar 2024 sind alle DORA-Anforderungen für Finanzunternehmen ohne Übergangsfrist verbindlich. Die wesentlichen Elemente der Anforderungen umfassen folgende Hauptelemente:

  • ein Risikomanagementrahmen für Informations- und Kommunikationstechnik (IKT),
  • die Klassifizierung von IKT-bezogenen Vorfällen sowie erweiterte Anforderungen an ein Informationsregister über alle IKT-bezogenen Assets,
  • Leitlinien für die Nutzung von IKT-Dienstleistungen durch Dritte,
  • Meldung schwerwiegender IKT-bezogener Vorfälle und Schätzung der aggregierten Kosten und Verluste daraus,
  • Weiterverlagerung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie
  • das umfangreiche, an TIBER (Threat Intelligence-based Ethical Red Teaming), angelehnte Threat-led Penetration Testing (TLPT) als extern unterstützter Test der Widerstandsfähigkeit vor Cyber-Angriffen.

Die finalen Anforderungen der Aufsicht werden sukzessive durch die EU-Kommission veröffentlicht.​​​​​​​