Mit dem Digital Operational Resilience Act (DORA) reagiert die EU-Legislative auf die zunehmenden Cyber- und Informationssicherheitsrisiken und zielt darauf ab, die digitale operationelle Widerstandsfähigkeit von Unternehmen im gesamten EU-Finanzsektor zu verbessern. Die Verordnung ist zum 16. Januar 2023 in Kraft getreten und sieht für die Umsetzung der Anforderungen eine Übergangsfrist von 24 Monaten bis zum 17. Januar 2025 vor. 

Die ersten Spezifikationen wurden nun am 19. Juni 2023 durch die EBA zur öffentlichen Konsultation veröffentlicht:

• RTS zu Art. 15 und 16 (3) DORA zum IKT-Risikomanagementrahmen,-prozessen und -strategien sowie Details zum vereinfachten IKT-Risikomanagementrahmen
• RTS zu Art. 18 (3) DORA zu Kriterien, Schwellenwerten zur Klassifizierung von IKT-bezogenen Vorfällen und Cyber-Bedrohungen
• ITS zu Art. 28 (9) Inhalte und Meldeformular/-weg des Informationsregisters für IKT-Drittdienstleister
• RTS zu Art. 28 (2 i.v.m 10) Vertragliche Mindestinhalte für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen

Bis zum 11. September 2023 können Stellungnahmen zur Konsultation bei der EBA eingereicht werden. Die Finalisierung erfolgt dann voraussichtlich zum 17. Januar 2024.
Die nächsten Spezifikationen (Art.11 (11), 20a, 20b, 26(11), 30(5), 32(7) und 41 werden voraussichtlich im November/Dezember 2023 veröffentlicht werden.  

Am 13. Juli 2024 wird die EBA öffentlich zu den veröffentlichten Spezifikationen Stellung beziehen.