Hinweise für Finanzdienstleister in der EU: Finanzinstitute müssen ein internes Governance- und Kontrollframework für das IKT-Risikomanagement und ein fortlaufendes Monitoring der IKT-Risiken einrichten. Diese Anforderungen an IKT-Risikomanagement und -Monitoring gelten auch für die Verwendung von IKT-Diensten von Drittanbietern.

Hinweise für IKT-Anbieter: IKT-Anbieter müssen in der Lage sein, das IKT-Risikomanagement und -Monitoring der Kunden zu unterstützen. Dies gilt auch für die Stellen, an denen relevante Systeme und Prozesse vom Anbieter verwaltet werden. Darüber hinaus bewertet der neue Lead-Overseer im Fall wichtiger IKT-Anbieter die eigenen Risikomanagementprozesse des Anbieters, einschließlich der Richtlinien zum Risikomanagement des IKT, die Richtlinien zur Geschäftskontinuität und die Reaktions- und Wiederherstellungspläne von IKT. 

Google Cloud-Support: Schon bevor Sie Google Cloud nutzen, können Sie mit unserer Lösung „Risk Assessment & Critical Asset Discovery“ die Leistung Ihrer Organisation bei aktuellen IT-Risiken ermitteln und wo sich Ihre kritischen Assets befinden, und erhalten Empfehlungen zur Verbesserung Ihres Sicherheitsstatus und Ihrer Ausfallsicherheit. Wir haben auch Anleitungen zum Risikomanagement mit Kontrollen und zur Verwaltung Ihrer Assets veröffentlicht.

Sobald Sie sich in Google Cloud befinden, können Sie verschiedene Tools nutzen, um Ihre Cloud-Ressourcen fortlaufend zuzuordnen und zu verwalten, darunter Google Cloud Operations, Resource Manager, Cloud Deployment Manager und Risk Manager. Informationen zum Ansatz von Google beim Risikomanagement sind in den Zertifizierungen und Prüfberichten von Google verfügbar.

Wenn Sie zusätzliche Unterstützung benötigen, bietet Mandiant (jetzt Teil von Google Cloud) Risk Management-Services wie den Cyber Risk Management Operations Service, den Threat Modeling Security Service, Cyber Security Due Diligence Service und eine Bewertung des Cybersicherheitsprogramms an.

Hinweise für Finanzdienstleister in der EU: DORA fasst die Anforderungen für die Berichterstellung für den Finanzsektor in einem einzigen, optimierten Framework zusammen. Finanzdienstleister, die in mehreren Sektoren oder EU-Mitgliedstaaten tätig sind, müssen also in einer dringenden Situation keine parallelen, sich überschneidenden Berichtssysteme mehr durchlaufen. 

Die DORA-Verordnung bemüht sich auch um die Regulierung paralleler Meldungen für Vorfälle wie NIS2. Durch diese Änderungen können Regulierungsbehörden die benötigten Informationen erhalten, während sich Finanzinstitute auf andere wichtige Aspekte der Reaktion auf Vorfälle konzentrieren können. Finanzinstitute müssen Vorfälle gemäß definierten Grenzwerten in bestimmten Vorlagen und Zeitplänen melden – diese müssen vollständig definiert sein – sowie Verfahren zur Dokumentation der Ursachen und Verbesserungen nach Vorfällen implementieren. 

Hinweise für IKT-Anbieter: IKT-Anbieter müssen in der Lage sein, die Anforderungen von Kunden an die Erstellung von Vorfallberichten zu erfüllen. Darüber hinaus wird der neue Lead-Overseer im Fall wichtiger IKT-Anbieter die Prozesse des Anbieters zur Identifizierung, zum Monitoring und zur umgehenden Meldung wesentlicher IKT-bezogener Vorfälle an Finanzinstitute direkt bewerten. 

Google Cloud-Support : Ab 2025 informiert Google Kunden über unsere aktualisierten DORA-Vertragsbedingungen über IKT-bezogene Vorfälle, die sich auf ihre Nutzung von Google Cloud auswirken. Wir stellen diese Benachrichtigungen kostenlos über unsere bestehenden Benachrichtigungskanäle zur Verfügung (einschließlich E-Mail, Service Health-Dashboard und Google Cloud-Supportcenter).

Auch wenn sich diese Anforderungen noch ändern, sind wir verpflichtet, die Finanzunternehmen innerhalb der vorgegebenen Fristen und mit den Informationen zu benachrichtigen, die sie benötigen, um ihre eigene Bewertung und Berichterstattung auf der Grundlage der endgültigen Anforderungen zu ermöglichen.

Hinweise für EU-Finanzinstitute: DORA baut auf bestehenden EU-Initiativen wie TIBER-EU auf und entwickelt einen neuen EU-weiten Ansatz für das Testen der digitalen Stabilität. Bei bestimmten Finanzinstituten umfasst dies alle drei Jahre erweiterte, von Bedrohungen ausgelöste Penetrationstests (TLPT). Durch die Klarstellung der Testmethodik und die Einführung der gegenseitigen Erkennung von Testergebnissen unterstützt DORA die Finanzbehörden dabei, ihre Testfunktionen weiterhin so zu entwickeln und zu skalieren, dass sie in der gesamten EU funktionieren.  

Hinweise für IKT-Anbieter: DORA bezieht sich direkt auf die Rolle des IKT-Anbieters in Tests, die von Finanzinstituten durchgeführt werden. DORA ermöglicht insbesondere gemeinsame Tests, um die Auswirkungen von Tests auf mehrmandantenfähige Dienste wie öffentliche Clouds zu steuern. Darüber hinaus bewertet der neue Lead-Overseer im Fall wichtiger IKT-Anbieter die eigenen Tests der IKT-Systeme, der Infrastruktur und der Kontrollen direkt. 

Google Cloud-Unterstützung : Ab 2025 nimmt Google am TLPT teil und ermöglicht gemäß Artikel 26(4) der DORA-Verordnung gemeinsame Tests durch externe Tester. Wir sind zuversichtlich, dass gemeinsame Tests die beste Möglichkeit sind, um die digitale operative Ausfallsicherheit von Google Cloud effektiv zu testen und gleichzeitig die Risiken für andere Kunden zu minimieren, die Tests in einer mandantenfähigen Umgebung mit sich bringen.

Hinweise für Finanzdienstleister in der EU: DORA stützt sich auf eine solide Grundlage der entsprechenden Outsourcing-Richtlinien der europäischen Aufsichtsbehörden durch Koordinierung der Anforderungen an das Risikomanagement von IKT-Drittanbietern in verschiedenen Branchen, einschließlich der Anforderungen an die Implementierung eines Rahmens für das Risikomanagement von IKT-Drittanbietern und an Verträge mit IKT-Anbietern. Durch die Gewährleistung, dass ähnliche Risiken in allen Sektoren und EU-Mitgliedsstaaten einheitlich behandelt werden, ermöglicht DORA den Finanzbehörden, ihre Risikomanagementprogramme für IKT-Drittanbieter zu konsolidieren und zu verbessern.

Hinweise für IKT-Anbieter: IKT-Anbieter müssen die Anforderungen des Kunden an das Risikomanagement für Drittanbieter unterstützen können. Darüber hinaus kann der neue Lead-Overseer mit DORA direkt die wichtigsten IKT-Anbieter beaufsichtigen. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Überwachungsplänen, Inspektionen und Empfehlungen. 

Google Cloud-Support : Ab Februar 2024 stellt Google Finanzunternehmen aktualisierte Vertragsbedingungen für Google Cloud und Google Workspace zur Verfügung, um die wichtigsten Vertragsbestimmungen in Artikel 30 zu erfüllen. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten. Wir haben auch Zuordnungen zu Artikel 30 für Google Cloud und Google Workspace erstellt, damit Sie verstehen, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.

Hinweise für Finanzdienstleister in der EU: DORA beschreibt die Möglichkeiten, mit denen Finanzinstitute Informationen und Erkenntnisse zu Cyberbedrohungen freiwillig an andere Finanzbehörden und Aufsichtsbehörden weitergeben können. 

Hinweise für IKT-Anbieter: DORA sieht vor, dass IKT-Anbieter in die Vereinbarungen für den Informationsaustausch einbezogen werden, die potenziell vertrauliche Informationen schützen. Diese Vereinbarungen sind jedoch noch nicht definiert.  

Google Cloud-Support : Google Cloud bietet Produkte und Dienste, mit denen sich Kunden gemäß den DORA-Anforderungen proaktiv vor Cyberbedrohungen schützen können. Wir veröffentlichen vierteljährlich einen Threat Horizons-Bericht, in dem wir strategische Informationen zu Bedrohungen für unsere Kunden bereitstellen. Kunden können außerdem die Incident-Response-Services von Mandiant, die Services für das Cyberrisikomanagement und die technischen Sicherheitsdienste nutzen, um sich vor Cybersicherheitsvorfällen zu schützen und darauf vorzubereiten.

DORA ist eine neue EU-Verordnung. Sie gilt für den Finanzdienstleistungssektor in allen EU-Mitgliedsstaaten. DORA aktualisiert bestehende Regeln und führt eine Reihe allgemeiner Anforderungen ein, um IKT-Risiken zu mindern und die digitale Stabilität im europäischen Finanzsystem zu erhöhen. Außerdem führt DORA einen neuen Rahmen für die direkte Kontrolle wichtiger Anbieter von Informations- und Kommunikationstechnik durch Finanzaufsichtsbehörden in der EU ein.

DORA führt eine Reihe allgemeiner Anforderungen für Finanzunternehmen in der EU ein, um IKT-Risiken zu verringern und die digitale Robustheit des europäischen Finanzsystems zu stärken. Beispiele:

1. DORA enthält detaillierte Anforderungen für Finanzunternehmen an das IKT-Risikomanagement.

2. DORA fasst die Anforderungen für die Meldung von Vorfällen im Finanzsektor in einem einzigen, optimierten Framework zusammen.

3. Basierend auf bestehenden EU-Initiativen wie TIBER-EU etabliert DORA einen neuen EU-weiten Ansatz zum Testen digitaler operativer Robustheit einschließlich bedrohungsbasierter Penetrationstests.

4. DORA baut auf der soliden Grundlage der entsprechenden Outsourcing-Richtlinien der europäischen Aufsichtsbehörden auf und koordiniert die Anforderungen des Risikomanagements für Dritte branchenübergreifend weiter, einschließlich der Anforderungen für Verträge mit IKT-Anbieter.

DORA ermöglicht es den Regulierungsbehörden außerdem, wichtige IKT-Anbieter direkt zu beaufsichtigen. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Aufsichtsplänen, Inspektionen und Empfehlungen.

DORA gilt in erster Linie für Finanzunternehmen in der EU. Ein Teil von DORA gilt jedoch direkt für IKT-Anbieter (einschließlich Cloud-Anbieter), die von den Finanzaufsichtsbehörden in der EU gemäß einem offiziellen Verfahren als „kritisch“ eingestuft werden. Die Klassifizierung erfolgt anhand einer Reihe von Faktoren, darunter den systemischen Auswirkungen eines Ausfalls der Dienstleistungen des IKT-Anbieters und der systemischen Bedeutung der Finanzunternehmen, die diese Dienstleistungen nutzen.

Die DORA-Verordnung tritt am 17. Januar 2025 in Kraft (2 Jahre und 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU).

DORA bezieht sich nur direkt auf wichtige IKT-Anbieter, wenn diese von den Finanzaufsichtsbehörden in der EU als „kritisch“ eingestuft wurden. Daher hängt die Frist für die Einhaltung der Anforderungen von wichtigen IKT-Anbietern davon ab, wann sie benannt werden. Obwohl DORA nur dann direkt für Google Cloud gilt, wenn eine offizielle Benennung vorliegt, bereiten wir uns bereits darauf vor, potenzielle direkte Anforderungen zu erfüllen.

Wir interagieren mit den politischen Entscheidungsträgern über den DORA-Vorschlag, seit er im September 2020 vorgelegt wurde. Parallel dazu haben wir ein Bereitschaftsprogramm ins Leben gerufen, um die Erwartungen potenzieller Kunden und unsere eigenen Verantwortlichkeiten im Zuge der Weiterentwicklung von DORA im Gesetzgebungsprozess zu analysieren.

Nun, da der Text des DORA-Dokuments fertiggestellt wurde, prüft ein funktionsübergreifendes Team bei Google Cloud (einschließlich Fachleuten aus den Bereichen Risk & Compliance, Sicherheit, Recht, Government Affairs und Product) die Details und bereitet dann Compliance-Pläne vor und implementiert sie bei Bedarf. Diese Pläne bauen auf unserer soliden Grundlage in Bereichen wie Sicherheit, Robustheit und Risikomanagement durch Dritte auf, die es unseren Kunden bereits ermöglichen, die strengen Erwartungen im Rahmen der Outsourcing-Leitlinien der EBA, der EIOPA-Cloud-Outsourcing-Leitlinien, der ESMA-Richtlinien zum Cloud-Outsourcing zu erfüllen.

Wir beabsichtigen, die Implementierungsphase zu nutzen, um unsere Möglichkeiten in den einzelnen DORA-Fokusgebieten weiter zu verbessern. Unser Ziel ist es, Google Cloud zum bestmöglichen Dienst für eine nachhaltige, digitale Transformation für europäische Unternehmen zu machen, zu ihren Bedingungen.

Der Wortlaut von DORA wurde zwar fertiggestellt, doch müssen einige wichtige Anforderungen in sekundären Gesetzen, den sogenannten DORA-Gesetzen der Stufe 2, noch weiter spezifiziert werden. Dazu gehören gesetzliche technische Standards oder „RTS“ in wichtigen Bereichen wie Vorfallsmeldung, Penetrationstests mit Bedrohungen und Nebenverträge.

Uns ist bewusst, dass die letzten Anforderungen der Stufe 2 gegebenenfalls erfüllt werden müssen. Da sich die Entwürfe der Ebene 2 jedoch ändern können, ist es nicht möglich, sie vorzeitig zu erfüllen. 

Um politische Entscheidungsträger und Kunden zu unterstützen, beteiligt sich Google Cloud aktiv an der EU-Diskussion über die Richtlinie zu den DORA-Gesetzen der Stufe 2. Wir werden uns weiterhin auf transparente und konstruktive Weise am Dialog über DORA beteiligen. Wir setzen uns insbesondere für Folgendes ein:

Einheitlichkeit zwischen allen Maßnahmen der Stufe 2 und dem in DORA vorgegebenen Mandat.

Vereinheitlichung mit dem ausgereiften Ansatz im globalen Finanzsektor und anderen parallelen EU-Regelungen (z.B. bei der Meldung von Vorfällen).

Proportionalität , insbesondere wenn Regulierungsansätze, die für einige IKT-Dienste geeignet sind, bei öffentlichen Cloud-Diensten unbeabsichtigte, negative Auswirkungen auf die Robustheit des Finanzsektors haben können.

Der Aufsichtsrahmen für wichtige IKT-Anbieter gemäß DORA bietet echte Möglichkeiten, das Verständnis, die Transparenz und das Vertrauen zwischen IKT-Anbietern, Finanzunternehmen und Finanzaufsichtsbehörden zu verbessern und letztendlich Innovationen im Finanzsektor in Europa zu fördern. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Überwachungsplänen, Inspektionen und Empfehlungen. Wir sind überzeugt, dass dieser strukturierte Dialog dazu beitragen wird, das Risikomanagement und die Widerstandsfähigkeit im gesamten Sektor zu verbessern.

Google Cloud möchte es Aufsichtsbehörden ermöglichen, die Nutzung unserer Dienste durch Finanzunternehmen effektiv zu überwachen. Wir gewähren Finanzinstituten, ihren Regulierungsbehörden und ihren Beauftragten Informations-, Prüfungs- und Zugriffsrechte und unterstützen unsere Kunden, wenn diese oder die Regulierungsbehörden diese Rechte ausüben wollen. Bei einer Beziehung mit einem Lead-Overseer haben wir uns dem gleichen Ziel für kontinuierliche Transparenz, Zusammenarbeit und Sicherheit verpflichtet. 

Wir arbeiten daran, dass unsere direkte Aufsichtsfunktion die Kommunikation mit Regulierungsbehörden, effiziente Prüfungen und die Verpflichtung zu Abhilfemaßnahmen innerhalb der Fristen effektiv unterstützt. Obwohl wir uns sehr auf die Planung für die direkten Anforderungen konzentrieren, muss die Funktionsweise der regulatorischen Kontrolle in der Praxis noch in den technischen Regulierungsstandards festgelegt werden.

Ab Februar 2024 stellen wir Finanzunternehmen aktualisierte Vertragsbedingungen für Google Cloud und Google Workspace zur Verfügung, um die wichtigsten Vertragsbestimmungen in Artikel 30 zu erfüllen. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten.

Wir haben auch Zuordnungen zu Artikel 30 für Google Cloud und Google Workspace erstellt, damit Sie verstehen, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.

Wir engagieren uns bei politischen Entwicklungen im Finanzdienstleistungssektor, die erhebliche Auswirkungen auf Google Cloud und die Nutzung unserer Dienste durch unsere Kunden auf der ganzen Welt haben. 

Wenn politische Entscheidungsträger einen ähnlichen Ansatz wie DORA in Betracht ziehen, überlegen sie oft zuerst, wie dieser Ansatz in die bestehenden lokalen rechtlichen Rahmenbedingungen passt, einschließlich aller wahrgenommenen Verbesserungsbereiche. Die Europäische Kommission hat sich 2020 zu diesem Thema beraten, bevor sie den ursprünglichen DORA-Entwurf vorlegte. 

Wenn die politischen Entscheidungsträger bestätigt haben, dass ein anderer (und möglicherweise direkter) Regulierungsansatz erforderlich ist, teilen wir unser technologisches Fachwissen in Bezug auf Cloud-Dienste und setzen uns konsequent für Folgendes ein:

Harmonisierung und Deduplizierung von Anforderungen (sowohl innerhalb als auch länderübergreifend)

verhältnismäßig und zweckdienlich sind.

einen technologieneutralen Ansatz, der Innovationen fördert

– einen Ansatz, der die Sicherheit und Integrität unserer Dienste für alle unsere Kunden respektiert

Das Vereinigte Königreich ist ein Beispiel für ein weiteres Land, das derzeit einen direkten regulatorischen Rahmen für wichtige Drittanbieter im Finanzsektor in Erwägung zieht. Wir nehmen das Beratungspapier auf Grundlage der oben genannten Prinzipien in Anspruch.

DORA ist nicht die einzige Verordnung, die für Cloud-Anbieter in Europa gilt. Die NISD2-Richtlinie führt außerdem eine sektorunabhängige Überwachung kritischer Dritte ein und es gibt viele nationale Anforderungen, die für Cloud-Dienste in regulierten Branchen gelten.

Die Einführung der Cloud im Finanzdienstleistungssektor ist noch neu und die bevorstehenden Gesetze müssen diese Art von Innovation fördern. Unterschiedliche Länder verfolgen unterschiedliche Ansätze, um für Sicherheit und operative Stabilität der Finanzdienstleistungsbranche zu sorgen, und die direkte Regulierung oder Aufsicht ist nicht die einzige Lösung, die für unterschiedliche Märkte geeignet ist. Uns ist bewusst, dass Regulierungsbehörden in anderen Ländern gleichermaßen auf Standards, horizontale Vorschriften und Praktiken zur Selbstregulierung achten. Unabhängig davon, für welchen Ansatz die Politiker sich entscheiden, ist es wichtig, für Einheitlichkeit und Harmonisierung der angewandten Grundsätze zu sorgen, da sie sich auf globale Technologieakteure und das grenzüberschreitende digitale Finanzsystem auswirken.