BaFin lägger fram vägledning för implementering av DORA

Tysklands finansinspektion BaFin publicerade den 8 juli 2024 en vägledning för implementeringen av regelverket för digital operativ motståndskraft (DORA) och riskhantering av IT-tredjeparter.

Vägledningen riktar sig särskilt till företag som står under BaFins tillsyn och som omfattas av BAIT/VAIT-regelverken. Dessa företag kommer framöver att behöva följa kraven för IT-riskhantering enligt DORA artikel 5 till 15. Syftet är att stödja finansinstitut i implementeringen av DORA och förberedelserna inför dess tillämpning från och med den 17 januari 2025.

Vägledningen bygger på resultaten från sex arbetsgrupper, bestående av representanter från industrin, BaFin och den tyska centralbanken (Deutsche Bundesbank). Under 2023 jämförde dessa grupper metodiskt och innehållsmässigt DORA-kraven för IT-riskhantering och risker relaterade till IT-tredjeparter med kraven i BAIT och VAIT.

BaFins meddelande innehåller även en omfattande lista över minimikrav för avtal som finansinstitut måste ingå med IT-tredjepartsleverantörer, i enlighet med DORA och tillhörande regeltekniska standarder (RTS). Dessa krav specificerar nödvändiga avtalsvillkor för exempelvis underleverantörer av kritiska funktioner och IT-tjänster.

BaFin-vägledningen belyser flera centrala skillnader jämfört med tidigare BAIT/VAIT-regelverk. DORA gör digital operativ motståndskraft och IT-riskhantering till ett explicit ansvar för ledningen, som måste godkänna processer och strategier. Kraven på identifiering, analys och hantering av IT-risker skärps. Särskilt anmärkningsvärda är de utökade kraven på riskhantering av IT-tredjepartsleverantörer, inklusive specifika avtalsvillkor och regelverk för underleverantörer. Medan vissa områden som behörighetshantering kan kräva mindre anpassningar, är DORA:s krav generellt mer detaljerade än de tidigare principbaserade BAIT/VAIT-reglerna.