DORA-Implementierung im SSM (einheitlicher Aufsichtsmechanismus)

Wie erfolgt die Implementierung von DORA in den einheitlichen Aufsichtsmechanismus (SSM)? Lesen Sie hier die Zusammenfassung:

DORA ist seit dem 17. Januar 2025 für alle beaufsichtigten Institute anwendbar, ohne Übergangsregelungen, was bedeutet, dass von den Instituten erwartet wird, dass sie sofort vollständig konform sind.

IKT-Risikomanagement

Finanzinstitute müssen interne Governance- und Kontrollrahmen für ein effektives IKT-Risikomanagement einrichten. Die EZB hat die jährlichen Datenerhebungen (IT-Fragebogen) angepasst, um die DORA-Anforderungen zu berücksichtigen sowie die internen Methoden für SREP und Vor-Ort-Prüfungen aktualisiert.

IKT-bezogenes Vorfallmanagement

DORA verlangt von Finanzinstituten die Implementierung von Prozessen zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen. Der bisherige Cyber-Vorfallmelderahmen der EZB wurde durch den DORA-Rahmen ersetzt, mit einem neuen europäischen Koordinierungsmechanismus (EU-SCICF) für systemische Vorfälle. Zu den Herausforderungen zählen ein erheblicher Anstieg der gemeldeten Vorfälle (von 27 im Jahr 2017 auf 244 im ersten Quartal 2025) und Probleme bei der rechtzeitigen Meldung.

Tests zur digitalen operativen Widerstandsfähigkeit

Finanzinstitute müssen mindestens alle drei Jahre fortgeschrittene Tests durch Threat-Led Penetration Testing (TLPT) durchführen. Die EZB wird im zweiten Quartal 2025 Banken identifizieren, die den TLPT-Anforderungen unterliegen, und hat TIBER (Threat Intelligence-based Ethical Red Teaming) als Implementierungsrahmen übernommen. Eine zentrale Herausforderung ist die Kapazität, mit etwa 40 TLPTs, die jährlich allein für bedeutende Institute (SIs) erwartet werden.

Management von IKT-Drittanbieterrisiken

Finanzinstitute müssen Governance- und Kontrollrahmen für das Drittanbieter-Risikomanagement einrichten. Die EZB hat ein neues DORA-Register (Informationsregister)

implementiert, mit Einreichungsfrist im April 2025. Zu den Herausforderungen gehören Probleme bei der Vertragseinhaltung und eine hohe Abhängigkeit von bestimmten Anbietern, wobei Daten zeigen, dass einige kritische Dienstleister gleichzeitig von vielen SIs genutzt werden.

Compliance-Erwartung

Alle Aufsichtstätigkeiten ab 2025 werden gemäß den DORA-Anforderungen durchgeführt. Nicht konforme Institute müssen detaillierte Aktionspläne zur Erreichung der Konformität haben. Nichteinhaltung stellt einen Verstoß gegen EU-Verordnungen der Stufe 1 dar.

Vorbereitung auf Aufsichtsmaßnahmen

• Compliance-Nachweise dokumentieren: Umfassende Dokumentation der DORA-konformen Prozesse und Maßnahmen erstellen.

• Self-Assessment durchführen: Regelmäßige Selbstbewertungen zur DORA-Compliance durchführen und dokumentieren.

• Kommunikationsstrategie festlegen: Vorbereitung auf den Dialog mit dend Aufsichtsbehörden zu DORA-Themen bei SREP und Vor-Ort-Prüfungen

Kein Aufschub möglich - handeln Sie jetzt!

Vereinbaren Sie ein Beratungsgespräch und profitieren Sie von unserer DORA-Expertise.