DORA: BVI kritisiert hohen Aufwand
Mit der DORA-Verordnung (Digital Operational Resilience Act) will die EU-Kommission einen einheitlichen Rahmen für ein umfassendes Risikomanagement für Cybersicherheit sowie Informations- und Kommunikationstechnik (IKT) auf den Finanzmärkten schaffen. Der gemeinsame Ausschuss der EU-Behörden veröffentlichte im Juni 2023 Vorschläge für weitergehende Maßnahmen.
Zum Gesamtpaket der Konsultationen sagt Peggy Steffen, Leiterin Risikomanagement beim deutschen Fondsverband BVI:
„Die Vorschläge der EU-Behörden sind ein Bürokratiemonster, da sie für die nicht kritische IKT-Struktur der Fondsgesellschaften zu einem unverhältnismäßig hohen Umsetzungs- und Überwachungsaufwand führen würden. Vor allem ist es nicht zielführend, die Anforderungen, die die EBA bereits für Banken und deren kritische Infrastrukturen entwickelt hat, eins zu eins auf alle Finanzunternehmen zu übertragen. Vielmehr sollte sich der in der DORA-Verordnung festgelegte Proportionalitätsgrundsatz auch in den Level-2-Maßnahmen wiederfinden. Hierzu sollten auch die von der ESMA in ihren Leitlinien zur Cloud-Auslagerung für Assetmanager und Wertpapierfirmen festgelegten Grundsätze angemessen in den Vorschlägen berücksichtigt werden.“
Unsere detaillierten Forderungen finden Sie in unseren Stellungnahmen
- zum IKT-Risikomanagement-Rahmen
- zu den Kriterien zur Klassifizierung von IKT-bezogenen Sicherheitsvorfällen
- zur internen Policy für die Nutzung von IKT-Dienstleistungen, die kritische und wichtige Funktionen unterstützen
- zum Register mit Informationen über die Verträge mit IKT-Drittdienstleistern.