BAIT und DORA Materialsammlung

Datum Kennung Inhalt Dokument
16-Aug-2021

Rundschreiben
10/2017 (BA)

Bankaufsichtliche Anforderungen an die IT (BAIT)

Darin:
1 IT-Strategie
2 IT-Governance
3 Informationsrisikomanagement
4 Informationssicherheitsmanagement
5 Operative Informationssicherheit
6 Identitäts- und Rechtemanagement
7 IT-Projekte und Anwendungsentwicklung
8 IT-Betrieb
9 Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
10 IT-Notfallmanagement
11 Management der Beziehungen mit Zahlungsdienstnutzern
12 Kritische Infrastrukturen

BAIT (12 Kapitel, 34 Seiten)
Rundschreiben 10/2017 (BA) in der Fassung vom 16.08.2021

(auch in Englisch verfügbar)

2-Oct-2019 Rundschreiben 11/2019 (WA)

Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)

KAIT (8 Kapitel, 27 Seiten)
Rundschreiben 11/2019 (WA) in der Fassung vom 01.10.2019
3-Mar-2022

Rundschreiben 10/2018 (VA)

Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

VAIT (11 Kapitel, 40 Seiten)
Rundschreiben 10/2018 (VA) in der Fassung vom 03.03.2022
16-Aug-2021

Rundschreiben 11/2021 (BA)

Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT)

ZAIT (12 Kapitel, 48 Seiten)
Rundschreiben 11/2021 (BA) in der Fassung vom 16.08.2021
29-Jun-2023

Rundschreiben 05/2023 (BA)

Mindestanforderungen an das Risikomanagement - MaRisk

Darin insbesondere:
AT 7.1 Personal
AT 7.2 Technisch-organisatorische Ausstattung
AT 7.3 Notfallmanagement
AT 8.2 Änderungen betrieblicher Prozesse oder Strukturen
AT 9 Auslagerung

MaRisk (BA) (55 Seiten)
Rundschreiben 05/2023 (BA) vom 29.06.2023
       
14-Dec-2022

final:
(EU)2022/2554

gilt ab 17 Januar 2025

Verordnung (EU) 2022/2554
über die digitale operationale Resilienz im Finanzsektor
("DORA"). Darin die Kapitel:

I - Allgemeine Bestimmungen
II - IKT-Risikomanagement
III - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
IV - Testen der digitalen operationalen Resilienz
V - Management des IKT-Drittparteienrisikos
VI - Vereinbarungen über den Austausch von Informationen
VII - Zuständige Behörden
VIII - Delegierte Rechtsakte
IX - Übergangs- und Schlussbestimmungen

(EU)2022/2554 Verordnung (64 Artikel, 79 Seiten)

.

14-Dec-2022 (EU) 2022/2556

Richtlinie (EU) 2022/2556 ...zur Änderung der Richtlinien ...hinsichtlich der digitalen operationalen Resilienz im Finanzsektor

Ändert acht verschiedene Richtlinien (u.a. MiFID-2) und bedarf nationaler Umsetzung.

(EU)2022/2556 Richtlinie (11 Artikel, 11 Seiten)
22-Febr-2024

Entwurf 22Feb24
C(2024)902

Verordnung 22Feb24
(EU) 2024/1505

DELEGIERTE VERORDNUNG (EU) .../... DER KOMMISSION vom 22.2.2024 zur Ergänzung der Verordnung (EU) 2022/2554 ...durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren

(EU)2024/1505 Verordnung (7 Artikel, 4 Seiten)
"zur Ergänzung der Verordnung (EU) 2022/2554 ...durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKTDrittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren

13-Mar-2024

Cnslt.Paper 16JUN23
JC 2023 34

Final Report 17JAN24
JC 2023 83

Entwurf 13MAR24
C(2024)1519

Verordnung 13MAR24
(EU) 2024/1772

RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen
RTS gemäß Art. 18(3) DORA

(im Final Report waren noch 19 Artikel, in Verordnung 13)

Final Report (77 Seiten)
on Draft Regulatory Technical Standards specifying the criteria for the classification of ICT related incidents, materiality thresholds for major incidents and significant cyber threats under Regulation (EU) 2022/2554

(EU)2024/1772 Verordnung (13 Artikel, 9 Seiten)
"zur Ergänzung der Verordnung (EU) 2022/2554 ...durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle

17-Jul-2024

Draft
JC 2023 70

Final Report 17Jul2024
JC 2024 33

RTS zur zur Festlegung des Inhalts der Meldung und Berichte zu IKT-Vorfällen und erhebliche Cyber-Bedrohungen sowie die Fristen für die Meldung dieser Vorfälle
gemäß Art. 20a DORA

und

ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle
gemäß Art. 20b DORA

Consultation Paper JC 2023 70 (98 Seiten):

Final report JC 2024 33 (128 Seiten)
Draft Regulatory Technical Standards on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents
and
Draft Implementing Technical Standards On the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat

13-Mar-2024

Final Report 17JAN24
JC 2023 84

Entwurf 13MAR24
C(2024) 1531

Verordnung 13MAR24
(EU) 2024/1773

RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen
RTS gemäß Art. 28(10) DORA (zur Erfüllung von Art.28(2) )
"RTS TPPol"

"RTS to specify the policy on third-party ICT services supporting critical or important functions"

Final Report (57 Seiten)
on Draft Regulatory Technical Standards to specify the detailed content of the policy in relation to the contractual arrangements on the use of ICT services supporting critical or important functions provided by ICT third-party service providers as mandated by Regulation (EU) 2022/2554

(EU)2024/1773 Verordnung (11 Artikel, 9 Seiten)
"zur Ergänzung der Verordnung (EU) 2022/2554 ...durch technische Regulierungsstandards zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden"

29-Nov-2024

Final Report 17JAN24
JC 2023 85

Verordnung 29Nov24
(EU)
2024/2956

Standardvorlage für das Informationsregister
ITS gemäß Art. 28(9) DORA

(eba Template als "illustrative excel" hier)

Final Report (113 Seiten)
On Draft Implementing Technical Standards on the standard templates for the purposes of the register of information in relation to all contractual arrangements on the use of ICT services provided by ICT third-party service providers under Article 28(9) of Regulation (EU) 2022/2554

(EU)2024/2956 : Durchführungsverordnung (7 Artikel, 43 Seiten)
"zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister."

13-Mar-2024

Draft vom 16JUN23
JC 2023 39

Final Report:17JAN24
JC 2023 86

Entwurf 13MAR24
C(2024)1532

Verordnung 13MAR24
(EU) 2024/1774

RTS für den IKT-Risikomanagementrahmen (Art. 15) und den vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3)
RTS gemäß Art. 15 & 16(3) DORA
"RTS RMF"

"RTS on ICT risk management and on the simplified ICT risk management framework"

Final Report (42 Artikel, 182 Seiten)
Draft Regulatory Technical Standards to further harmonise ICT risk management tools, methods, processes and policies as mandated under Articles 15 and 16(3) of Regulation (EU) 2022/2554

(EU)2024/1774 Verordnung (42 Artikel, 37 Seiten)
"zur Ergänzung der Verordnung (EU) 2022/2554 ... durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens"

17-Jul-2024

Draft vom 27Nov2023
JC 2023 72

Final Report 17Jul2024
JC 2024 29

RTS zu Threat Led Penetration Testing
gemäß Art. 26(11) DORA

Consultation Paper JC 2023 72 (57 Seiten):
Draft Regulatory Technical Standards specifying elements related to threat led penetration tests

Final Report JC 2024 29 (184 Seiten)
on draft RTS specifying elements related to threat led penetration tests

26-Jul-2024

Draft vom 27Nov2023
JC 2023 67

Final Report 26JUL24
JC 2024 53

RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen
RTS gemäß Art. 30(5) DORA
"RTS-E SUB"

Consultation Paper JC 2023 67 (21 Seiten):
Draft Regulatory Technical Standards to specify the elements which a financial entity needs to determine and assess when subcontracting ICT services supporting critical or important functions

Final Report JC 2024 53 (52 Seiten)
to specify the elements which a financial entity needs to determine and assess when subcontracting ICT services supporting critical or important functions as mandated by Article 30(5)

17-Jul-2024

Draft
JC 2023 68

Final Report 17Jul2024
JC 2024 34

Leitlinien für die Schätzung der aggregierten Kosten und Verluste verursacht durch schwerwiegende IKT-bezogene Vorfälle
gemäß Art. 11(11) DORA

Consultation Paper JC 2023 68 (20 Seiten):
on Joint Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents

Final Report JC 2024 34 (26 Seiten)

17-Jul-2024

Draft
JC 2023 69

Final Report 17Jul2024
JC 2024-35

RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten
gemäß Art. 41(1) DORA

Consultation Paper JC 2023 69 (31 Seiten):
Draft regulatory technical standard on the harmonisation of conditions enabling the conduct of the oversight activities under Article 41(1) points (a), (b) and (d) of Regulation (EU) 2022/2554

Final Report JC 2024 35 (48 Seiten)
on draft RTS on harmonisation of conditions enabling the conduct of the oversight activities

17-Jul-2024

Draft vom 18.4.2024
JC 2024 24

Final Report 17Jul2024
JC 2024-54

RTS zur Harmonisierung der Bedingungen für die Durchführung der Aufsichtstätigkeiten gemäß Art. 41(1)c DORA (JC 2024 24)

Consultation Papaer JC 2024 24 (18 Seiten)
Consultation paper on draft regulatory technical standard on the harmonisation of conditions enabling the conduct of the oversight activities under Article 41(1) point (c) of Regulation

Final Report JC 2024 54 (21 Seiten)
Draft regulatory technical standard on the harmonisation of conditions enabling the conduct of the oversight activities under Article 41(1)(c) of Regulation (EU) 2022/2554

17-Jul-2024

Draft
JC 2023 71

Final Report 17Jul2024
JC 2024 36

GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung
Richtlinie gem. Art.32(7) DORA

Consultation Paper JC 2023 71 (33 Seiten):
Draft joint guidelines on the oversight cooperation and information exchange between the ESAs and the competent authorities under Regulation (EU) 2022/2554

Final Report JC 2024 36 (36 Seiten)

       
20-Dec-2023

Entwurf
FinmadiG

Bundesgesetzblatt
FinmaDig

Finanzmarktdigitalisierungsgesetz
zur nationalen Umsetzung und Anpassung/Durchführung u.a.wg:
- Verordnung (EU) 2023/1114 Kryptowerte
- Verordnung (EU) 2022/2554 DORA
- Richtlinie (EU) 2022/2556 DORA
ändert insgesamt 14 verschiedene Gesetze.

Die BaFin weist darauf hin, dass durch das FinmaDig auch nicht-CRR Institute der DORA unterworfen werden, allerdings wegen §65a erst ab 1.1.2027, (Meldewesen jedoch schon ab 17.1.2025)

Regierungsentwurf FinmadiG

Text FinmaDig aus dem Bundesgesetzblatt

10-Jun-2021 FISG

Finanzmarktintegritätsstärkungsgesetz ("Gesetz zur Stärkung der Finanzmarktintegrität")

Verschärft Anforderungen an Abschlussprüfer.
Pflicht zur Einführung eines RMS und IKS.

FISG im Bundesgesetzblatt
       

Other external links:

Sekundärliteratur: