In einem Jahr, genau ab 17. Jänner 2025, ist die neue EU-Verordnung über die digitale operationale Resilienz im Finanzsektor, der „Digital Operational Resilience Act“[1] (DORA), in Österreich anzuwenden. Damit werden Lücken in der Finanzdienstleistungsgesetzgebung geschlossen, die bisher die digitale operationelle Resilienz nur fragmentiert adressiert und die Risiken der Informations- und Kommunikationstechnologien (IKT) nur am Rande behandelt. DORA wird einen harmonisierten und umfassenden Rechtsrahmen schaffen, der die Widerstandsfähigkeit der europäischen Finanzunternehmen und des gesamten Finanzmarkts gegenüber Cyberbedrohungen und IKT-bedingten Betriebsstörungen stärkt. Dazu werden auch IKT-Drittanbieter, die als kritisch eingestuft werden, in den Anwendungsbereich der Finanzmarktaufsicht einbezogen.
„DORA bringt sehr grundlegende und sehr weitreichende regulatorische Neuerungen. Es ist daher von essenzieller Bedeutung, dass sich die betroffenen Finanzdienstleister und Drittanbieter rechtzeitig auf dieses neue Aufsichtsregime vorbereiten,“ so der Vorstand der FMA, Helmut Ettl und Eduard Müller: „Die FMA hat daher einen Aufsichtsschwerpunkt auf die rechtzeitige Vorbereitung des Marktes auf die Herausforderungen dieser neuen Regulierung gelegt und wird beaufsichtigte Unternehmen wie auch Drittanbieter dabei eng begleiten.“
DORA – neue und strenge Regeln, neue beaufsichtigte Unternehmen
Um den Finanzmarkt widerstandsfähiger gegen Cyber-Angriffe zu machen und andere Risiken aus der Nutzung digitaler Informations- und Kommunikationstechnologien zu mindern, verpflichtet DORA betroffene Finanzunternehmen und IKT-Drittanbieter dazu, zahlreiche Maßnahmen zu ergreifen und Vorgänge zu beachten: etwa einen IKT-Risikomanagementrahmen sowie ein Business Continuity Management zu implementieren; zahlreichen Berichtspflichten, insbesondere zu IKT-Vorfällen, nachzukommen; die digitale Betriebsstabilität regelmäßig zu prüfen (auch durch zentral gesteuerte Resilienz- und Penetrationstests); IKT-Drittdienstleister-Risiken zu steuern und zu überwachen sowie einen regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen zu institutionalisieren.
DORA betrifft im Wesentlichen alle Finanzmarktsektoren, wenngleich bei der Anwendung das jeweilige Risikoprofil zu berücksichtigen ist. Um das breite Spektrum der Vernetzungen mit Anbietern technologischer Lösungen (Rechenzentren, Cloud-Dienstleister, Softwareentwickler, Datenanalysten etc.) in die Aufsicht effizient einzubeziehen, wird ein europäisches Überwachungsregime für kritische IKT-Dienstleister geschaffen. Dies erfordert neue Strukturen in und Kommunikationsschnittstellen zwischen den zahlreichen beteiligten Akteuren (beaufsichtigte Unternehmen, nationale und europäische Behörden).
FMA begleitet die Unternehmen bei der Umsetzung sehr eng
Die betroffenen Unternehmen sind somit in den nächsten zwölf Monaten gefordert, ihre digitale operationale Resilienz sowie ihre IKT-Vernetzungen und Vertragsklauseln umfassend mit Blick auf DORA zu prüfen, Handlungsfelder zu identifizieren und rechtzeitig die erforderlichen Umsetzungsmaßnahmen einzuleiten.
Zur Unterstützung auf diesem herausfordernden Weg, die digitale operationelle Resilienz auf dem Finanzsektor zu stärken, hat die FMA in den vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten entwickelt, die in der „FMA Cyber Security Toolbox“ zusammengefasst sind. Zudem führt sie gerade eine Analyse zur „Austrian Digital Landscape“ durch. In diesem Aufsichtsschwerpunkt evaluiert und prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Infrastruktur, IKT-Verflechtungen, Maßnahmen zur Prävention und Detektion von Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem österreichischen Finanzmarkt. Als Ausgangspunkt werden dabei bereits die DORA-Vorgaben herangezogen. Die Unternehmen werden dadurch die Möglichkeit haben, etwaige Verbesserungen bei der Implementierung der neuen regulatorischen Vorgaben vorzunehmen, bevor die Vorgaben Anfang 2025 zwingend einzuhalten sind. Überdies wird es dieser Schwerpunkt der FMA ermöglichen, die für den österreichischen Finanzmarkt relevanten IKT-Dienstleister zu identifizieren.
Weiterführende Informationen finden Sie auf der Website der FMA unter dem Link: Digital Operational Resilience Act (DORA) – FMA Österreich
Rückfragehinweis für Journalisten
Klaus Grubelnik (FMA-Mediensprecher)
+43 (0)1 249 59 – 6006
+43 (0)676 – 88 249 516
[1] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011