Vollständiges Ressourcen-Paket für DORA RTS & ITS

Die DORA-Anforderungen bestehen aus 5 Hauptbestandteile: IKT Risiko-Management, Berichterstattung über IKT-bezogene Vorfälle, Digital Operational Resilience Prüfung, IKT-Drittpartei-Risikomanagement und Austausch von Informationen und Erkenntnissen.

Die Regulatory Technical Standards (RTS) und die Implementing Technical Standards (ITS) geben Unternehmen konkrete Vorgaben für die Umsetzung der Anforderungen und Bestimmungen der DORA-Verordnung. Die RTS sind verbindliche technische Normen, die in der DORA festgelegten Anforderungen konkretisieren und legen fest, wie diese in der Praxis umzusetzen sind. Die ITS ergänzen die RTS, indem sie detaillierte Durchführungsanweisungen und notwendige Prozesse zur Erfüllung der Anforderungen der RTS festlegen. Wie die RTS sind auch die ITS zwingend einzuhalten.

Für die Gestaltung der beiden Standards sind die Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESAs) zuständig, die sich aus der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Wertpapieraufsichtsbehörde (ESMA) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zusammensetzen.

Die folgenden RTS und ITS sind bis jetzt veröffentlicht:

• ITS zur Erstellung der Vorlagen für das Informationsregister (Art. 28.9)
• RTS zum IKT-Risikomanagement-Framework (Art. 15)
• RTS zum vereinfachten IKT-Risikomanagement- Framework (Art. 16)
• RTS zu Kriterien für die Einstufung größerer IKT-bezogener Vorfälle (Art. 18.3)
• RTS zur Festlegung der Richtlinie über IKT-Dienstleistungen (Art. 28.10)
• ITS zur Festlegung der Formulare, Vorlagen und Verfahren für die Meldung von größeren IKT-bezogener Vorfälle (Art. 20.b)
• RTS zur Festlegung des Inhalts und der Meldefristen für größere IKT-bezogener Vorfälle (Art. 20.a)
• RTS zur Spezifizierung von Threat-Led Penetration-Testing (Art. 26.11)
• RTS zur Spezifizierung von Elementen bei der Unterbeauftragung von kritischen oder wichtigen Funktionen (Art. 30.5)
• RTS zur Spezifizierung von Informationen über die Durchführung der Überwachungstätigkeiten (Art. 41)

Informationsregister: "Die gesammelten Informationen, die den Behörden belegen, dass die Organisation die DORA-Vorschriften einhält."

Das Informationsregister erfordert Informationen über: Geschäftsfunktionen (kritische Funktionen, die die Finanzinstitute anbieten), IKT-Dienstleistungen (Systeme), die diese Geschäftsfunktionen unterstützen, IKT-Dienstleister (Lieferanten), die die Dienstleistungen anbieten, einschließlich ihrer Lieferkette (Unterlieferanten), vertragliche Vereinbarungen (Verträge).

• Geschäftsfunktionen (kritische Funktionen, die die Finanzunternehmen anbieten)
• IKT-Dienste (Systeme), die diese Geschäftsfunktionen unterstützen
• IKT-Dienstleister (Lieferanten), die die Dienstleistungen erbringen
• Einschließlich ihrer Lieferkette (Sub-Lieferanten)
• Vertragliche Vereinbarungen (Verträge)

Formalize automatisiert den Meldeprozess und validiert die Daten bereits bei der Eingabe, um häufige Herausforderungen wie fehlende Pflichtfelder und eindeutige Identifikatoren zu vermeiden. Durch den Einsatz fortschrittlicher Validierungs- und Fehlererkennungstools stellt Formalize sicher, dass Ihre Einreichungen den regulatorischen Anforderungen entsprechen, ohne die Fallstricke manueller Prozesse. Darüber hinaus ist die skalierbare Plattform von Formalize darauf ausgelegt, sich an sich entwickelnde Vorschriften anzupassen, sodass Ihr Compliance-Prozess zukunftssicher bleibt. Diese Flexibilität ist entscheidend, um die sich wiederholenden Anforderungen der ESAs zu erfüllen.