DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren sollen. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es für Kleinstunternehmen und für Finanzunternehmen, die in Artikel 16 (vereinfachter IKT-Risikomanagementrahmen) genannt sind.

Ein solches Testprogramm soll zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfassen. Auf diese Weise sollen die Finanzunternehmen unter anderem erkennen, wie sie auf IKT-Vorfälle vorbereitet sind und wo sie möglicherweise Schwachstellen in ihrer digitalen operationellen Resilienz haben. Das Testprogramm ist integraler Bestandteil des IKT-Risikomanagementrahmens eines jeden Finanzunternehmens.

Threat-led Penetration Testing (TLPT)

Neben den allgemeinen Anforderungen für das Testen der digitalen operationalen Resilienz im Rahmen des Testprogramms von Finanzunternehmen, wie es in den Artikel 24 und 25 DORA beschrieben ist, führt DORA ebenfalls erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT ein (Artikel 26 und 27 DORA).

Threat-led Penetration Testing (TLPT)

Quelle: BaFin

Im Gegensatz zu den allgemeinen Anforderungen für das Testen gelten die erweiterten Tests auf Basis von TLPT nur für eine kleine Anzahl an Finanzunternehmen, die anhand der Kriterien von Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert werden. Diese identifizierten Unternehmen werden von der BaFin als zuständigen Aufsichtsbehörde oder im Falle von signifikanten Kreditinstituten von der EZB durch einen Identifikationsbescheid über ihre Verpflichtung zur Durchführung eines TLPT informiert.

Die Kriterien sind in Artikel 26 Absatz 8 Unterabsatz 3 DORA beschrieben. Bei der Identifikation von Finanzunternehmen, die TLPT durchzuführen haben, sollen sich zuständige Behörden neben dem allgemeinen Proportionalitätsgrundsatz im Sinne von Artikel 4 Absatz 2 DORA auf die Bewertung folgender Kriterien stützen:

a) wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
b) etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
c) dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.

Diese Kriterien werden in dem technischen Regulierungsstandard (nachfolgend RTS) zu TLPT (siehe unten) spezifiziert.

Kriterien RTS

Quelle: BaFin

Technischer Regulierungsstandard (RTS) zu TLPT

Im Rahmen der europäischen Umsetzungsarbeiten zu DORA wurden die ESAs über den Gemeinsamen Ausschuss und im Einvernehmen mit der EZB gemäß Artikel 26 Absatz 11 DORA ermächtigt, einen RTS-Entwurf zu bestimmten Aspekten der fortgeschrittenen Prüfung von IKT-Werkzeugen, -Systemen und -Prozessen auf der Grundlage von TLPT in Übereinstimmung mit dem TIBER-EU-Rahmen der Europäischen Kommission vorzulegen. Dieser Entwurf (bitte das Wort „Entwurf“ mit folgendem Link belegen: https://webgate.ec.europa.eu/regdel/#/delegatedActs/2533?lang=en) ist am 13. Februar 2025 von der Europäischen Kommission angenommen worden und befindet sich in einer drei monatigen Prüfphase. Mit einer Veröffentlichung im Amtsblatt der EU ist voraussichtlich im Juni 2025 zu rechnen. 20 Tage nach Veröffentlichung im Amtsblatt der EU wird der RTS zu TLPT in Kraft treten.

Das Mandat dieses RTS umfasst:

a) die für die Zwecke der Identifikation von Finanzunternehmen zur Durchführung von TLPT nach Artikel 26 Absatz 8 DORA herangezogenen Kriterien;
b) die Anforderungen und Standards für den Einsatz interner Tester;
c) die Anforderungen hinsichtlich:

d) der Art der aufsichtlichen und sonstigen relevanten Zusammenarbeit, die für die Umsetzung von TLPT und die Erleichterung der gegenseitigen Anerkennung dieser Tests im Kontext von Finanzunternehmen, die in mehr als einem Mitgliedstaat tätig sind, erforderlich ist, um eine angemessene Beteiligung der Aufsichtsbehörden und eine flexible Umsetzung zu ermöglichen, damit den Besonderheiten finanzieller Teilsektoren oder lokaler Finanzmärkte Rechnung getragen wird.

Der finale Entwurf des RTS zu TLPT ist am 17. Juli 2024 von den ESAs an die Europäische Kommission gesendet worden (Link: https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024-29_-_Final_report_DORA_RTS_on_TLPT.pdf). Der RTS-Entwurf wird nun von der Kommission bearbeitet.

Testmethodik & Kooperation mit der Deutschen Bundesbank

Die Testmethodik für TLPT unter DORA orientiert sich an den wesentlichen Inhalten des bereits bestehenden freiwilligen TIBER-EU-Rahmenwerks. Erfahrungen und Erkenntnisse aus den freiwilligen Tests sind in die Ausgestaltung des RTS zu TLPT eingeflossen. Dementsprechend werden die Prozesse zur konkreten Durchführung von TLPT auf den TIBER-DE-Prozessen aufbauen. Auch wird die bestehende Zusammenarbeit von Bundesbank und BaFin weiter ausgebaut und Synergien ausgenutzt. Konkret bedeutet dies: die BaFin ist zuständige Ausichtsbehörde und für die aufsichtlichen Aufgaben zum Thema TLPT verantwortlich, die operative Begleitung der TLPT obliegt der Deutschen Bundesbank.

Testmethodik & Kooperation mit der Deutschen Bundesbank

Quelle: Bundesbank und BaFin

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.