DK-Stellungnahme zur Konsultation des Gemeinsamen Ausschusses der ESAs zu den technischen Standards nach DORA

Die DK hat in mehreren Stellungnahmen die Entwürfe zu technischen Regulierungs- und Durchführungsstandards der ESAs im Rahmen der EU-Verordnung über digitale Operationelle Resilienz (DORA) kritisiert. Aus Sicht der DK gehen viele der vorgesehenen Meldepflichten und Register zu weit.
Insbesondere die Meldepflichten bei IT-Vorfällen und Cyberbedrohungen sowie der vorgeschriebene Umfang des Registers über die Nutzung von IT-Dienstleistern externer Anbieter werden von der DK als unverhältnismäßig eingeschätzt. Auch der Detaillierungsgrad der Meldevorgaben sei teilweise praxisfern.
So kritisiert die DK beispielsweise, dass die Meldepflichten auch IT-Vorfälle umfassen sollen, die keine kritischen Systeme betreffen. Zudem sei die Weitergabe sensibler Cyber-Informationen an Strafverfolgungsbehörden ohne Zustimmung der betroffenen Institute abzulehnen.
Beim Register externer IT-Dienstleister bemängelt die Kreditwirtschaft unter anderem unklare Definitionen und einen zu hohen Detaillierungsgrad. Statt eines risikobasierten Ansatzes würden unverhältnismäßige Informationen auch über wenig relevante Dienstleister verlangt.
Die DK warnt, dass die Umsetzung der Vorhaben zu sehr hohem Mehraufwand führen würde, ohne dass ein klarer Nutzen für die Aufsicht erkennbar wäre. Man fordert, die Meldepflichten auf das Wesentliche zu beschränken und die Verhältnismäßigkeit zu wahren.