Grundsätzlich gilt DORA – bis auf wenige Ausnahmen - für alle Finanzunternehmen und formuliert sektorübergreifend einheitliche Anforderungen an die Cyber-Sicherheit. Die bestehenden regulatorischen Anforderungen der BaFin im Bereich Informationssicherheit wie BAIT, VAIT, KAIT oder ZAIT sollen, um Dopplungen zu vermeiden, entsprechend angepasst werden.
Die DORA-Verordnung unterstreicht die Notwendigkeit für Finanzunternehmen, den Risiken durch Digitalisierung und der damit einhergehenden, starken Abhängigkeit von der Informations- und Kommunikationstechnologie (IKT) mit einer angemessenen Organisation und dem erforderlichen internen Kontrollsystem (IKS) zu begegnen.
Die in DORA formulierten, regulatorischen Anforderungen lassen sich fünf Themengebieten zuordnen:
- IKT-Risikomanagement inkl. IKT-Governance
- Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen
- Testen der digitalen operationalen Resilienz
- Management des IKT-Drittparteirisikos
- Überwachungsrahmen für kritische IKT Drittdienstleister
Die DORA-Verordnung fasst Anforderungen aus bestehenden Verordnungen der BaFin – Stichwort VAIT, BAIT, KAIT und ZAIT - sowie des BSI – Stichwort KRITIS - auf und ergänzt diese um neue Elemente wie das Überwachungsrahmenwerk für kritische IKT Drittdienstleister.
Konkretisierung erfolgt in RTS und ITS
Bis zum Ablauf der Umsetzungsfrist werden die in DORA formulierten, regulatorischen Anforderungen in 13 weiteren EU-Rechtsakten entweder als technischer Regulierungsstandard (Regulatory Technical Standard (RTS)) oder als technischer Durchführungsstandard (Implementing Technical Standard (ITST)) konkretisiert. Die European Supervisory Authorities (EBA, EIOPA and ESMA – the ESAs) haben kürzlich die ersten 4 RTS sowie den ersten ITS im Entwurf zur Konsultation veröffentlicht.
Regulatory Assurance: der BDO Unterschied
Unser IT & Controls Assurance-Team hilft Ihnen mit interdisziplinärer Expertise aus Prüfungs- und Beratungsprojekten, den Stand der Umsetzung im Unternehmen zu erarbeiten sowie Optimierungspotential zu erkennen und zu verstehen. Gemeinsam mit Ihnen diskutieren wir geeignete Maßnahmen, um Ihnen eine schnelle und effiziente Umsetzung zu ermöglichen. Angefangen auf strategischer Ebene, über taktische Maßnahmen bis hin zu operativen Prozessen.