Datum: 21.11.2023Welche Institute und Unternehmen müssen die erweiterten Anforderungen an das Testen im Sinne von Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland erfüllen?
Allgemeine Anforderungen an das Testen gibt es für alle Finanzunternehmen im Anwendungsbereich von DORA (Artikel 24 und 25 DORA). Ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.
Die Anforderung für erweiterte Tests auf Basis von TLPT im Sinne von Artikel 26 und 27 DORA gilt nur für ausgewählte Finanzunternehmen, die entsprechend den Kriterien in Artikel 26 Absatz 8 DORA auf Basis der folgenden Kriterien durch die zuständige Aufsichtsbehörde identifiziert werden:
- wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
- etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
- dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.
Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) durch die ESAs in Zusammenarbeit mit den zuständigen Behörden spezifiziert. Die öffentliche Konsultation des RTS-Entwurfs ist von Dezember 2023 bis Februar 2024 geplant. Der finale Entwurf soll im Juli 2024 an die Europäische Kommission übermittelt werden. Die BaFin wird die von ihr beaufsichtigten Institute und Unternehmen möglichst frühzeitig über eine Identifikation informieren.
