Art. 5 Änderungen der Richtlinie 2014/59/EU | DORA directive | DORA

This article amends Directive 2014/59/EU, the Bank Recovery and Resolution Directive (BRRD), to embed digital operational resilience considerations into the resolution planning framework.

It updates the requirements around recovery and resolution plans, ensuring that institutions must now account for their network and information systems, ICT third-party dependencies, and the results of digital operational resilience testing as part of their resolvability assessments.

The article also tasks EBA with reviewing and updating its regulatory technical standards to align with DORA's requirements.

Important points:

Ensure your resolution planning documentation explicitly covers the digital operational resilience of network and information systems supporting critical functions and core business lines.
Identify critical ICT third-party service providers within your resolution planning materials, alongside system owners and service level agreements.
EBA is required to review and, where appropriate, update its regulatory technical standards to take account of the provisions of Chapter II of Regulation (EU) 2022/2554.

Die Richtlinie 2014/59/EU wird wie folgt geändert:

Artikel 10 wird wie folgt geändert:
1. Absatz 7 Buchstabe c erhält folgende Fassung:
  „Ausführungen dazu, wie kritische Funktionen und Kerngeschäftsbereiche im erforderlichen Umfang rechtlich und wirtschaftlich von anderen Funktionen getrennt werden könnten, um ihre Fortführung und die digitale operationale Resilienz nach einem Ausfall des Instituts sicherzustellen;“;
2. Absatz 7 Buchstabe q erhält folgende Fassung:
  „eine Beschreibung der wesentlichen Prozesse und Systeme zur Fortführung des Geschäftsbetriebs des Instituts, einschließlich der Netzwerk- und Informationssysteme im Sinne der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(¹⁹);
3. In Absatz 9 wird folgender Unterabsatz angefügt:
  „Gemäß Artikel 10 der Verordnung (EU) Nr. 1093/2010 überprüft und — soweit erforderlich — aktualisiert die EBA die technischen Regulierungsstandards, um unter anderem den Bestimmungen des Kapitels II der Verordnung (EU) 2022/2554 Rechnung zu tragen.“
Der Anhang wird wie folgt geändert:
1. Abschnitt A Nummer 16 erhält folgende Fassung:
  „eine Aufstellung der Regelungen und Maßnahmen, die zur Fortführung des Geschäftsbetriebs des Instituts, einschließlich der gemäß der Verordnung (EU) 2022/2554 eingerichteten und verwalteten Netzwerk- und Informationssysteme, erforderlich sind;“;
2. Abschnitt B wird wie folgt geändert:
  Nummer 14 erhält folgende Fassung:
  „Angaben zu den Eigentümern der in Nummer 13 genannten Systeme, zu entsprechenden Dienstgütevereinbarungen und zu Software, Systemen oder Lizenzen, einschließlich Zuordnung zu den jeweiligen juristischen Personen, kritischen Operationen und Kerngeschäftsbereichen des Instituts, sowie Angaben zu kritischen IKT-Drittdienstleistern im Sinne des Artikels 3 Nummer 23 der Verordnung (EU) 2022/2554;“;
  Folgende Nummer wird eingefügt:
  „Ergebnisse der von Instituten im Einklang mit der Verordnung (EU) 2022/2554 durchgeführten Tests der digitalen operationalen Resilienz;“;
3. Abschnitt C wird wie folgt geändert:
  Nummer 4 erhält folgende Fassung:
  „inwieweit die vom Institut geschlossenen Dienstleistungsvereinbarungen, einschließlich vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, solide und im Fall einer Abwicklung des Instituts in vollem Umfang durchsetzbar sind;“;
  Folgende Nummer wird eingefügt:
  „die digitale operationale Resilienz derjenigen Netzwerk- und Informationssysteme, die die kritischen Funktionen und Kerngeschäftsbereiche des Instituts unterstützen, wobei Berichte über schwerwiegende IKT-bezogene Vorfälle und die Ergebnisse der entsprechend der Verordnung 2022/2554 durchgeführten Tests der digitalen operationalen Resilienz zu berücksichtigen sind;“.