Sie befinden sich hier: 

Digital Operational Resilience Act (DORA)

Überblick

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor enthält Vorschriften für den Schutz, die Erkennung, Eindämmung und Wiederherstellung mit Blick auf Risiken im Bereich der Informations- und Kommunikationstechnologien (IKT) und ist ab 17. Januar 2025 anwendbar. Die Verordnung betrifft im Wesentlichen alle Finanzmarktsektoren und damit die meisten der in Österreich von der FMA beaufsichtigten Unternehmen. Das Ziel ist es, die Resilienz des europäischen Finanzmarktes gegenüber der Bedrohung von Cyberangriffen zu stärken und dadurch auch zu einem hohen Schutzniveau für Anleger und Verbraucher in der Union beizutragen.

Mit dieser Verordnung sollen die verschiedenen Vorschriften, die sich mit digitalen Risiken im Finanzsektor befassen, konsolidiert, aktualisiert und verbessert werden. Im Hinblick auf die hohe Digitalisierung und Konnektivität bei der Erbringung von Finanzdienstleistungen soll mit dieser Verordnung auch dem Umstand Rechnung getragen werden, dass die finanzielle Solidität von Finanzmarktteilnehmern zunehmend durch IKT- Vorfälle und eine mangelnde operationale Resilienz beeinträchtigt werden kann.

Der Rahmen ist dabei sehr ambitioniert und umfasst neben qualitativen Anforderungen an die IKT- Sicherheit bei den beaufsichtigten Unternehmen selbst und an die Behandlung von IKT- Vorfällen, Vorgaben zu zentral gesteuerten Resilienztests und ein europäisches Überwachungsregime für kritische IKT- Dienstleister. Dies erfordert neue Strukturen in und Kommunikationsschnittstellen zwischen den zahlreichen beteiligten Akteuren (beaufsichtigte Unternehmen, nationale und europäische Behörden).

Säulen von DORA

Grafik der vier Säulen von DORA

Unter der Überschrift IKT- Risikomanagement werden sektorale Guidelines und Regelwerke zentralisiert und vereinheitlicht. Die Vorgaben in diesem Themengebiet sind umfassend und enthalten unter anderem folgende Punkte:

  • IKT -Risikosteuerung
  • Technische Themengebiete (z.B. Patchmanagement, Kryptographie, Logging, Recovery)
  • IKT -Projektmanagement
  • Personalanstellung – Schulung und Zugriffskontrolle
  • Vorfalls- und Krisenmanagement

Die Vorgaben zur Behandlung von IKT -Vorfällen umfassen vor allem folgende Verpflichtungen für beaufsichtigte Unternehmen:

  • Anhand eines vordefinierten Kriterienkataloges muss das Unternehmen schwerwiegende IKT -Vorfälle erkennen.
  • Praktisch unmittelbar nach Identifikation eines schwerwiegenden Vorfalles hat eine vordefinierte Kurzmeldung an die zuständige nationale Aufsichtsbehörde zu erfolgen.
  • Ein Zwischenbericht ist nach einigen Tagen zu erstellen und zu übermitteln.
  • Zuletzt ist nach vordefiniertem Schema ein finaler Bericht zum Vorfall zu verfassen.
  • Die nationalen Behörden haben diese Berichte jeweils unmittelbar an die europäischen Aufsichtsbehörden weiterzuleiten, um potenzielle grenzübergreifende Cyberkrisen erkennen zu können.

Um die Vorbereitung auf die Handhabung IKT -bezogener Vorfälle zu bewerten und Schwächen in der digitalen operationalen Resilienz zu erkennen, haben die beaufsichtigten Unternehmen ein umfassendes Programm für das Testen der digitalen operationalen Resilienz zu erstellen. Ausgewählte Finanzunternehmen sind auch zur Durchführung von Threat Led Penetration Tests (TLPT) verpflichtet. Hierbei handelt es sich um erweiterte Tests von IKTTools, -Systemen und -Prozessen, deren ordnungsgemäßer Ablauf von der Testbehörde überwacht und zum Abschluss bescheinigt wird.

  • Threat Intelligence-Based Ethical Red Teaming in Österreich: TIBER-AT

Die Überwachung der IKT -Dienstleister wird nach folgendem Schema ablaufen:

  • Die beaufsichtigten Unternehmen führen ein Register ihrer jeweiligen ausgelagerten IKT -Dienstleistungen und berichten darüber ihrer nationalen Aufsichtsbehörde.
  • Dieses Register wird von den nationalen Aufsichtsbehörden an die europäischen Aufsichtsbehörden weitergeleitet.
  • Die europäischen Aufsichtsbehörden identifizieren anhand dieser Daten die aus der gesamteuropäischen Perspektive als kritisch einzustufenden IKT -Dienstleister.
  • Jedem kritischen Dienstleister wird ein zentrales Aufsichtsteam (Joint Examination Team, JET) zugeordnet, welches aus Personal der europäischen und der nationalen Behörden besetzt wird, und bei der Überwachung Werkzeuge wie Erhebungen und Vor-Ort-Audits nutzt.

Aktivitäten der FMA

Die FMA begleitet die beaufsichtigten Unternehmen am österreichischen Finanzmarkt  bei der Vorbereitung auf DORA und führt auch 2024 verschiedene Aufsichtsschwerpunkte durch. Im Anschluss an die bislang durchgeführten Digitalisierungsstudien führt die FMA eine Analyse zur „Austrian Digital Landscape“ durch, um den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Landschaft, IKT -Verflechtungen, Cyber-Resilienz) der Unternehmen am österreichischen Finanzmarkt zu evaluieren. Auch die Vorbereitung auf die DORA -Vorgaben wird thematisiert. Die Unternehmen werden dadurch die Möglichkeit haben, etwaige Verbesserungen bei der Implementierung der neuen regulatorischen Vorgaben vorzunehmen, bevor die Vorgaben Anfang 2025 zwingend einzuhalten sind.

Dieser Schwerpunkt wird außerdem der FMA ermöglichen, die Implikationen der Digitalisierung in den beaufsichtigten Unternehmen adäquat in ihren risikoorientierten Aufsichtsansatz und in die allgemeine aufsichtliche Beurteilung der Unternehmen einzubeziehen und die für den österreichischen Finanzmarkt relevanten IKT -Dienstleister zu identifizieren.

Quicklinks

DORA -Verordnung Volltext: Verordnung (EU) 2022/2554

DORA -Standards – 1. Welle: EBA, EIOPA, ESMA

Aktueller Stand der Konsultationen zu DORA-Standards und Leitlinien: Übersichtsseiten von EBA, EIOPA, ESMA

Digitalisierungsstudien der FMA: Studie „Digitalisierung Finanzmarkt“ – FMA Österreich

Versicherungsaufsicht: Digitalisierung – FMA Österreich

Pensionskassenaufsicht: Digitalisierung – FMA Österreich

Threat Intelligence-Based Ethical Red Teaming in Österreich: TIBER-AT