Las Autoridades Europeas de Supervisión (AES) acaban de lanzar el segundo paquete RTS bajo DORA.

Die Europäischen Aufsichtsbehörden (ESA) haben gerade das zweite RTS-Paket im Rahmen von DORA auf den Markt gebracht.

Celia Catalán

Las autoridades Europeas de Supervisión (AES) acaban de lanzar el segundo paquete RTS bajo DORA


Am 27. Dezember 2022 wurden im Amtsblatt der Europäischen Union zwei unterschiedliche, aber eng miteinander verbundene Regelungen zum Thema Cybersicherheit veröffentlicht. Sie traten 20 Tage später, am 16. Januar 2023, in Kraft. Wir beziehen uns auf die Verordnung (EU) 2022/2554: Digital Operational Resilience Act (DORA) für den Finanzsektor und die Richtlinie (EU) 2022/2555: NIS 2 ( v2 der Netzwerk- und Informationssicherheit), das darauf abzielt, die Cybersicherheit in der EU zu erhöhen und dabei wesentliche Sektoren als Hebel zu nutzen. Wie Sie bemerken, sind die Nummern beider Verordnungen fortlaufend, was darauf hinweist, dass sie nach einem gemeinsamen Gesichtspunkt entworfen wurden.

Für diejenigen unter Ihnen, die sich mit der Welt des Rechts nicht auskennen: DORA ist eine Verordnung (unmittelbar geltende EU-Vorschrift), die nur eine Ausnahme hat: Sie wird erst am 17. Januar 2025 gelten. Im Gegenteil, NIS2 ist eine Richtlinie (EU). Regel, die die Mitgliedstaaten zur Umsetzung verpflichtet). Es muss vor dem 17. Oktober 2024 durch eine Norm mit Gesetzesrang geregelt werden. Zum Zeitpunkt der Veröffentlichung dieses Beitrags (29. Juli 2024) ist es jedoch noch nicht umgesetzt worden, und es scheint schwierig zu sein von der Gewerkschaft festgelegtes Datum.

Die DORA-Verordnung, auf die wir uns in diesem Artikel konzentrieren werden, erfordert wirksame, verhältnismäßige und abschreckende Sanktionen und Maßnahmen und sieht auch verwaltungsrechtliche und strafrechtliche Sanktionen vor (ein Novum). Wichtig und neu ist auch, dass sie auf Ratsmitglieder angewendet werden können. Darüber hinaus verlangt DORA, dass die gegen Ratsmitglieder verhängten Verwaltungssanktionen mit Angabe von Vor- und Nachnamen für bis zu fünf Jahre veröffentlicht werden.

Um Leitlinien für die Umsetzung dieser Bestimmungen bereitzustellen, entwickeln die Europäischen Aufsichtsbehörden (ESAs) die Regulatory Technical Standards oder RTS (Tier-2-Gesetzgebung). Das erste RTS-Paket wurde vor etwas mehr als einem Jahr, im Juni 2023, veröffentlicht. Und das zweite Paket wurde erwartungsgemäß letzte Woche nach der Europawahl veröffentlicht.

Das erste Paket wurde im Rahmen einer öffentlichen Konsultation ausführlich diskutiert, und der Text, der DORA auf nur 79 Seiten definierte, wurde im zweiten RTS-Paket erheblich erweitert.

Ich zitiere die Neuzugänge wörtlich:

Die drei europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) haben heute die zweite Reihe politischer Produkte im Rahmen des Digital Operational Resilience Act (DORA) veröffentlicht. Dieser Stapel besteht aus vier endgültigen Entwürfen technischer Regulierungsstandards (RTS), einem Satz technischer Durchführungsstandards (ITS) und zwei Leitlinien, die alle darauf abzielen, die digitale Betriebsstabilität des EU-Finanzsektors zu verbessern.

Das Paket konzentriert sich auf den Melderahmen für IKT-bezogene Vorfälle (Meldeklarheit, Vorlagen) und bedrohungsgesteuerte Penetrationstests und führt gleichzeitig einige Anforderungen an die Gestaltung des Aufsichtsrahmens ein, die somit die digitale Betriebsstabilität des EU-Finanzsektors verbessern Außerdem wird die kontinuierliche und ununterbrochene Bereitstellung von Finanzdienstleistungen für Kunden und die Sicherheit ihrer Daten gewährleistet.

Die ESAs veröffentlichen die folgenden endgültigen Entwürfe technischer Standards:

1. RTS und ITS zu Inhalt, Format, Vorlagen und Zeitplänen für die Meldung schwerwiegender IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen; 

2. RTS zur Harmonisierung der Bedingungen für die Durchführung der Aufsichtstätigkeiten;

3. RTS, das die Kriterien für die Zusammensetzung des gemeinsamen Prüfungsteams (JET) festlegt; Und

4. RTS zu Threat-Led Penetration Testing (TLPT).

Zu den Richtlinien gehören:

  • Leitlinien zur Schätzung der aggregierten Kosten/Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht werden; Und
  • Leitlinien zur Aufsichtszusammenarbeit.

Dies ist eine kleine Zusammenfassung aller Dokumente im neuen Paket, das 4 RTS (Regulatory Technical Standards) und 1 ITS (Implementing Technical Standards) enthält:

  • RTS und ITS zu Inhalt, Format, Vorlagen und Fristen für die Meldung erheblicher IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen: Dieses Dokument legt technische und Implementierungsstandards für die Meldung von Vorfällen und Cyber-Bedrohungen fest und legt fest, welche Informationen in welchem ​​Format und innerhalb welcher Fristen gemeldet werden sollten.
  • RTS zur Harmonisierung der Bedingungen für die Durchführung von Aufsichtstätigkeiten: Legt die Anforderungen für die Harmonisierung der Bedingungen fest, unter denen Aufsichtstätigkeiten durchgeführt werden, um einen einheitlichen Ansatz in der gesamten EU sicherzustellen.
  • RTS legt die Kriterien für die Zusammensetzung des gemeinsamen Prüfungsteams (JET) fest: Definiert die Kriterien für die Bildung gemeinsamer Prüfungsteams, die Penetrationstests und andere Bewertungen überwachen und sicherstellen, dass geeignetes und qualifiziertes Personal zur Verfügung steht.
  • RTS zu Threat-LED-Penetrationstests (TLPT): Bietet die Anforderungen für die Durchführung von Penetrationstests auf der Grundlage spezifischer Bedrohungen, um die Widerstandsfähigkeit von Finanzinstituten gegen Cyberangriffe zu bewerten.

Zusammen mit diesen Dokumenten finden wir 2 Leitfäden mit folgendem Inhalt:

  • Richtlinien zur Schätzung der Gesamtkosten/-verluste, die durch erhebliche IKT-bezogene Vorfälle verursacht werden: Enthält Richtlinien zur Schätzung der Gesamtkosten und -verluste, die durch erhebliche IKT-bezogene Vorfälle entstehen, und hilft Unternehmen dabei, die finanziellen Auswirkungen solcher Vorfälle abzuschätzen.
  • Richtlinien zur Zusammenarbeit bei der Aufsicht: Definiert, wie Aufsichtsbehörden bei der Überwachung der Aktivitäten von Finanzinstituten zusammenarbeiten sollten, um eine wirksame Zusammenarbeit und eine kohärente Aufsicht auf europäischer Ebene zu fördern.

Das hat die EBA (Europäische Bankenaufsichtsbehörde), Teil der ESA, erklärtDie Leitlinien wurden bereits von den Aufsichtsräten der drei Europäischen Aufsichtsbehörden (ESAs) verabschiedet. Die endgültigen Entwürfe der technischen Standards wurden an die Europäische Kommission übermittelt, die nun mit der Überprüfung beginnen wird, mit dem Ziel, sie in den kommenden Monaten zu verabschieden. Die verbleibenden RTS zur Unterauftragsvergabe werden in Kürze veröffentlicht.

Du hast mehr dDetails dazu in: https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora

Die EU macht erhebliche Fortschritte bei der Verbesserung der digitalen Betriebsstabilität des Finanzsektors. Durch die Festlegung klarer Regeln für die Meldung von Vorfällen, Penetrationstests und Überwachung sollen diese Richtlinien eine kohärente und wirksame Reaktion auf die Cyberbedrohungen gewährleisten, denen die Finanzgeschäftsstruktur derzeit ausgesetzt ist. Dies wird natürlich nicht nur die Transparenz bei der Reaktion auf Cyberangriffe erhöhen, sondern auch die Sicherheit und Stabilität des Finanzsektors stärken und Unternehmen dabei helfen, besser auf mögliche digitale Bedrohungen vorbereitet zu sein.

In zukünftigen Beiträgen werden wir uns mit den in diesem neuen RTS-Paket veröffentlichten Dokumenten befassen.

Egoitz San Martín , Cybersicherheitsanalyst bei Zerolynx Group .
Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.

Neueste Artikel

Alles sehen
  • La Ciberseguridad en los procesos de Autenticación: Riesgos y Soluciones

    Cybersicherheit in Authentifizierungsprozessen:...

    Authentifizierungssysteme wie Logins sind ein ständiges Ziel von Cyberangriffen, die darauf abzielen, die Sicherheit der Benutzer zu verletzen und auf vertrauliche Informationen zuzugreifen. Von Techniken wie Brute Force, Phishing und...

    Cybersicherheit in Authentifizierungsprozessen:...

    Authentifizierungssysteme wie Logins sind ein ständiges Ziel von Cyberangriffen, die darauf abzielen, die Sicherheit der Benutzer zu verletzen und auf vertrauliche Informationen zuzugreifen. Von Techniken wie Brute Force, Phishing und...

  • ¡Flu Project estrena nuevo aspecto!

    ¡Flu Project hat ein neues Aussehen!

    Dieses Dezember-Grippeprojekt wird 14 Jahre alt und wir wollten diesen Meilenstein nutzen, um ein neues visuelles Erscheinungsbild zu präsentieren, das besser an die neuen Zeiten angepasst und in das Branding...

    ¡Flu Project hat ein neues Aussehen!

    Dieses Dezember-Grippeprojekt wird 14 Jahre alt und wir wollten diesen Meilenstein nutzen, um ein neues visuelles Erscheinungsbild zu präsentieren, das besser an die neuen Zeiten angepasst und in das Branding...

  • A10:2021 – Server-Side Request Forgery (SSRF)

    A10:2021 – Server-seitige Anfragefälschung (SSRF)

    Beschreibung Der „Server-Side Request Forgery“ (SSRF)-Angriff ist eine Angriffsart, bei der ein Angreifer die Funktionalität eines Servers missbraucht, um HTTP-Anfragen an interne Ressourcen oder... zu stellen.

    A10:2021 – Server-seitige Anfragefälschung (SSRF)

    Beschreibung Der „Server-Side Request Forgery“ (SSRF)-Angriff ist eine Angriffsart, bei der ein Angreifer die Funktionalität eines Servers missbraucht, um HTTP-Anfragen an interne Ressourcen oder... zu stellen.

1 3
Alles sehen