Artikel 16 Vereinfachter IKT-Risikomanagementrahmen

Summary What does Article 16 of the DORA regulation say?

This article establishes a simplified ICT risk management regime for a specific category of smaller or exempted entities, carving them out from the fuller obligations set out in Articles 5 to 15.

Rather than leaving these entities with no obligations at all, the article replaces the detailed framework with a streamlined but still substantive set of requirements covering the essentials: maintaining a documented ICT risk management framework, monitoring ICT systems, ensuring business continuity, identifying third-party dependencies, and feeding lessons from tests and incidents back into the framework.

The ESAs are also tasked with developing regulatory technical standards to flesh out the details of this lighter-touch regime.

Important points:

If your entity falls into one of the exempted categories (such as small and non-interconnected investment firms or small institutions for occupational retirement provision), the full ICT risk management requirements of Articles 5 to 15 do not apply to you — but you must still implement a documented ICT risk management framework covering the core obligations listed in this article.
Regularly test your business continuity plans and controls, and feed the conclusions from those tests and any post-incident analysis back into your ICT risk management framework.
The ESAs are required to develop regulatory technical standards to further specify the content of the simplified framework, in consultation with ENISA.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Artikel 5 bis 15 gelten nicht für kleine und nicht verflochtene Wertpapierfirmen, entsprechend der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, entsprechend der Richtlinie 2013/36/EU ausgenommene Institute, für die die Mitgliedstaaten beschlossen haben, nicht von der in Artikel 2 Absatz 4 der vorliegenden Verordnung genannten Möglichkeit Gebrauch zu machen, nach der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute und kleine Einrichtungen der betrieblichen Altersversorgung.
2. Unbeschadet des Unterabsatzes 1 müssen die in Unterabsatz 1 genannten Stellen
  1. einen soliden und dokumentierten IKT-Risikomanagementrahmen errichten und aufrechterhalten, in dem die Mechanismen und Maßnahmen für ein rasches, effizientes und umfassendes Management des IKT-Risikos, einschließlich des Schutzes der einschlägigen physischen Komponenten und Infrastrukturen, detailliert sind;
  2. die Sicherheit und das Funktionieren aller IKT-Systeme fortlaufend überwachen;
  3. die Auswirkungen von IKT-Risiken minimieren, indem solide, resiliente und aktualisierte IKT-Systeme, -Protokolle und -Tools, die zur Unterstützung der Durchführung ihrer Tätigkeiten und zur Bereitstellung von Diensten angemessen sind, verwendet werden, und in angemessener Weise die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten in den Netzwerk- und Informationssystemen schützen;
  4. eine rasche Ermittlung und Aufdeckung der Ursachen von IKT-Risiken und -Anomalien in den Netzwerk- und Informationssystemen sowie eine rasche Handhabung von IKT-Vorfällen ermöglichen;
  5. die wesentlichen Abhängigkeiten von IKT-Drittdienstleistern ermitteln;
  6. die Kontinuität kritischer oder wichtiger Funktionen durch Geschäftsfortführungspläne sowie Gegen- und Wiederherstellungsmaßnahmen, die zumindest Sicherungs- und Wiedergewinnungsmaßnahmen umfassen, gewährleisten;
  7. die unter Buchstabe f genannten Pläne und Maßnahmen sowie die Wirksamkeit der gemäß den Buchstaben a und c durchgeführten Kontrollen regelmäßig testen;
  8. gegebenenfalls die relevanten operativen Schlussfolgerungen, die sich aus den Tests gemäß Buchstabe g und der Analyse nach einem Vorfall ergeben, in den IKT-Risikobewertungsprozess einbeziehen und entsprechend dem Bedarf und dem IKT-Risikoprofil Programme zur Sensibilisierung für IKT-Sicherheit sowie Schulungen zur digitalen operationalen Resilienz für Personal und Management entwickeln.
1. Der in Absatz 1 Unterabsatz 2 Buchstabe a genannte IKT-Risikomanagementrahmen wird regelmäßig und bei Auftreten schwerwiegender IKT-bezogener Vorfälle entsprechend den aufsichtsrechtlichen Anweisungen dokumentiert und überprüft. Der Rahmen wird auf der Grundlage der bei Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. Der zuständigen Behörde wird auf Anfrage ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens vorgelegt.
1. Die ESA entwickeln über den Gemeinsamen Ausschuss in Abstimmung mit der ENISA gemeinsame Entwürfe technischer Regulierungsstandards für die folgenden Zwecke:
  1. Spezifizierung der Elemente, die in den in Absatz 1 Unterabsatz 1 Buchstabe a genannten IKT-Risikomanagementrahmen aufzunehmen sind;
  2. Spezifizierung der Elemente in Bezug auf Systeme, Protokolle und Tools zur Minimierung der in Absatz 1 Unterabsatz 2 Buchstabe c genannten Auswirkungen von IKT-Risiken, um die Sicherheit der Netzwerke zu gewährleisten, angemessene Schutzvorkehrungen gegen Eindringen und Datenmissbrauch zu ermöglichen und die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten zu wahren;
  3. Spezifizierung der Komponenten der in Absatz 1 Unterabsatz 2 Buchstabe f genannten IKT-Geschäftsfortführungspläne;
  4. Spezifizierung der Vorschriften über die Tests der Geschäftsfortführungspläne und Gewährleistung der Wirksamkeit der Kontrollen gemäß Absatz 1 Unterabsatz 2 Buchstabe g und Gewährleistung, dass bei diesen Tests Szenarien, in denen die Qualität der Bereitstellung einer kritischen oder wichtigen Funktion auf ein inakzeptables Niveau absinkt oder diese Funktion ganz ausfällt, gebührend berücksichtigt werden;
  5. nähere Spezifizierung von Inhalt und Form des in Absatz 2 genannten Berichts über die Überprüfung des IKT-Risikomanagementrahmens.
2. Bei der Entwicklung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte.
3. Die ESA übermitteln der Kommission die Entwürfe dieser technischen Regulierungsstandards bis zum 17. Januar 2024.
4. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

Relevant recitals

Erwägungsgrund 42 Simplified ICT risk management for small financial entities

Nach dem sektorspezifischen Unionsrecht unterliegen einige Finanzunternehmen aufgrund ihrer Größe oder den von ihnen erbrachten Dienstleistungen weniger strengen Anforderungen oder Ausnahmen. Diese Kategorie von Finanzunternehmen umfasst auch kleine und nicht verflochtene Wertpapierfirmen, kleine Einrichtungen der betrieblichen Altersversorgung, die unter den in Artikel 5 der Richtlinie (EU) 2016/2341 festgelegten Bedingungen durch die betroffenen Mitgliedstaaten vom Anwendungsbereich jener Richtlinie ausgenommen werden können und Altersversorgungssysteme betreiben, die zusammen nicht mehr als 100 Mitglieder haben, sowie gemäß der Richtlinie 2013/36/EU ausgenommene Institute. Im Einklang mit dem Grundsatz der Verhältnismäßigkeit und zur Wahrung des Geistes des sektorspezifischen Unionsrechts ist es daher auch angezeigt, diese Finanzunternehmen durch die vorliegende Verordnung einem vereinfachten IKT-Risikomanagementrahmen zu unterwerfen. Die Verhältnismäßigkeit des IKT-Risikomanagementrahmens für diese Finanzunternehmen sollte durch die von den ESA zu entwickelnden technischen Regulierungsstandards nicht verändert werden. Darüber hinaus ist es im Einklang mit dem Grundsatz der Verhältnismäßigkeit angezeigt, durch die vorliegende Verordnung auch Zahlungsinstitute im Sinne des Artikels 32 Absatz 1 der Richtlinie (EU) 2015/2366 und E-Geld-Institute im Sinne des Artikels 9 der Richtlinie 2009/110/EG, die gemäß dem nationalen Recht, das diese Rechtsakte der Union umsetzt, ausgenommen sind, einem vereinfachten IKT-Risikomanagementrahmen zu unterwerfen, während Zahlungsinstitute und E-Geld-Institute, die gemäß der jeweiligen Umsetzung des sektorspezifischen Unionsrechts nicht ausgenommen wurden, den in der vorliegenden Verordnung festgelegten allgemeinen Rahmen einhalten sollten.

Erwägungsgrund 43 Exemptions for microenterprises and financial entities subject to a simplified risk management framework

Ebenso sollten Finanzunternehmen, die als Kleinstunternehmen gelten oder dem vereinfachten IKT-Risikomanagementrahmen nach dieser Verordnung unterliegen, nicht verpflichtet sein, eine Funktion zur Überwachung ihrer mit IKT-Drittdienstleistern geschlossenen Vereinbarungen über die Nutzung von IKT-Dienstleistungen einzurichten oder ein Mitglied der Geschäftsleitung zu benennen, das für die Überwachung der damit verbundenen Risikoexposition und die einschlägige Dokumentation zuständig ist, die Verantwortung für das Management und die Überwachung von IKT-Risiken einer Kontrollfunktion zuzuweisen und zur Vermeidung von Interessenkonflikten ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicherzustellen, den IKT-Risikomanagementrahmen mindestens einmal jährlich zu dokumentieren und zu überprüfen, den IKT-Risikomanagementrahmen regelmäßig einer internen Revision zu unterziehen, nach größeren Veränderungen ihrer Netzwerk- und Informationssysteminfrastrukturen und -prozesse eingehende Bewertungen durchzuführen, regelmäßig Risikoanalysen von IKT-Altsystemen vorzunehmen, die Umsetzung der IKT-Reaktions- und Wiederherstellungspläne einer unabhängigen internen Revision zu unterziehen, eine Krisenmanagementfunktion festzulegen, die Tests der Geschäftsfortführungspläne und der Reaktions- und Wiederherstellungspläne zur Erfassung von Szenarien für die Umstellung von primärer IKT-Infrastruktur auf redundante Systeme auszuweiten, den zuständigen Behörden auf deren Anfrage eine Schätzung der von schwerwiegenden IKT-bezogenen Vorfällen verursachten aggregierten jährlichen Kosten und Verluste vorzulegen, redundante IKT-Kapazitäten zu unterhalten, den zuständigen nationalen Behörden die nach nachträglichen Prüfungen IKT-bezogener Vorfälle vorgenommenen Änderungen zu melden, die einschlägigen technologischen Entwicklungen fortlaufend zu überwachen, als integralen Bestandteil des in dieser Verordnung vorgesehenen IKT-Risikomanagementrahmens ein umfassendes Programm für Tests der digitalen operationalen Resilienz einzurichten oder eine Strategie für das IKT-Drittparteienrisiko zu verabschieden und regelmäßig zu überprüfen. Darüber hinaus sollten Kleinstunternehmen nur verpflichtet sein, auf der Grundlage ihres Risikoprofils zu bewerten, ob diese redundanten IKT-Kapazitäten unterhalten werden müssen. Kleinstunternehmen sollten in den Genuss einer flexibleren Regelung für Programme für Tests der digitalen operationalen Resilienz kommen. Bei der Erwägung der Art und Häufigkeit der durchzuführenden Tests sollten sie ein angemessenes Gleichgewicht zwischen dem Ziel der Aufrechterhaltung einer hohen digitalen operationalen Resilienz, den verfügbaren Ressourcen und ihrem Gesamtrisikoprofil finden. Kleinstunternehmen und Finanzunternehmen, die dem vereinfachten IKT-Risikomanagementrahmen nach dieser Verordnung unterliegen, sollten von der Verpflichtung ausgenommen werden, erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis bedrohungsorientierter Penetrationstests (TLPT — Threat Led Penetration Testing) durchzuführen, da nur Finanzunternehmen, die die Kriterien in dieser Verordnung erfüllen, verpflichtet sein sollten, diese Tests durchzuführen. Angesichts ihrer begrenzten Kapazitäten sollten Kleinstunternehmen mit dem IKT-Drittdienstleister vereinbaren können, die Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens an einen vom IKT-Drittdienstleister zu beauftragenden unabhängigen Dritten zu delegieren, sofern das Finanzunternehmen jederzeit alle relevanten Informationen und Zusicherungen über die Leistung des IKT-Drittdienstleisters von dem jeweiligen unabhängigen Dritten anfordern kann.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.