Der gemeinsame Ausschuss der Europäische Aufsichtsbehörden (EBA, EIOPA and ESMA – the ESAs) hat im Dezember 2023 eine öffentliche Konsultation zu folgenden Entwürfen zu technischen Standards (RTS / ITS) sowie Leitlinien nach DORA – der EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor – veröffentlicht:
- RTS zu Threat Led Penetration Testing (Art. 26 Abs. 11)
- RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5)
- RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
- ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
- Leitlinien zur Schätzung der jährlichen Gesamtkosten und -verluste bei größeren IKT bezogenen Vorfällen (Art. 11 Abs. 11)
- Leitlinien für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32 Abs. 7)
- RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)
Die DK weist in ihren Stellungnahmen darauf hin, dass die vorgelegten Detailanforderungen in den technischen Standards wenig Spielraum für eine proportionale Anwendung lassen. Eine verhältnismäßige und risikobasierte Umsetzung der Anforderungen wird dadurch erschwert. Zudem wird die Umsetzung der Meldung schwerwiegender IKT-Vorfälle in der vorgeschlagenen Form erhebliche Ressourcen erfordern. Eine Reduzierung der Meldeinhalte wäre daher wünschenswert. Die Vorgaben zur Durchführung von bedrohungsorientierten Penetrationstests (TLPT) sollten weiter gefasst werden und sich enger an TIBER-DE orientieren.