DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren sollen. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es für Kleinstunternehmen und für Finanzunternehmen, die in Artikel 16 (vereinfachter IKT-Risikomanagementrahmen) genannt sind.
Ein solches Testprogramm soll zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfassen. Auf diese Weise sollen die Finanzunternehmen unter anderem erkennen, wie sie auf IKT-Vorfälle vorbereitet sind und wo sie möglicherweise Schwachstellen in ihrer digitalen operationellen Resilienz haben. Das Testprogramm ist integraler Bestandteil des IKT-Risikomanagementrahmens eines jeden Finanzunternehmens.
Threat-led Penetration Testing (TLPT)
Neben den allgemeinen Anforderungen für das Testen der digitalen operationalen Resilienz im Rahmen des Testprogramms von Finanzunternehmen, wie es in den Artikel 24 und 25 DORA beschrieben ist, führt DORA ebenfalls erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT ein (Artikel 26 und 27 DORA).
Threat-led Penetration Testing (TLPT)
Quelle: BaFin
Im Gegensatz zu den allgemeinen Anforderungen für das Testen gelten die erweiterten Tests auf Basis von TLPT nur für eine kleine Anzahl an Finanzunternehmen, die anhand der Kriterien von Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert werden. Diese identifizierten Unternehmen werden von der BaFin als zuständigen Aufsichtsbehörde oder im Falle von signifikanten Kreditinstituten von der EZB durch einen Identifikationsbescheid über ihre Verpflichtung zur Durchführung eines TLPT informiert.
Die Kriterien sind in Artikel 26 Absatz 8 Unterabsatz 3 DORA beschrieben. Bei der Identifikation von Finanzunternehmen, die TLPT durchzuführen haben, sollen sich zuständige Behörden neben dem allgemeinen Proportionalitätsgrundsatz im Sinne von Artikel 4 Absatz 2 DORA auf die Bewertung folgender Kriterien stützen:
a) wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
b) etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
c) dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.
Diese Kriterien werden in dem technischen Regulierungsstandard (nachfolgend RTS) zu TLPT (siehe unten) spezifiziert.
Kriterien RTS
Quelle: BaFin
Technischer Regulierungsstandard (RTS) zu TLPT
Im Rahmen der europäischen Umsetzungsarbeiten zu DORA wurden die ESAs über den Gemeinsamen Ausschuss und im Einvernehmen mit der EZB gemäß Artikel 26 Absatz 11 DORA ermächtigt, einen RTS-Entwurf zu bestimmten Aspekten der fortgeschrittenen Prüfung von IKT-Werkzeugen, -Systemen und -Prozessen auf der Grundlage von TLPT in Übereinstimmung mit dem TIBER-EU-Rahmen vorzulegen. Dieser wurde am 17. Juli 2024 von den ESAs an die europäische Kommission übermittelt (LINK) und wird dort nun geprüft. Nach Veröffentlichung im Amtsblatt der EU wird er in Kraft treten.
Das Mandat dieses RTS umfasst:
a) die für die Zwecke der Identifikation von Finanzunternehmen zur Durchführung von TLPT nach Artikel 26 Absatz 8 DORA herangezogenen Kriterien;
b) die Anforderungen und Standards für den Einsatz interner Tester;
c) die Anforderungen hinsichtlich:
i) des Testumfang von TLPT;
ii) der Testmethodik und des Testkonzepts für jede einzelne Phase des Testverfahrens;
iii) der Ergebnisse, des Abschlusses und der Behebungsphasen der Tests;
d) der Art der aufsichtlichen und sonstigen relevanten Zusammenarbeit, die für die Umsetzung von TLPT und die Erleichterung der gegenseitigen Anerkennung dieser Tests im Kontext von Finanzunternehmen, die in mehr als einem Mitgliedstaat tätig sind, erforderlich ist, um eine angemessene Beteiligung der Aufsichtsbehörden und eine flexible Umsetzung zu ermöglichen, damit den Besonderheiten finanzieller Teilsektoren oder lokaler Finanzmärkte Rechnung getragen wird.
Der finale Entwurf des RTS zu TLPT ist am 17. Juli 2024 von den ESAs an die Europäische Kommission gesendet worden (Link: https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-29_-_Final_report_DORA_RTS_on_TLPT.pdf). Der RTS-Entwurf wird nun von der Kommission bearbeitet.
Testmethodik & Kooperation mit der Deutschen Bundesbank
Die Testmethodik für TLPT unter DORA orientiert sich an den wesentlichen Inhalten des bereits bestehenden freiwilligen TIBER-EU-Rahmenwerks. Erfahrungen und Erkenntnisse aus den freiwilligen Tests sind in die Ausgestaltung des RTS zu TLPT eingeflossen. Dementsprechend werden die Prozesse zur konkreten Durchführung von TLPT auf den TIBER-DE-Prozessen aufbauen. Auch wird die bestehende Zusammenarbeit von Bundesbank und BaFin weiter ausgebaut und Synergien ausgenutzt. Konkret bedeutet dies: die BaFin ist zuständige Ausichtsbehörde und für die aufsichtlichen Aufgaben zum Thema TLPT verantwortlich, die operative Begleitung der TLPT obliegt der Deutschen Bundesbank.
Testmethodik & Kooperation mit der Deutschen Bundesbank
Quelle: Bundesbank und BaFin
Was müssen Sie wissen?
Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.
Wie werden die Anforderungen an das Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland umgesetzt?
Die wesentliche Testmethodik und die Testverfahren für TLPT sollen im Einklang mit dem TIBER-EU-Rahmenwerk erfolgen (Artikel 26 Absatz 11 DORA). Deshalb werden die operativen Aufgaben mit Bezug zu TLPT - wie bereits unter TIBER-DE - von der Deutschen Bundesbank wahrgenommen. Durch DORA werden solche Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens eines Finanzunternehmens. Daher wird die jeweils zuständige Aufsichtsbehörde (in Deutschland die BaFin bzw. für signifikante Kreditinstitute die EZB) diese Tests in die aufsichtlichen Prozesse einbinden. Dies betrifft insbesondere die Aspekte Identifikation von Finanzunternehmen, die künftig TLPT durchführen müssen, die Festlegung der Testfrequenz, die Validierung des Testumfangs und die Berücksichtigung der Testergebnisse in der laufenden Aufsicht.
Welche Institute und Unternehmen müssen die erweiterten Anforderungen an das Testen im Sinne von Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland erfüllen?
Allgemeine Anforderungen an das Testen gibt es für alle Finanzunternehmen im Anwendungsbereich von DORA (Artikel 24 und 25 DORA). Ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.
Die Anforderung für erweiterte Tests auf Basis von TLPT im Sinne von Artikel 26 und 27 DORA gilt nur für ausgewählte Finanzunternehmen, die entsprechend den Kriterien in Artikel 26 Absatz 8 DORA auf Basis der folgenden Kriterien durch die zuständige Aufsichtsbehörde identifiziert werden:
- wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
- etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
- dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.
Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) durch die ESAs in Zusammenarbeit mit den zuständigen Behörden spezifiziert. Die öffentliche Konsultation des RTS-Entwurfs ist von Dezember 2023 bis Februar 2024 geplant. Der finale Entwurf soll im Juli 2024 an die Europäische Kommission übermittelt werden. Die BaFin wird die von ihr beaufsichtigten Institute und Unternehmen möglichst frühzeitig über eine Identifikation informieren.
Werden bereits durchgeführte TIBER-DE-Tests bei der Anordnung von erweiterten Tests auf der Basis von TLPT von der BaFin berücksichtigt?
Da die Testmethodik von TIBER-Tests und TLPT in wesentlichen Teilen im Einklang sind, wird die BaFin bei der Anordnung eines TLPT ab 2025 bis dahin durchgeführte TIBER-DE-Tests positiv berücksichtigen.
Wie erfahre ich, dass ich verpflichtet bin, TLPT durchzuführen?
Als von der BaFin beaufsichtigtes Institut oder Unternehmen erhalten Sie von der BaFin einen Bescheid über die Identifikation zur Verpflichtung, TLPT in einem Dreijahresrhythmus oder mit einer anderen Frequenz durchzuführen. Separat davon erfolgt die konkrete Testanordnung.
An wen kann ich mich zu weitergehenden Fragen zum Thema TLPT unter DORA wenden?
Wie sind die TLPT-Prozesse für Kreditinstitute unter Aufsicht der EZB oder anderer Finanzunternehmen, die nicht unter Aufsicht der BaFin stehen, ausgestaltet?
Im Falle von Kreditinstituten, die unter Aufsicht der EZB stehen oder anderer Finanzunternehmen, wie bespielsweise Börsen, die unter Aufsichts der Börsenaufsichtsbehörden der Länder stehen, wird die bestehende Aufsichtsstruktur nicht geändert. In diesen Fällen ist die zuständige Aufsichtsbehörde - also EZB oder Börsenaufsichtsbehörden der Länder - auch für das Thema TLPT zuständig.
Wie werden die Anforderungen an das Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland umgesetzt?
Die wesentliche Testmethodik und die Testverfahren für TLPT sollen im Einklang mit dem TIBER-EU-Rahmenwerk erfolgen (Artikel 26 Absatz 11 DORA). Deshalb werden die operativen Aufgaben mit Bezug zu TLPT - wie bereits unter TIBER-DE - von der Deutschen Bundesbank wahrgenommen. Durch DORA werden solche Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens eines Finanzunternehmens. Daher wird die jeweils zuständige Aufsichtsbehörde (in Deutschland die BaFin bzw. für signifikante Kreditinstitute die EZB) diese Tests in die aufsichtlichen Prozesse einbinden. Dies betrifft insbesondere die Aspekte Identifikation von Finanzunternehmen, die künftig TLPT durchführen müssen, die Festlegung der Testfrequenz, die Validierung des Testumfangs und die Berücksichtigung der Testergebnisse in der laufenden Aufsicht.
Welche Institute und Unternehmen müssen die erweiterten Anforderungen an das Testen im Sinne von Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland erfüllen?
Allgemeine Anforderungen an das Testen gibt es für alle Finanzunternehmen im Anwendungsbereich von DORA (Artikel 24 und 25 DORA). Ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.
Die Anforderung für erweiterte Tests auf Basis von TLPT im Sinne von Artikel 26 und 27 DORA gilt nur für ausgewählte Finanzunternehmen, die entsprechend den Kriterien in Artikel 26 Absatz 8 DORA auf Basis der folgenden Kriterien durch die zuständige Aufsichtsbehörde identifiziert werden:
- wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
- etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
- dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.
Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) durch die ESAs in Zusammenarbeit mit den zuständigen Behörden spezifiziert. Die öffentliche Konsultation des RTS-Entwurfs ist von Dezember 2023 bis Februar 2024 geplant. Der finale Entwurf soll im Juli 2024 an die Europäische Kommission übermittelt werden. Die BaFin wird die von ihr beaufsichtigten Institute und Unternehmen möglichst frühzeitig über eine Identifikation informieren.
