ThinkTank_Logo_black
Das Warten Hat ein Ende
Ailance™ ThinkTank ist da!

BaFin veröffentlicht DORA-Orientierungshilfe zu Dokumentationsanforderungen

BaFin-Orientierungshilfe für DORA-Dokumentationsanforderungen
Kategorien:

Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat eine strukturierte Übersicht zu den Dokumentationsanforderungen des Digital Operational Resilience Act (DORA) veröffentlicht. Mit dieser Orientierungshilfe für DORA will die BaFin Finanzunternehmen helfen, sich schnell in den verschiedenen Rechtstexten zurechtzufinden.

Das bietet die DORA-Orientierungshilfe der BaFin

Die EU-Verordnung DORA muss von den Unternehmen ab dem 17. Januar 2025 umgesetzt werden. Sie soll den europäischen Finanzmarkt gegen Cyberrisiken und Vorfälle in der Informations- und Kommunikationstechnologie (IKT) stärken. Dazu tragen auch die Dokumentationsanforderungen bei, die beaufsichtigte Unternehmen erfüllen müssen. Diese sind in verschiedenen Artikeln der DORA und in den Technischen Regulierungs- und Durchführungsstandards festgelegt.

Die Mitte Dezember veröffentlichte Orientierungshilfe der BaFin soll Finanzunternehmen bei der Umsetzung der sich aus DORA ergebenden Dokumentationsanforderungen unterstützen. Die Übersicht gibt einen ersten Überblick über die in DORA und den Technischen Regulierungs- und Durchführungsstandards (Regulatory Technical Standards – RTS und Implementing Technical Standards – ITS) genannten Mindestdokumentationen.

Wichtig: Die Übersicht stellt keine verbindliche Auslegung der BaFin dar. Sie enthält auch keine Auslegung im Rahmen der Q&A-Prozesse der drei europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority).

Lese-Tipp: DORA greift ab Januar 2025 – diese Unternehmen sind betroffen

So funktioniert die BaFin-Übersicht

In der Übersicht sind die geforderten Mindestdokumente unter Berücksichtigung der in den Rechtstexten vorgegebenen Struktur angeordnet. Die einzelnen Spalten geben die nach Auffassung der BaFin relevanten Kapitel, Abschnitte und Artikel der DORA bzw. der Technischen Regulierungs- und Durchführungsstandards wieder. In den Zeilen werden die einzelnen Dokumente hierarchisch dargestellt.

Die Zuordnung der Anforderungen aus den Technischen Regulierungs- und Durchführungsstandards zu den Spalten erfolgt themenbezogen.

Richtlinien und Verfahren, die im Zusammenhang mit den in Artikel 9 Absatz 2 DORA genannten IKT-Sicherheitsrichtlinien und -verfahren stehen, sind entsprechend gekennzeichnet.

Das kann die DORA-Orientierungshilfe nicht bieten

Die Übersicht geht laut BaFin allerdings nicht auf die formale und inhaltliche Ausgestaltung der aufgeführten Dokumente ein. Die beaufsichtigten Unternehmen sollen die Dokumente jedoch grundsätzlich nachvollziehbar und unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes gemäß § 4 DORA erstellen. Inhaltliche Anforderungen an die Mindestdokumente, wie z.B. spezielle Verfahren, Protokolle oder Tools, sind in der Übersicht ebenfalls nicht enthalten. Zusätzlich zu diesen Mindestdokumenten können weitere Dokumente erforderlich sein (siehe Artikel 6 Absatz 2 DORA).

Die folgenden Kapitel bzw. Artikel sind in der Übersicht nicht einzeln aufgeführt, da sie keine Mindestdokumente zur Erfüllung der DORA-Anforderungen enthalten:

  • Kapitel I Artikel 1-5 DORA sowie Titel I Artikel 1 und Titel II Kapitel I Abschnitt 1 Artikel 2 RTS RMF: Allgemeine Bestimmungen (Gegenstand, Geltungsbereich, Begriffsbestimmung, Grundsatz der Verhältnismäßigkeit, etc.)
  • Kapitel II Artikel 7 DORA: Anforderungen an IKT-Systeme, -Protokolle und -Tools
  • Kapitel II Artikel 15 DORA: Weitere Harmonisierung von Tools, Methoden, Prozessen und Richtlinien für IKT[1]Risikomanagement (erläutert insbesondere welche technischen Regulierungsstandards DORA ergänzen)
  • Kapitel V, Abschnitt 2 (Artikel 31-44) DORA: Überwachungsrahmen kritischer IKT-Drittdienstleister
  • Kapitel VI bis Kapitel IX DORA: Vereinbarungen über den Austausch von Informationen, Zuständige Behörden, Delegierte Rechtsakte, Übergangs- und Schlussbestimmungen

 

Darüber hinaus sind Regelungen aus DORA, die nur für wenige Finanzunternehmen relevant sind, nicht Gegenstand dieser Übersicht. Dazu gehören aus Artikel 16 DORA und aus Titel III RTS RMF der „Vereinfachte IKT-Risikomanagementrahmen“ sowie die erweiterten Tests auf Basis von Threat-led Penetration Testing (TLPT, Artikel 26 und 27 DORA). Weitere Sonderregelungen (z.B. Ausnahmen für Kleinstunternehmen) sind in dieser Übersicht nicht enthalten.

Quelle: DORA-Dokumentationsanforderungen der BaFin

Quelle: DORA-Dokumentationsanforderungen der BaFin (zweiseitig für Ausdruck)

Jetzt neu: Der intelligente Ailance™ Chatbot
Antworten auf Ihre Fragen zu Datenschutz & Compliance sowie zu den Ailance™-Lösungen auf einen Klick. Das ist jetzt möglich dank dem neuen Ailance™ Chatbot.
Tags:
Share this post :
de_DEGerman