Neue RTS zu DORA herausgegeben

Dank DORA soll der europäische Finanzsektor den Bedrohungen des digitalen Zeitalters standhalten können, zentrale Fragen der Umsetzung sind aber noch offen. Um diese Lücke zu schließen, haben am 17. Jänner 2024 die europäischen Aufsichtsbehörden den endgültigen Entwurf technischer Regulierungsstandards ("RTS") veröffentlicht.

Ziel der neuen RTS ist es, den von DORA erfassten Finanzunternehmen klare Auslegungs- und Umsetzungsregelungen für die Implementierung der Maßnahmen an die Hand zu geben. Veröffentlicht wurden dabei RTS zum Risikomanagementrahmen, zu den Kriterien für die Klassifizierung von Sicherheitsvorfällen sowie zu den Grundsätzen im Rahmen der Auslagerung.

Im Entwurf der RTS zum Risikomanagementrahmen werden weitere Elemente zur Harmonisierung der Prozesse und Strategien festgelegt. Darüber hinaus legen die RTS einen vereinfachten Risikomanagementrahmen für jene Finanzunternehmen fest, die vereinfachte Regelungen im Rahmen von DORA vorhalten müssen. Die RTS sollen damit sicherstellen, dass die Anforderungen an das Risikomanagement zwischen den verschiedenen Finanzsektoren vereinheitlicht werden.

Die RTS zur Bewertung von Sicherheitsvorfällen geben darüber hinaus klare Anhaltspunkte dafür, wann ein Vorfall als erheblich einzustufen ist. Die RTS umfassen zu diesem Zweck Kriterien für die Klassifizierung von Vorfällen und Cyber-Bedrohungen und legen entsprechende Erheblichkeitsschwellen fest. Die RTS enthalten daher eine Liste von sieben Kriterien, anhand derer bestimmt werden kann, ob ein Vorfall als bedeutendes Ereignis anzusehen ist.

Darüber hinaus legen die RTS spezifische Anforderungen für Governance-Regelungen, das Risikomanagement und den internen Kontrollrahmen im Zusammenhang mit der Nutzung von Drittanbietern bei der Auslagerung von Dienstleistungen fest. Ziel ist es dabei, dass die Unternehmen während der gesamten Dauer der vertraglichen Vereinbarungen mit den Drittanbietern die Kontrolle über ihre operationellen Risiken, die Informationssicherheit sowie die Geschäftskontinuität behalten. Durch diese RTS erhalten Finanzunternehmen klare Leitlinien für die Ausgestaltung von Verträgen und Vereinbarungen mit Drittanbietern, insbesondere wenn die Dienstleister kritische oder wesentliche Funktionen erbringen. Zu beachten ist dabei, dass die RTS explizit auch gruppeninterne IKT-Dienstleister als Drittanbieter einbeziehen, für welche nur geringfügig abweichende Regelungen gelten.

Die RTS befinden sich aktuell noch im Entwurfsstadium. Mit der Verbindlichkeit der RTS ist für Anfang 2025 zu rechnen.

Das Team

Raphael Toman

Array
(
    [0] => WP_Term Object
        (
            [term_id] => 4
            [name] => Partner
            [slug] => partner
            [term_group] => 0
            [term_taxonomy_id] => 4
            [taxonomy] => category
            [description] => Partner
            [parent] => 0
            [count] => 8
            [filter] => raw
        )

)

Partner / Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Compliance & Interne Untersuchungen, Kapitalmarktrecht, Öffentliches Wirtschaftsrecht & Regulatory, IP & Datenschutz, Legal Tech

Raphael betreut vorwiegend Finanzdienstleister in Verfahren vor Zivil- wie Verwaltungsgerichten sowie bei regulatorischen Fragestellungen, Geldwäscheprävention, Sanktionen sowie Kryptowerte. Daneben vertritt er Mandant:innen aus verschiedenen Branchen in (grenzüberschreitenden) streitigen Verfahren. Weiters unterstützt er Unternehmen in datenschutzrechtlichen Belangen, und ist selbst Datenschutzbeauftragter bei einem Biotechunternehmen sowie einem internationalen Sportverband.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2011; Dr. iur. 2019)
New York University, Leistungsstipendium der Universität Wien (LL.M. 2017)
Zulassung als Rechtsanwalt auch in New York (2017)
Stagiaire bei der International Chamber of Commerce (2018)

Christian Lenz

Array
(
    [0] => WP_Term Object
        (
            [term_id] => 1
            [name] => Associated Partner
            [slug] => associated-partner
            [term_group] => 0
            [term_taxonomy_id] => 1
            [taxonomy] => category
            [description] => 
            [parent] => 0
            [count] => 4
            [filter] => raw
        )

    [1] => WP_Term Object
        (
            [term_id] => 5
            [name] => Attorney at Law
            [slug] => attorney-at-law
            [term_group] => 0
            [term_taxonomy_id] => 5
            [taxonomy] => category
            [description] => 
            [parent] => 0
            [count] => 16
            [filter] => raw
        )

)

Associated Partner / Prozessführung, Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Immobilienrecht

Christian vertritt zahlreiche Kreditinstitute und Versicherungsunternehmen sowie Glücksspielanbieter in Zivilverfahren zu zivilrechtlichen Haftungsfragen. Er berät seine Mandant:innen beim Erstellen von Vertrags- und Werbeunterlagen sowie zu wirksamen Präventionsmaßnahmen.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2002)