Seite drucken ·Seite teilen:

Praxisnahe IT-Regulierung mit Augenmaß – IT-Resilienz im Fokus

Am 17. Januar 2025 trat der Digital Operational Resilience Act (DORA) in Kraft, obwohl noch nicht alle Rechtsakte final veröffentlicht waren. Viele Institute hatten daher auf der Basis von Entwürfen bereits ihre Hausaufgaben gemacht.
Hier wurde mittlerweile seitens der europäischen Aufsichtsbehörden (ESAs) in Teilen nachgebessert, auch wenn sich dadurch sicherlich für das ein oder andere Haus Doppelarbeiten ergeben, nun unter den aktuellen Bedingungen zu arbeiten.

Die wohl bedeutsamste Änderung dürfte für viele Institute die Antwort der ESAs zur Behandlung von regulierten Finanzunternehmen als IKT-Dienstleister sein. Wir unterstützen die Sicht, dass eine IKT-Dienstleistung von einem regulierten
Finanzunternehmen, die in einem unmittelbaren Zusammenhang mit regulierten Finanzdienstleistungen des Erbringers steht, keine IKT-Dienstleistung im Sinne von DORA ist. Dies ist eine Erleichterung gerade für das Erbringen von Finanzdiensten untereinander, für Leistungen von Zentral-instituten, u. a. von Landesbanken bzw. Verbundinstituten, zum Beispiel auch im Zusammenhang mit dem Clearing im Zahlungsverkehr.

Auch in Sachen Threat Led Penetration Testing (TLPT) hat die final veröffentlichte Verordnung der Europäischen Kommission klargestellt, dass derartige ressourcenintensive Tests nur für die Finanzinstitute gelten, bei denen die Durchführung solcher Tests nach den Kriterien der ESAs gerechtfertigt ist. Das bedeutet, dass Kreditinstitute, Zahlungs- und E-Geld-Institute, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze sowie Versicherungs- und Rückversicherungsunternehmen – selbst, wenn sie die quantitativen Kriterien erfüllen – von der TLPT-Anforderung befreit werden können.

In Sachen des RTS zur Unterauftragsvergabe ist ebenfalls Licht am Ende des Tunnels zu sehen. Die Europäische Kommission hat den Entwurf der ESAs abgelehnt und insbesondere bemängelt, dass Art. 5 („Bedingungen für die Auslagerung in Bezug auf die Kette von IKT-Unterauftragnehmern“) über das Mandat der ESAs gemäß Art. 30 (5) DORA hinausgeht. Die dort festgelegten Anforderungen zur Überwachung von Unterauftragsketten sind nicht direkt mit den im Mandat definierten Bedingungen für die Auslagerung verknüpft.

Unsere Positionen

Wir fordern die Harmonisierung und den Abbau von Mehrfachregulierung. Dies zeigt sich in der IT-Regulierung für Finanzdienstleister, z. B. in den Überlappungen von DORA, NIS2 und CRA. Gerade bei den Registern tut eine Vereinheitlichung und Vereinfachung der Auslagerungs- und Informationsregister (Harmonisierung EBA-Leitlinien mit DORA) not. Perspektivisch lässt sich an eine zielgerichtete Umstellung des bankenaufsichtlichen Berichts- und Meldewesens auf Basis von Datenabrufen der Aufsicht und eine standardisierte Datenbereitstellung durch Banken denken.

Wir setzen uns für eine praxisnahe Anwendung der Verhältnismäßigkeit und für risikobasierte Ansätze in der IT-Regulierung ein, die Größe und Geschäftstätigkeit im Rahmen des umfassenden IKT-Risikomanagements berücksichtigen. Insbesondere sollte die Verhältnismäßigkeit beim zu erstellenden internen Testregime berücksichtigt werden. Institute mit geringem Sicherheitsrisiko, beispielsweise solche, die kein Privatkundengeschäft betreiben, sollten von Meldeverpflichtungen an Wochenenden und Feiertagen entbunden werden

Wir fordern mehr Effizienz im IKT-Drittparteienmanagement. Dazu gehören erleichterte Audits von IKT-Drittdienstleistern und Hyperscalern durch die interne Revision und der Verzicht auf Audits bei Standarddienstleistungen wie Office 365 oder Standard Cloud Storage. Die Etablierung einheitlicher Zertifizierungen für Standarddienstleistungen großer IKT-Dienstleister zur Verbesserung der IT-Resilienz kann dienlich sein. Ebenfalls könnte eine Zertifizierung von Cloudanbietern nach EUCS als Freistellung von Auditpflichten anerkannt werden.

Wir fordern praktikable Sicherheitsstandards und Technologieanforderungen. Das betrifft insbesondere realistische Umsetzungsstandards bei neuen Sicherheitsarchitekturen wie Cloud-Diensten und Verschlüsselungstechnologien.