Hinweise für Finanzdienstleister in der EU: Finanzinstitute müssen ein internes Governance- und Kontrollframework für das IKT-Risikomanagement und ein fortlaufendes Monitoring der IKT-Risiken einrichten. Diese Anforderungen an IKT-Risikomanagement und -Monitoring gelten auch für die Verwendung von IKT-Diensten von Drittanbietern.

Hinweise für IKT-Anbieter: IKT-Anbieter müssen in der Lage sein, das IKT-Risikomanagement und -Monitoring der Kunden zu unterstützen. Dies gilt auch für die Stellen, an denen relevante Systeme und Prozesse vom Anbieter verwaltet werden. Darüber hinaus bewertet der neue Lead-Overseer im Fall wichtiger IKT-Anbieter die eigenen Risikomanagementprozesse des Anbieters, einschließlich der Richtlinien zum Risikomanagement des IKT, die Richtlinien zur Geschäftskontinuität und die Reaktions- und Wiederherstellungspläne von IKT. 

Google Cloud-Support: Schon bevor Sie Google Cloud nutzen, können Sie mit unserer Lösung „Risk Assessment & Critical Asset Discovery“ die Leistung Ihrer Organisation bei aktuellen IT-Risiken ermitteln und wo sich Ihre kritischen Assets befinden, und erhalten Empfehlungen zur Verbesserung Ihres Sicherheitsstatus und Ihrer Ausfallsicherheit. Wir haben auch Anleitungen zum Risikomanagement mit Kontrollen und zur Verwaltung Ihrer Assets veröffentlicht. 

Sobald Sie sich in Google Cloud befinden, können Sie verschiedene Tools nutzen, um Ihre Cloud-Ressourcen fortlaufend zuzuordnen und zu verwalten, darunter Google Cloud Operations, Resource Manager, Cloud Deployment Manager und Risk Manager. Informationen zum Ansatz von Google in Bezug auf Risikomanagement finden Sie in den Zertifizierungen und Prüfberichten von Google. 

Wenn Sie zusätzliche Unterstützung benötigen, bietet Mandiant (jetzt Teil von Google Cloud) Risk Management-Services wie den Cyber Risk Management Operations Service, den Threat Modeling Security Service, Cyber Security Due Diligence Service und eine Bewertung des Cybersicherheitsprogramms an. Weitere Informationen finden Sie im Kundenleitfaden: ICT-Risikomanagement.

Hinweise für Finanzdienstleister in der EU: DORA fasst die Anforderungen für die Berichterstellung für den Finanzsektor in einem einzigen, optimierten Framework zusammen. Finanzdienstleister, die in mehreren Sektoren oder EU-Mitgliedstaaten tätig sind, müssen also in einer dringenden Situation keine parallelen, sich überschneidenden Berichtssysteme mehr durchlaufen. 

Die DORA-Verordnung bemüht sich auch um die Regulierung paralleler Meldungen für Vorfälle wie NIS2. Durch diese Änderungen können Regulierungsbehörden die benötigten Informationen erhalten, während sich Finanzinstitute auf andere wichtige Aspekte der Reaktion auf Vorfälle konzentrieren können. Finanzinstitute müssen Vorfälle gemäß definierten Grenzwerten in bestimmten Vorlagen und Zeitplänen melden sowie Verfahren zur Dokumentation der Ursachen und Verbesserungen nach Vorfällen implementieren. 

Hinweise für IKT-Anbieter: IKT-Anbieter müssen in der Lage sein, die Anforderungen von Kunden an die Erstellung von Vorfallberichten zu erfüllen. Darüber hinaus wird der neue Lead-Overseer im Fall wichtiger IKT-Anbieter die Prozesse des Anbieters zur Identifizierung, zum Monitoring und zur umgehenden Meldung wesentlicher IKT-bezogener Vorfälle an Finanzinstitute direkt bewerten. 

Google Cloud-Support: Google informiert Kunden über unsere aktualisierten DORA-Vertragsbedingungen über ICT-bezogene Vorfälle, die sich auf ihre Nutzung von Google Cloud auswirken. Wir stellen diese Benachrichtigungen kostenlos über unsere bestehenden Benachrichtigungskanäle (darunter E-Mail, Personalized Service Health (PSH), das Service Health-Dashboard und das Google Cloud-Supportcenter) zur Verfügung.

Wir sind verpflichtet, Finanzunternehmen innerhalb der vorgegebenen Fristen die Informationen bereitzustellen, die sie benötigen, um eigene Bewertungen und die Berichterstattung auf Grundlage der DORA-Anforderungen zu ermöglichen.

Hinweise für EU-Finanzinstitute: DORA baut auf bestehenden EU-Initiativen wie TIBER-EU auf und entwickelt einen neuen EU-weiten Ansatz für das Testen der digitalen Stabilität. Bei bestimmten Finanzinstituten umfasst dies alle drei Jahre erweiterte, von Bedrohungen ausgelöste Penetrationstests (TLPT). Durch die Klarstellung der Testmethodik und die Einführung der gegenseitigen Erkennung von Testergebnissen unterstützt DORA die Finanzbehörden dabei, ihre Testfunktionen weiterhin so zu entwickeln und zu skalieren, dass sie in der gesamten EU funktionieren.  

Hinweise für IKT-Anbieter: DORA bezieht sich direkt auf die Rolle des IKT-Anbieters in Tests, die von Finanzinstituten durchgeführt werden. DORA ermöglicht insbesondere gemeinsame Tests, um die Auswirkungen von Tests auf mehrmandantenfähige Dienste wie öffentliche Clouds zu steuern. Darüber hinaus bewertet der neue Lead-Overseer im Fall wichtiger IKT-Anbieter die eigenen Tests der IKT-Systeme, der Infrastruktur und der Kontrollen direkt. 

Google Cloud-Unterstützung: Google nimmt am TLPT teil und ermöglicht gemäß Artikel 26(4) der DORA-Verordnung gemeinsame Tests durch externe Tester. Wir sind davon überzeugt, dass Pooltests die beste Methode sind, um die digitale Betriebsstabilität von Google Cloud effektiv zu testen und gleichzeitig die Risiken zu bewältigen, die für andere Kunden durch Tests in einer Multi-Tenant-Umgebung entstehen.

Hinweise für Finanzdienstleister in der EU: DORA stützt sich auf eine solide Grundlage der entsprechenden Outsourcing-Richtlinien der europäischen Aufsichtsbehörden durch Koordinierung der Anforderungen an das Risikomanagement von IKT-Drittanbietern in verschiedenen Branchen, einschließlich der Anforderungen an die Implementierung eines Rahmens für das Risikomanagement von IKT-Drittanbietern und an Verträge mit IKT-Anbietern. Durch die Gewährleistung, dass ähnliche Risiken in allen Sektoren und EU-Mitgliedsstaaten einheitlich behandelt werden, ermöglicht DORA den Finanzbehörden, ihre Risikomanagementprogramme für IKT-Drittanbieter zu konsolidieren und zu verbessern.

Hinweise für IKT-Anbieter: IKT-Anbieter müssen die Anforderungen des Kunden an das Risikomanagement für Drittanbieter unterstützen können. Darüber hinaus kann der neue Lead-Overseer mit DORA direkt die wichtigsten IKT-Anbieter beaufsichtigen. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Überwachungsplänen, Inspektionen und Empfehlungen. 

Google Cloud-Support: Google stellt Finanzunternehmen aktualisierte Vertragsbedingungen für Google Cloud und Google Workspace zur Verfügung, um die wichtigsten Vertragsbestimmungen in Artikel 30 zu erfüllen. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten. Wir haben auch Zuordnungen zu Artikel 30 für Google Cloud und Google Workspace erstellt, damit Sie verstehen, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.

Hinweise für Finanzdienstleister in der EU: DORA beschreibt die Möglichkeiten, mit denen Finanzinstitute Informationen und Erkenntnisse zu Cyberbedrohungen freiwillig an andere Finanzbehörden und Aufsichtsbehörden weitergeben können. 

Hinweise für IKT-Anbieter: DORA sieht vor, dass IKT-Anbieter in die Vereinbarungen für den Informationsaustausch einbezogen werden, die potenziell vertrauliche Informationen schützen. Diese Vereinbarungen sind jedoch noch nicht definiert.  

Google Cloud-Support : Google Cloud bietet Produkte und Dienste, mit denen sich Kunden gemäß den DORA-Anforderungen proaktiv vor Cyberbedrohungen schützen können. Wir veröffentlichen vierteljährlich einen Threat Horizons-Bericht, in dem wir strategische Informationen zu Bedrohungen für unsere Kunden bereitstellen. Kunden können außerdem die Incident-Response-Services von Mandiant, die Services für das Cyberrisikomanagement und die technischen Sicherheitsdienste nutzen, um sich vor Cybersicherheitsvorfällen zu schützen und darauf vorzubereiten.

DORA ist eine EU-Verordnung. Sie gilt für den gesamten Finanzdienstleistungssektor in allen EU-Mitgliedstaaten. DORA aktualisiert bestehende Regeln und führt eine Reihe allgemeiner Anforderungen ein, um IKT-Risiken zu mindern und die digitale Stabilität im europäischen Finanzsystem zu erhöhen. Mit DORA wird außerdem ein Rahmenwerk für die direkte Aufsicht wichtiger IKT-Anbieter durch die Finanzaufsichtsbehörden in der EU eingeführt.

DORA führt eine Reihe allgemeiner Anforderungen für Finanzunternehmen in der EU ein, um IKT-Risiken zu verringern und die digitale Robustheit des europäischen Finanzsystems zu stärken. Im Besonderen:

1. DORA enthält detaillierte Anforderungen für Finanzunternehmen an das IKT-Risikomanagement.

2. DORA fasst die Anforderungen für die Meldung von Vorfällen im Finanzsektor in einem einzigen, optimierten Framework zusammen.

3. Basierend auf bestehenden EU-Initiativen wie TIBER-EU etabliert DORA einen neuen EU-weiten Ansatz zum Testen digitaler operativer Robustheit einschließlich bedrohungsbasierter Penetrationstests.

4. DORA baut auf der soliden Grundlage der entsprechenden Outsourcing-Richtlinien der europäischen Aufsichtsbehörden auf und koordiniert die Anforderungen des Risikomanagements für Dritte branchenübergreifend weiter, einschließlich der Anforderungen für Verträge mit IKT-Anbieter.

DORA ermöglicht es auch Finanzregulierungsbehörden, wichtige IKT-Anbieter direkt zu beaufsichtigen. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Aufsichtsplänen, Inspektionen und Empfehlungen.

DORA gilt in erster Linie für Finanzunternehmen in der EU. Ein Teil von DORA gilt jedoch direkt für IKT-Anbieter (einschließlich Cloud-Anbieter), die von den Finanzaufsichtsbehörden in der EU gemäß einem offiziellen Verfahren als „kritisch“ eingestuft werden. Die Klassifizierung erfolgt anhand einer Reihe von Faktoren, darunter den systemischen Auswirkungen eines Ausfalls der Dienstleistungen des IKT-Anbieters und der systemischen Bedeutung der Finanzunternehmen, die diese Dienstleistungen nutzen.

Die DORA-Verordnung ist am 17. Januar 2025 in Kraft getreten (2 Jahre und 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU). 

DORA gilt nur direkt für wichtige IKT-Anbieter, nachdem sie von den Finanzaufsichtsbehörden in der EU als „wichtig“ eingestuft wurden. Die Frist für die Einhaltung der Vorschriften durch kritische IKT-Anbieter hängt daher von dem Zeitpunkt der Benennung ab. Obwohl DORA nur dann direkt für Google Cloud gilt, wenn eine offizielle Benennung vorliegt, bereiten wir uns bereits darauf vor, potenzielle direkte Anforderungen zu erfüllen.

Der Aufsichtsrahmen für wichtige IKT-Anbieter gemäß DORA bietet echte Möglichkeiten, das Verständnis, die Transparenz und das Vertrauen zwischen IKT-Anbietern, Finanzunternehmen und Finanzaufsichtsbehörden zu verbessern und letztendlich Innovationen im Finanzsektor in Europa zu fördern. Dieser Mechanismus schafft einen direkten Kommunikationskanal zwischen Regulierungsbehörden und benannten IKT-Anbietern über jährliche Einbindungen, einschließlich Überwachungsplänen, Inspektionen und Empfehlungen. Wir sind überzeugt, dass dieser strukturierte Dialog dazu beitragen wird, das Risikomanagement und die Widerstandsfähigkeit im gesamten Sektor zu verbessern.

Google Cloud ermöglicht es Aufsichtsbehörden, die Nutzung unserer Dienste durch Finanzunternehmen effektiv zu überwachen. Wir gewähren Finanzinstituten, ihren Regulierungsbehörden und ihren Beauftragten Informations-, Prüfungs- und Zugriffsrechte und unterstützen unsere Kunden, wenn diese oder die Regulierungsbehörden diese Rechte ausüben wollen. Bei einer Beziehung mit einem Lead-Overseer haben wir uns dem gleichen Ziel für kontinuierliche Transparenz, Zusammenarbeit und Sicherheit verpflichtet. 

Wir legen großen Wert auf die Planung direkter Aufsichtsanforderungen und tun alles dafür, dass unsere Funktion zur direkten Überwachung die Kommunikation mit den Regulierungsbehörden, effiziente Audits und Korrekturpläne innerhalb von Fristen effektiv unterstützt.

Wir stellen Finanzunternehmen aktualisierte Vertragsbedingungen für Google Cloud und Google Workspace zur Verfügung, um die wichtigsten Vertragsbestimmungen in Artikel 30 zu erfüllen. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten.

Wir haben auch Zuordnungen zu Artikel 30 für Google Cloud und Google Workspace erstellt, damit Sie verstehen, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.

Uns ist bewusst, dass der RTS-Entwurf für Unterverträge zusätzliche Vertragsanforderungen enthält. Google Cloud überwacht den Fortschritt des RTS und stellt bei Bedarf aktualisierte Vertragsbedingungen bereit, sobald die endgültige Version von der Europäischen Kommission verabschiedet wurde. Eine Liste der von der Europäischen Kommission erlassenen und delegierten DORA-Gesetze finden Sie hier.

Wenn Sie Google Cloud für die Bereitstellung eigener ICT-Dienste für Finanzunternehmen in der EU verwenden, ist uns bewusst, dass Sie die erforderlichen nachgelagerten Vertragsbedingungen von Google benötigen. Deshalb bieten wir unseren Kunden und Partnern gleichwertige Vertragsbedingungen für die wichtigsten Vertragsbestimmungen in Artikel 30. Wenn Sie DORA-konforme Vertragsbedingungen benötigen, wenden Sie sich an Ihren Google Cloud-Ansprechpartner, um weitere Informationen zu erhalten.

Wir haben auch eine Zuordnung zu Artikel 30 für Google Cloud erstellt, damit Sie besser nachvollziehen können, wie Sie mit unseren Verträgen, Kontrollen und Prozessen die DORA-Anforderungen erfüllen können.

Wir engagieren uns bei politischen Entwicklungen im Finanzdienstleistungssektor, die erhebliche Auswirkungen auf Google Cloud und die Nutzung unserer Dienste durch unsere Kunden auf der ganzen Welt haben. 

Wenn politische Entscheidungsträger einen Ansatz in Betracht ziehen, der dem DORA ähnelt, prüfen sie oft zuerst, wie dieser Ansatz in den bestehenden lokalen Regulierungsrahmen passt, einschließlich möglicher Verbesserungsbereiche. Die Europäische Kommission hat sich 2020 zu diesem Thema beraten, bevor sie den ursprünglichen DORA-Entwurf vorlegte. 

Wenn politische Entscheidungsträger die Notwendigkeit eines anderen (und möglicherweise direkten) regulatorischen Ansatzes bestätigt haben, teilen wir unser technologisches Fachwissen in Bezug auf Cloud-Dienste und setzen uns konsequent für Folgendes ein:

Harmonisierung und Deduplizierung von Anforderungen (innerhalb und zwischen Ländern)

Anforderungen, die verhältnismäßig und zielführend sind

einen technologieneutralen Ansatz, der Innovationen fördert

- ein Ansatz, der die Sicherheit und Integrität unserer Dienste für alle unsere Kunden achtet

Das Vereinigte Königreich ist ein Beispiel für ein weiteres Land, das einen direkten regulatorischen Rahmen für wichtige Drittanbieter im Finanzsektor implementiert. 

DORA ist nicht die einzige Verordnung, die für Cloud-Anbieter in Europa gilt. Die NISD2-Richtlinie führt auch eine branchenübergreifende Aufsicht für kritische Drittanbieter ein. Außerdem gibt es viele nationale Anforderungen, die für Cloud-Dienste in regulierten Branchen gelten. 

Die Cloud-Einführung in der Finanzdienstleistungsbranche ist noch neu und die kommenden Vorschriften müssen diese Art der Innovation fördern. Die verschiedenen Länder werden unterschiedliche Ansätze verfolgen, um die Sicherheit und operative Widerstandsfähigkeit des Finanzdienstleistungssystems zu gewährleisten. Eine direkte Regulierung oder Aufsicht ist nicht die einzige Lösung, die für verschiedene Märkte geeignet ist. Wir wissen, dass sich die Aufsichtsbehörden in anderen Ländern ebenfalls auf Standards, horizontale Regeln und selbstregulierende Praktiken konzentrieren. Welchen Ansatz die politischen Entscheidungsträger auch verfolgen, es ist wichtig, eine einheitliche Regulierung und Harmonisierung der angewandten Grundsätze zu gewährleisten, da sie sich auf globale Technologieunternehmen und das grenzüberschreitende digitale Finanzsystem auswirken.