Hinweise für Finanzdienstleister in der EU: Finanzinstitute müssen ein internes Governance- und Kontrollframework für das IKT-Risikomanagement und ein fortlaufendes Monitoring der IKT-Risiken einrichten. Diese Anforderungen an IKT-Risikomanagement und -Monitoring gelten auch für die Verwendung von IKT-Diensten von Drittanbietern.

Hinweise für IKT-Anbieter: IKT-Anbieter müssen in der Lage sein, das IKT-Risikomanagement und -Monitoring der Kunden zu unterstützen. Dies gilt auch für die Stellen, an denen relevante Systeme und Prozesse vom Anbieter verwaltet werden. Darüber hinaus bewertet der neue Lead-Overseer im Fall wichtiger IKT-Anbieter die eigenen Risikomanagementprozesse des Anbieters, einschließlich der Richtlinien zum Risikomanagement des IKT, die Richtlinien zur Geschäftskontinuität und die Reaktions- und Wiederherstellungspläne von IKT. 

Google Cloud-Support: Schon bevor Sie Google Cloud nutzen, können Sie mit unserer Lösung „Risk Assessment & Critical Asset Discovery“ die Leistung Ihrer Organisation bei aktuellen IT-Risiken ermitteln und wo sich Ihre kritischen Assets befinden, und erhalten Empfehlungen zur Verbesserung Ihres Sicherheitsstatus und Ihrer Ausfallsicherheit. Außerdem haben wir Anleitungen zum Risikomanagement mit Kontrollen und zur Verwaltung Ihrer Assets veröffentlicht. 

Sobald Sie sich in Google Cloud befinden, können Sie verschiedene Tools nutzen, um Ihre Cloud-Ressourcen fortlaufend zuzuordnen und zu verwalten, darunter Cloud Monitoring, Resource Manager, Infrastructure Manager und Cyber Insurance Hub. Informationen zum Risikomanagement von Google finden Sie in den Zertifizierungen und Prüfberichten von Google. 

Wenn Sie zusätzliche Unterstützung benötigen, bietet Mandiant (jetzt Teil von Google Cloud) Risk Management-Services wie den Cyber Risk Management Operations Service, den Threat Modeling Security Service, Cyber Security Due Diligence Service und eine Bewertung des Cybersicherheitsprogramms an. Weitere Informationen finden Sie im Kundenleitfaden: ICT-Risikomanagement.

Hinweise für Finanzdienstleister in der EU: DORA fasst die Anforderungen für die Berichterstellung für den Finanzsektor in einem einzigen, optimierten Framework zusammen. Finanzdienstleister, die in mehreren Sektoren oder EU-Mitgliedstaaten tätig sind, müssen also in einer dringenden Situation keine parallelen, sich überschneidenden Berichtssysteme mehr durchlaufen. 

Die DORA-Verordnung bemüht sich auch um die Regulierung paralleler Meldungen für Vorfälle wie NIS2. Durch diese Änderungen können Regulierungsbehörden die benötigten Informationen erhalten, während sich Finanzinstitute auf andere wichtige Aspekte der Reaktion auf Vorfälle konzentrieren können. Finanzinstitute müssen Vorfälle gemäß definierten Grenzwerten in bestimmten Vorlagen und Zeitplänen melden sowie Verfahren zur Dokumentation der Ursachen und Verbesserungen nach Vorfällen implementieren. 

Hinweise für IKT-Anbieter: IKT-Anbieter müssen in der Lage sein, die Anforderungen von Kunden an die Erstellung von Vorfallberichten zu erfüllen. Darüber hinaus wird der Lead-Overseer im Fall wichtiger IKT-Anbieter die Prozesse des Anbieters zur Identifizierung, zum Monitoring und zur umgehenden Meldung wesentlicher IKT-bezogener Vorfälle an Finanzinstitute direkt bewerten. 

Google Cloud-Support: Google informiert Kunden über unsere aktualisierten DORA-Vertragsbedingungen über ICT-bezogene Vorfälle, die sich auf ihre Nutzung von Google Cloud auswirken. Wir stellen diese Benachrichtigungen kostenlos über unsere bestehenden Benachrichtigungskanäle (darunter E-Mail, Personalized Service Health (PSH), das Service Health-Dashboard und das Google Cloud-Supportcenter) zur Verfügung.

Wir sind verpflichtet, Finanzunternehmen innerhalb der vorgegebenen Fristen die Informationen bereitzustellen, die sie benötigen, um eigene Bewertungen und die Berichterstattung auf Grundlage der DORA-Anforderungen zu ermöglichen.

Hinweise für EU-Finanzinstitute: DORA baut auf bestehenden EU-Initiativen wie TIBER-EU auf und entwickelt einen EU-weiten Ansatz für das Testen der digitalen Stabilität. Bei bestimmten Finanzinstituten umfasst dies alle drei Jahre erweiterte, von Bedrohungen ausgelöste Penetrationstests (TLPT). Durch die Klarstellung der Testmethodik und die Einführung der gegenseitigen Erkennung von Testergebnissen unterstützt DORA die Finanzbehörden dabei, ihre Testfunktionen weiterhin so zu entwickeln und zu skalieren, dass sie in der gesamten EU funktionieren.  

Hinweise für IKT-Anbieter: DORA bezieht sich direkt auf die Rolle des IKT-Anbieters in Tests, die von Finanzinstituten durchgeführt werden. DORA ermöglicht insbesondere gemeinsame Tests, um die Auswirkungen von Tests auf mehrmandantenfähige Dienste wie öffentliche Clouds zu steuern. Darüber hinaus bewertet der Lead-Overseer im Fall wichtiger IKT-Anbieter die eigenen Tests der IKT-Systeme, der Infrastruktur und der Kontrollen direkt. 

Google Cloud-Unterstützung: Google nimmt am TLPT teil und ermöglicht gemäß Artikel 26(4) der DORA-Verordnung gemeinsame Tests durch externe Tester. Wir sind davon überzeugt, dass die gebündelte Prüfung die beste Möglichkeit ist, die digitale operative Widerstandsfähigkeit von Google Cloud effektiv zu testen und gleichzeitig die damit verbundenen Risiken für andere Kunden, die in einer mandantenfähigen Umgebung testen, zu minimieren.

Hinweise für Finanzdienstleister in der EU: DORA stützt sich auf eine solide Grundlage der entsprechenden Outsourcing-Richtlinien der europäischen Aufsichtsbehörden durch Koordinierung der Anforderungen an das Risikomanagement von IKT-Drittanbietern in verschiedenen Branchen, einschließlich der Anforderungen an die Implementierung eines Rahmens für das Risikomanagement von IKT-Drittanbietern und an Verträge mit IKT-Anbietern. Durch die Gewährleistung, dass ähnliche Risiken in allen Sektoren und EU-Mitgliedsstaaten einheitlich behandelt werden, ermöglicht DORA den Finanzbehörden, ihre Risikomanagementprogramme für IKT-Drittanbieter zu konsolidieren und zu verbessern.

Hinweise für IKT-Anbieter: IKT-Anbieter müssen die Anforderungen des Kunden an das Risikomanagement für Drittanbieter unterstützen können. Darüber hinaus kann der neue Lead-Overseer mit DORA direkt die wichtigsten IKT-Anbieter beaufsichtigen. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Überwachungsplänen, Inspektionen und Empfehlungen. 

Google Cloud-Support : Google stellt Finanzunternehmen aktualisierte Vertragsbedingungen für Google Cloud, Google Workspace und SecOps Services zur Verfügung, um die wichtigsten Vertragsbestimmungen in Artikel 30 zu erfüllen. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten. Wir haben auch Zuordnungen zu Artikel 30 für Google Cloud und Google Workspace erstellt, damit Sie verstehen, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.

Hinweise für Finanzdienstleister in der EU: DORA beschreibt die Möglichkeiten, mit denen Finanzinstitute Informationen und Erkenntnisse zu Cyberbedrohungen freiwillig an andere Finanzbehörden und Aufsichtsbehörden weitergeben können. 

Hinweise für IKT-Anbieter: DORA sieht vor, dass IKT-Anbieter in die Vereinbarungen für den Informationsaustausch einbezogen werden, die potenziell vertrauliche Informationen schützen. Diese Vereinbarungen sind jedoch noch nicht definiert.  

Google Cloud-Support : Google Cloud bietet Produkte und Dienste, mit denen sich Kunden gemäß den DORA-Anforderungen proaktiv vor Cyberbedrohungen schützen können. Wir veröffentlichen vierteljährlich einen Threat Horizons-Bericht, der strategische Informationen zu Bedrohungen für unsere Kunden enthält. Kunden können außerdem die Incident-Response-Services von Mandiant, die Services für das Cyberrisikomanagement und die offensiven Sicherheitsdienste nutzen, um sich vor Cybersicherheitsvorfällen zu schützen und darauf vorzubereiten.

DORA ist eine EU-Verordnung. Sie gilt für den gesamten Finanzdienstleistungssektor in allen EU-Mitgliedstaaten. DORA aktualisiert bestehende Regeln und führt eine Reihe allgemeiner Anforderungen ein, um IKT-Risiken zu mindern und die digitale Stabilität im europäischen Finanzsystem zu erhöhen. Mit DORA wird außerdem ein Rahmenwerk für die direkte Aufsicht wichtiger IKT-Anbieter durch die Finanzaufsichtsbehörden in der EU eingeführt, nämlich die Europäische Bankenaufsichtsbehörde, die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung und die Europäische Wertpapier- und Marktaufsichtsbehörde (zusammen die Europäischen Aufsichtsbehörden).

DORA führt eine Reihe allgemeiner Anforderungen für Finanzunternehmen in der EU ein, um IKT-Risiken zu verringern und die digitale Robustheit des europäischen Finanzsystems zu stärken. Beispiele:

1. DORA enthält detaillierte Anforderungen für Finanzunternehmen an das IKT-Risikomanagement.
2. DORA fasst die Anforderungen für die Meldung von Vorfällen im Finanzsektor in einem einzigen, optimierten Framework zusammen.
3. Basierend auf bestehenden EU-Initiativen wie TIBER-EU etabliert DORA einen EU-weiten Ansatz zum Testen digitaler operativer Robustheit einschließlich bedrohungsbasierter Penetrationstests.
4. DORA baut auf der soliden Grundlage der entsprechenden Outsourcing-Richtlinien der europäischen Aufsichtsbehörden auf und koordiniert die Anforderungen des Risikomanagements für Dritte branchenübergreifend weiter, einschließlich der Anforderungen für Verträge mit IKT-Anbieter.

DORA ermöglicht es auch den europäischen Aufsichtsbehörden, wichtige IKT-Anbieter direkt zu beaufsichtigen. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Überwachungsplänen, Inspektionen und Empfehlungen.

DORA gilt in erster Linie für Finanzunternehmen in der EU. Ein Teil von DORA gilt jedoch direkt für IKT-Anbieter (einschließlich Cloud-Anbieter), die von den Europäischen Aufsichtsbehörden gemäß einem offiziellen Verfahren als „kritisch“ eingestuft werden. Die Einstufung basiert auf einer Reihe von Faktoren, darunter die systemische Auswirkung eines Ausfalls der Dienste des IKT-Anbieters und die systemische Bedeutung der Finanzunternehmen, die auf diese Dienste angewiesen sind.

Die DORA-Verordnung ist am 17. Januar 2025 in Kraft getreten (2 Jahre und 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU). 

DORA gilt nur direkt für kritische IKT-Anbieter, nachdem sie von den Europäischen Aufsichtsbehörden als „kritisch“ eingestuft wurden. Die Frist für die Einhaltung der Vorschriften für kritische IKT-Anbieter hängt daher vom Zeitpunkt der Benennung ab.

Google Cloud EMEA Limited wurde offiziell als kritischer IKT-Drittanbieter (Critical ICT Third-Party Provider, CTPP) eingestuft. Diese Bezeichnung umfasst die folgenden Tochtergesellschaften von Google Cloud EMEA Limited: Google Cloud France SARL, Google Cloud Italy S.r.l. und Google Cloud Poland Sp. z o.o.

Google Cloud EMEA Limited wurde von den Europäischen Aufsichtsbehörden (ESAs) als kritischer IKT-Drittanbieter (CTPP) eingestuft. Um eine Entscheidung über jeden CTPP zu treffen, berücksichtigen die ESAs die folgenden in der DORA festgelegten Kriterien: (a) die systemischen Auswirkungen einer Störung der IKT-Dienste des CTPP auf den Finanzsektor, (b) die systemische Bedeutung der Finanzunternehmen, die die IKT-Dienste des CTPP nutzen, (c) der Grad der Abhängigkeit der Finanzunternehmen von den IKT-Diensten des CTPP und (d) die Ersetzbarkeit der IKT-Dienste des CTPP. Die genaue Methodik für die Bewertung der Kritikalität durch die ESA ist in der Delegierten Verordnung zur Festlegung der Kriterien für die Einstufung von IKT-Drittanbietern als kritisch für Finanzunternehmen festgelegt.

Google Cloud EMEA Limited wird direkt von einem zugewiesenen Lead Overseer beaufsichtigt. Die federführende Aufsichtsbehörde ist eine der Europäischen Aufsichtsbehörden für den Finanzsektor. Die federführende Aufsichtsbehörde wird beurteilen, ob Google Cloud EMEA Limited umfassende, solide und effektive Regeln, Verfahren, Mechanismen und Vereinbarungen hat, um das Risiko im Bereich der Informations- und Kommunikationstechnologie (IKT) zu managen, das für Finanzunternehmen entstehen kann, die die Dienste des Unternehmens nutzen. Weitere Informationen zur praktischen Umsetzung der Aufsicht über kritische Drittanbieter von IKT-Diensten finden Sie im Leitfaden zu Aufsichtsaktivitäten, der von den Europäischen Aufsichtsbehörden veröffentlicht wurde.

Die Einstufung und Überwachung von Google Cloud EMEA Limited als kritischer IKT-Drittanbieter (CTPP) hat keine Auswirkungen auf die Nutzung unserer Dienste durch Kundenunternehmen oder die Bedingungen in Ihrem Vertrag.

Wenn Ihr Unternehmen ein Finanzunternehmen ist, das der DORA unterliegt, ersetzt oder reduziert die Aufsicht über einen CTPP in keiner Weise die eigenen Verantwortlichkeiten Ihres Unternehmens gemäß der DORA, einschließlich des Risikomanagements für Drittanbieter.

Wenn wir jedoch das Risikomanagement von Finanzunternehmen ergänzen und einen klaren Mechanismus für den Informations- und Wissensaustausch zwischen CTPPs und wichtigen Aufsichtsbehörden auf EU- und nationaler Ebene schaffen, sind wir zuversichtlich, dass Kunden und Nutzer von der Aufsicht über CTPPs profitieren werden.

Der Aufsichtsrahmen für wichtige IKT-Anbieter gemäß DORA bietet echte Möglichkeiten, das Verständnis, die Transparenz und das Vertrauen zwischen IKT-Anbietern, Finanzunternehmen und Finanzaufsichtsbehörden zu verbessern und letztendlich Innovationen im Finanzsektor in Europa zu fördern. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Überwachungsplänen, Inspektionen und Empfehlungen. Wir sind überzeugt, dass dieser strukturierte Dialog dazu beitragen wird, das Risikomanagement und die Widerstandsfähigkeit im gesamten Sektor zu verbessern.

Google Cloud ermöglicht es Aufsichtsbehörden, die Nutzung unserer Dienste durch Finanzunternehmen effektiv zu überwachen. Wir gewähren Finanzinstituten, ihren Regulierungsbehörden und ihren Beauftragten Informations-, Prüfungs- und Zugriffsrechte und unterstützen unsere Kunden, wenn diese oder die Regulierungsbehörden diese Rechte ausüben wollen. Bei einer Beziehung mit einem Lead-Overseer haben wir uns dem gleichen Ziel für kontinuierliche Transparenz, Zusammenarbeit und Sicherheit verpflichtet. 

Wir legen großen Wert auf die Planung direkter Aufsichtsanforderungen und tun alles dafür, dass unsere Funktion zur direkten Überwachung die Kommunikation mit den Regulierungsbehörden, effiziente Audits und Korrekturpläne innerhalb von Fristen effektiv unterstützt.

Wir stellen Finanzunternehmen aktualisierte Vertragsbedingungen für Google Cloud, Google Workspace und SecOps-Dienste zur Verfügung, um die wichtigsten Vertragsbestimmungen in Artikel 30 zu erfüllen. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten.

Wir haben auch Zuordnungen zu Artikel 30 für Google Cloud und Google Workspace erstellt, damit Sie verstehen, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.

Der RTS-Entwurf für Unterverträge enthält zusätzliche Vertragsanforderungen. Unsere aktualisierten Vertragsbedingungen für Google Cloud, Google Workspace und SecOps Services erfüllen auch die vertraglichen Anforderungen der regulatorischen technischen Standards zum Thema Unterauftragnehmer. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten.

Wenn Sie Google Cloud für die Bereitstellung eigener ICT-Dienste für Finanzunternehmen in der EU verwenden, ist uns bewusst, dass Sie die erforderlichen nachgelagerten Vertragsbedingungen von Google benötigen. In diesem Szenario bieten wir Kunden und Partnern gleichwertige Vertragsbedingungen an, um die wichtigsten vertraglichen Bestimmungen in Artikel 30 zu erfüllen. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten.

Wir haben auch eine Zuordnung zu Artikel 30 für Google Cloud erstellt, damit Sie verstehen, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.