Am 25. Juni 2024, knapp sieben Monate vor der Anwendbarkeit der DORA-Verordnung, wurden im Amtsblatt der EU erste offizielle, in alle Amtssprachen der EU übersetzten Texte technische Regulierungsstandards (RTS) zur Anwendung der DORA-Verordnung veröffentlicht:

• RTS über den IKT-Risikomanagementrahmen (Art. 15) bzw. den vereinfachten IKT-Risikomanagementrahmen für kleinere Finanzunternehmen (Art. 16 Abs. 3)
• RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
• RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen von kritischen oder wichtigen Funktionen (Art. 28 Abs. 10).

Die Level-II- und Level-III-Regulierungsakte (technische Regulierungsstandards, englisches Kürzel: RTS, technische Durchführungsstandards, englisches Kürzel ITS sowie Leitlinien) wurden in zwei „Paketen“ vorbereitet. Das erste Paket wurde Mitte 2023 und das zweite Anfang 2024 als (englischsprachige) Entwürfe der Europäische Aufsichtsbehörden (ESA) veröffentlicht und zur Konsultation gestellt. Unter Berücksichtigung der Konsultationsantworten finalisierte (ebenfalls nur englischsprachige) Entwürfe wurden im Januar 2024 von den ESA and die Kommission übermittelt. Die Lieferung finaler ESA-Entwürfe für das zweiten Paket steht für den 17. Juli 2024 an. Bevor diese Entwürfe im Amtsblatt veröffentlicht werden, müssen sie von der Kommission geprüft und, nach einer Beteiligung von Rat und Europäischem Parlament, gebilligt werden.

Ausstehend aus dem ersten Paket ist der ITS über das Informationsregister (Art. 28 Abs. 9 DORA-VO). Als Begründung für die Verzögerung wurden seitens der KOM mittlerweile noch andauernde Übersetzungsarbeiten genannt, die sich bis September 2024 hinziehen könnten.

Den Prozess der Billigung durch die Kommission werden in den kommenden, mindestens drei Monaten Level-II- und Level-III-Regulierungsakte durchlaufen (Hinweis: Anstelle einzelner Links folgt ein pauschaler Hinweis auf die DORA-Themenseite der BaFin, wo Aktualisierungen, einschließlich der jeweils aktuellen Links, zeitnah und systematisch vorgenommen werden):

• RTS zu Threat Led Penetration Testing (Art. 26 Abs.11);
• RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5);
• RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a);
• ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b);
• RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41);
• Leitlinien für die Zusammenarbeit zwischen den ESA und den nationalen Aufsichtsbehörden hinsichtlich der Struktur der Überwachung (Art. 32 Abs. 7).

Angesichts der kürzer werden Vorbereitungszeit und des Fehlens einer Übergangsregelung im Zeitraum ab 17. Januar 2024 empfehlen BaFin und EIOPA-Vertreter auf Informationsveranstaltungen und Workshops einvernehmlich, die Vorbereitungen auf Basis der jeweils aktuellen Entwürfe voranzutreiben. Umfangreiche Änderungen seien zum jetzigen Zeitpunkt nicht mehr zu erwarten.