DORA - Teil 4: Das Zusammenspiel mit FISG und VAIT
Der neue Regulierungsrahmen DORA (Digital Operational Resilience Act) legt detaillierte Regeln für das operationelle Risikomanagement fest. Doch wie werden bestehende regulatorische Vorgaben und Verordnungen aufgegriffen und in das neue Regelwerk integriert? In diesem vierten Teil der Artikelserie geht es um das Zusammenspiel von DORA mit dem Finanzmarktintegritätsstärkungsgesetz FISG und der VAIT-Novelle.
FISG
Das Finanzmarktintegritätsstärkungsgesetz (FISG) reformiert das Bilanzkontrollverfahren grundlegend. Dies trägt dem Umstand Rechnung, dass das Verfahren im Wesentlichen der Integrität und Stabilität des Kapitalmarkts dient und das Vertrauen der Anleger in den deutschen Kapitalmarkt stärkt. Das FISG hat neue Maßstäbe zu Pflichten bei bestehenden oder beabsichtigten Auslagerungen in Form eines Auslagerungsregisters gesetzt.
Wie das FISG sieht DORA die Weitergabe von Informationen in Form eines Auslagerungsregisters an die Aufsichtsbehörden vor. Daher sollte hier vor allem eine technische Anpassung des Meldeumfangs der jährlichen Berichterstattung an die Aufsichtsbehörden zu erwarten sein. Davon sollte vieles bereits durch die Implementierung der MaRisk-Novelle umgesetzt worden sein. Hier bestehen die Herausforderungen derzeit vorrangig in der technischen Umsetzung der Berichterstattung im Rahmen des Auslagerungsregisters.
VAIT-Novelle
Die neuen Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sind am 3. März 2022 in Kraft getreten. In die neue VAIT-Novelle wurden keine grundlegend neuen Anforderungen aufgenommen, sondern bereits zuvor bestehende Anforderung konkretisiert. Die VAIT-Novelle schreibt vor, dass die IT-Strategie in einem vorgegebenen Umfang beschrieben werden muss. Dazu zählen neben Personaleinsatz, Budget und Aufbau auch die Darstellung bestehender Abhängigkeiten von Drittparteien wie IT-Dienstleistern.
In diesen Punkten nimmt sie Elemente von DORA vorweg. Allerdings ist die Zielgruppe von DORA umfassender und bezieht eine große Zahl von Finanzunternehmen und deren IKT-Dienstleister mit ein – siehe dazu Teil 2 dieser Serie.
DORA soll die Cyber-Sicherheit der Finanzunternehmen stärken und vereinheitlicht dabei die Anforderungen sektorübergreifend – das umfasst die VAIT sowie die damit verwandten Rundschreiben für andere Sektoren: die Bankaufsichtlichen, Kapitalverwaltungsaufsichtlichen und Zahlungsdiensteaufsichtlichen Anforderungen an die IT – kurz: BAIT, KAIT und ZAIT. Damit keine Dopplungen in der Regulierung entstehen, werden die bestehenden Leitlinien der drei europäischen Aufsichtsbehörden zur Informationssicherheit im Finanzsektor an DORA angepasst.
Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher erschienen:
· DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
· DORA – Was ist neu im Vergleich zu MaRisk und BAIT?
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de