Kreditwirtschaftlich wichtige Vorhaben der EU (2021)

J J. DIGITALISIERUNG UND INFORMATIONSTECHNOLOGIE II. VORHABEN IN BERATUNG BEWERTUNG Grundsätzlich unterstützenwir denHarmonisierungs - ansatz der Europäischen Kommission, um Mehrfach - regulierung zu begegnen und DORA als “lex specialis” für den Finanzsektor Geltung zu etablieren. Wir gehen davon aus, dass in Folge der sehr umfangreichen sowie detaillierten Regelungen von DORA und deren geplan - ten Umsetzung durch die europäischen Aufsichtsbe - hörden grundlegende strukturelle Änderungen in der Aufsichtsführung und -praxis auf europäischer und nationaler Ebene zu erwarten sind. Die Schaffung ei - nes Aufsichtsrahmens und die geplante Beaufsichti - gung kritischer IKT-Dienstleister auf Basis einheitlicher Standards und optionaler Zertifizierung können zu einer dringend notwendigen Entlastung von Banken bei der Erfüllung aufsichtsrechtlicher Anforderungen (u. a. durch eine Reduzierung des Aufwands in der Dienstleistersteuerung, dem Management von Dritt­ risiken und der Reduzierung von Auditpflichten) füh - ren. Insgesamt sollte eine prinzipienbasierte Regulie - rung erfolgen, die den Umgangmit unterschiedlichen Risikoprofilen ermöglicht und keinerlei Nachjustieren einzelner Regelungen imZuge vonWeiterentwicklun - gen erfordert. Insgesamt wird es darauf ankommen, ob der Propor - tionalitätsgrundsatz durchgehend entlang der einzel - nen Anforderungen verankert wird. Darüber hinaus sehen wir insbesondere in folgenden Punkten Hand - lungsbedarf: → Vorgesehen sind u.a. verpflichtende Auflösungen von Verträgen mit Dienstleistern unter bestimmten Bedingungen (z.B. bei Verlust der Aufsichtsmöglich - keit). Eine verpflichtende Vertragsauflösung kannmit erheblichen Risiken verbunden sein. Ebenso wenig praktikabel erscheint die vorgesehene Verpflichtung, Alternativen für den Fall eines erforderlichen Dienst - leisterwechsels im Rahmen einer „Multi-Vendor-Stra - tegie“ aktiv vorzuhalten. → Mit DORA soll ein europäischer Aufsichtsrahmen für IKT-Drittdienstleister wie Cloud-Diensteanbieter geschaffenwerden. Dabei sollten große, international agierende Cloud-Dienstleister im Fokus stehen. Die Prüfung überwiegend national tätiger IKT-Dienstleister sollte weiterhin durch nationale Aufsichtsbehörden erfolgen, da diese die nationalen Gegebenheiten kennen und bewerten können. Wir unterstützen im Zusammenhang eine standardbasierte (optionale) Zertifizierung von Cloud-Dienstleistern, um die Insti - tute beim Nachweis der Konformität zu gesetzlichen und aufsichtsrechtlichen Anforderungen zu entlasten. → DORA sieht konkrete Verpflichtungen zur Meldung von schwerwiegenden IKT-Sicherheitsvorfällen vor. Im Gesetzesentwurf sollte sichergestellt werden, dass dies auf Basis einheitlicher Rahmenbedingungen mit abgestimmtemVorgehen erfolgt. Eineweitergehende Fragmentierung des europäischen Meldewesens sollte unbedingt vermiedenwerden. Besonders wich - tig ist aus unserer Sicht auch, dass imZuge der Anwen - dung von DORA als „Lex Specialis“ keine Doppel- oder Mehrfachmeldungen erforderlichwerden undMeldun - gen von Banken oder durch beauftragte IKT-Dienstleis - ter erfolgen können. Wir empfehlen insgesamt ein Abwägen, ob mit den geforderten Berichtsinhalten tatsächlich eine Verbesserung der Cybersicherheit erreicht werden kann, oder womöglich unverhältnis - mäßige Mehrbelastungen für Banken geschaffen werden. REFERENZ Vorschlag für eine Verordnung des Europäischen Parla - ments und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors und zur Änderung der Verord - nungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014, COM/2020/595 final vom 24. September 2020 233