DORA – Digitale operationale Resilienz im Finanzsektor
Stärkung der Cybersicherheit
DORA-Ziele und -Themenbereiche
DORA steht für Digital Operational Resilience. Die damit verbundenen Vorgaben, die Bestandteil des von der Europäischen Kommission vorgelegten Pakets zur Digitalisierung des Finanzsektors sind, beruhen insbesondere auf der DORA-Verordnung (DORA-VO), die ab 17. Januar 2025 für annähernd alle von der Finanzmarktaufsicht (FMA) beaufsichtigten Finanzunternehmen anwendbar ist.
Ziel ist insbesondere die bereits im FinTech-Aktionsplan 2018 der Europäischen Kommission adressierte Stärkung der Cybersicherheit des EU-Finanzsektors.
DORA erreicht auch eine Harmonisierung bzw. Weiterentwicklung der Vorgaben zur digitalen operationalen Resilienz und umfasst diese Themenbereiche:
FMA-Aktivitäten
Die FMA wirkt in verschiedenen Gremien an der Rechtsentwicklung und an Abstimmungen zur aufsichtlichen Konvergenz mit, bereitet sich auf die neuen Vorgaben vor und unterstützt auch beaufsichtigte Unternehmen bei der DORA-Implementierung.
Die FMA setzt themenbezogene Aufsichtsschwerpunkte und erstellt im Jahr 2024 eine Austrian Digital Landscape: Hier wird neben dem Grad der Digitalisierung des Geschäftsbetriebs insbesondere die operationale Resilienz der beaufsichtigten Unternehmen im Hinblick auf deren Informationstechnik-Landschaft (IT-Landschaft), auf Verflechtungen von Informations- und Kommunikationstechnologien (IKT-Verflechtungen) sowie auf deren Cyber-Resilienz evaluiert.
Dieser Fokus ermöglicht der FMA, die Implikationen der Digitalisierung in den beaufsichtigten Unternehmen adäquat in ihren risikoorientierten Aufsichtsansatz und in die allgemeine aufsichtliche Beurteilung der Unternehmen einzubeziehen und die für den österreichischen Finanzmarkt relevanten IKT-Dienstleister zu identifizieren.
Die Austrian Digital Landscape ist eine Weiterführung der bislang durchgeführten Digitalisierungsstudien.
Wenn Sie Fragen zu DORA haben, wenden Sie sich bitte an folgende E-Mail-Adresse:
In einem von der FMA angebotenen Webinar am 5. November 2024 wurden DORA-Themenbereiche und FMA-Hinweise zu vorab übermittelten Fragen präsentiert.
Hinweise zum Webinar 5.11.24 (Dateiformat: pdf, Dateigröße: 214,6 KB, Sprache: Deutsch)
Weitere Aktualisierungen erfolgen gs. insb. bei den ‚Fragen und Antworten‘ zu den jeweiligen Themenbereichen.
Allgemeine Fragen zu DORA
DORA ist ab 17.1.2025 anwendbar. Es sind keine Übergangsfristen vorgesehen.
Die DORA-Verordnung gilt laut Artikel 2 Absatz 1 DORA-Verordnung (Art. 2 Abs. 1 DORA-VO) für:
- Kreditinstitute,
- Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,
- Kontoinformationsdienstleister:innen,
- E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,
- Wertpapierfirmen,
- Anbieter:innen von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,
- Zentralverwahrer:innen,
- zentrale Gegenparteien,
- Handelsplätze,
- Transaktionsregister,
- Verwalter alternativer Investmentfonds,
- Verwaltungsgesellschaften,
- Datenbereitstellungsdienste,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungsvermittler:innen, Rückversicherungsvermittler:innen und Versicherungsvermittler:innen in Nebentätigkeit,
- Einrichtungen der betrieblichen Altersversorgung,
- Ratingagenturen,
- Administrator:innen kritischer Referenzwerte,
- Schwarmfinanzierungsdienstleister:innen,
- Verbriefungsregister,
- IKT-Drittdienstleister:innen.
Sie gilt nicht für (Art. 2 Abs. 3 DORA-VO):
- Verwalter:innen alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
- Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
- Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärter:innen betreiben;
- gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
- Versicherungsvermittler:innen, Rückversicherungsvermittler:innen und Versicherungsvermittler:innen in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
- Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.
Im DORA-Vollzugsgesetz sind zudem ergänzende Regelungen zum Anwendungsbereich enthalten, welche den von der DORA-VO vorgesehenen Anwendungsbereich auf „nationale“ Kreditinstitute gem. § 1 Abs 1 Bankwesengesetz (BWG) ausdehnen und gemeinnützige Bauvereine davon ausnehmen.
§ 3. (1) Auf Kreditinstitute gemäß § 1 Abs. 1 BWG, die keine der in Art. 2 Abs. 1 lit. a bis t der Verordnung (EU) 2022/2554 genannten Rechtsträger sind, sind die Vorgaben dieses Bundesgesetzes, der Verordnung (EU) 2022/2554 sowie der aufgrund dieser Verordnung erlassenen delegierten Rechtsakte und Durchführungsrechtsakte anzuwenden, als ob diese Kreditinstitute gemäß Art. 2 Abs. 1 Buchstabe a der Verordnung (EU) 2022/2554 wären.
(2) Auf Unternehmen, die als gemeinnützige Bauvereine anerkannt sind, findet die Verordnung (EU) 2022/2554 und dieses Bundesgesetzes insoweit keine Anwendung, als sie in § 1 Abs. 1 BWG genannte Geschäfte betreiben, die zu den ihnen eigentümlichen Geschäften gehören.
Darüber hinaus wird auf Vorgaben zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 DORA-VO) hingewiesen.
Des Weiteren finden sich in der DORA-VO Erleichterungen für sogenannte „Kleinstunternehmen“ (Art. 3 Z 60 DORA-VO). Hierbei handelt es sich um Finanzunternehmen, bei denen es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, welche weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Millionen Euro nicht überschreitet.
Bei der Anwendung der DORA-Vorschriften ist der Grundsatz der Proportionalität – im Hinblick auf die Größe, das Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte der Finanzunternehmen – zu beachten.
Während dieses Prinzip für das Kapitel IKT-Risikomanagement grundsätzlich definiert ist (Art. 4 Abs. 1 DORA-VO), gilt es für die Themenbereiche IKT-bezogene Vorfälle, Testen der digitalen operationalen Resilienz und Management des IKT-Drittparteienrisikos nur, wenn es in den jeweiligen Vorgaben explizit vorgesehen ist (Art. 4 Abs. 2 DORA-VO).
News
Am 2.12.2024 wurde die Durchführungsverordnung (EU) 2024/2956 zum Informationsregister veröffentlicht.
Die ESAS haben eine Decision on reporting of information necessary for the designation of critical ICT third-party service providers am 15. November 2024 veröffentlicht:
Informationsregister im Jahr 2025 sollen für das Referenzdatum 31. März 2025 aufbereitet sein. Die zuständigen Behörden sollen Informationsregister an die ESAs bis zum 30. April 2025 übermitteln. Beaufsichtigte Unternehmen melden Informationsregister im Jahr 2025 voraussichtlich in den ersten Aprilwochen an FMA.
Darüber hinaus haben ESAs Valdation rules und eine visuelle Repräsentation des Datenmodells publiziert.
Ein ESA-Workshop zu Informationsregistern und zur Dry Run exercise findet am 18. Dezember 2024 statt. (Anmeldelink)
In einem von der FMA angebotenen Webinar am 5. November 2024 wurden DORA-Themenbereiche und FMA-Hinweise zu vorab übermittelten Fragen präsentiert.
Wie angekündigt werden in Folge auch ‚Fragen und Antworten‘ zu den jeweiligen Themenbereichen aktualisiert.
FMA- und OeNB-Hinweise zu den während des Webinars vom 5.11.2024 erhaltenen Fragen:
Hinweise zum Webinar 5.11.24 (Dateiformat: pdf, Dateigröße: 214,6 KB, Sprache: Deutsch)
In einer gemeinsamen Pressemitteilung haben die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) eine Stellungnahme zur Ablehnung des Entwurfs technischer Durchführungsstandards (ITS) zu den Informationsregistern gemäß DORA durch die Europäische Kommission veröffentlicht.
Pressemitteilung der ESAs zu Ablehnung des Draft ITS zum Informationsregister durch EU-Kommission (in Englisch)
Weiterführende Informationen finden Sie im Folder „ITS Informationsregister“ unter dem Punkt „Rechtliche Grundlagen“.
Fragen zu Aufsichtsanforderungen der OeNB und FMA
IKT-Prüfungen von Seite der Oesterreichischen Nationalbank (OeNB) und Finanzmarktaufsicht Österreich (FMA) berücksichtigen in Zukunft auch DORA-Vorgaben. Ausschließlich auf DORA bezogene Vor-Ort-Prüfungen sind zum gegenwärtigen Zeitpunkt nicht vorgesehen.
Auch andere aufsichtliche Maßnahmen, wie zum Beispiel Fragebögen, Einschauen oder Cyber Exercises werden weiterhin entsprechend den Aufsichtsschwerpunkten durchgeführt werden.
Neben dem Informationsregister sind weitere DORA-spezifische Informationsübermittlungen Ende Jänner 2025 grundsätzlich nicht vorgesehen.
Die OeNB und die FMA sind sich bewusst, dass mit den DORA-Anforderungen spezifische Herausforderungen einhergehen.
Die DORA-Vorgaben sehen aber keinen Übergangszeitraum in Hinblick auf deren Anwendung vor.
Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.
Mehr zu DORA
Klicken Sie bitte auf den jeweiligen Themenbereich, um weitere Informationen zu erhalten.
- IKT-Risikomanagement
- IKT-bezogene Vorfälle
- Testen der digitalen operationalen Resilienz
- Management des IKT-Drittparteienrisikos
- Überwachungsrahmen kritischer IKT-Drittdienstleister
- Informationsaustausch & Notfallübungen
- Q&A der Europäischen Aufsichtsbehörden
Rechtliche Grundlagen
In Verordnung (EU) 2022/2554 sind die grundlegenden Vorgaben zur digitalen operationalen Resilienz des EU-Finanzsektors umfasst.
Bestehende sektorale Richtlinien werden zur Kohärenz mit DORA-Anforderungen durch die Richtlinie (EU) 2022/2556 angepasst.
Das vom Nationalrat am 3. Juli 2024 beschlossene DORA-Vollzugsgesetz dient dem Wirksamwerden der DORA-Verordnung und zur Änderung weiterer Verordnungen in Österreich.
Aufgrund der in der DORA-Verordnung enthaltenen Ermächtigungen für die Europäische Kommission wurden die folgenden Rechtsakte erlassen:
DELEGIERTE VERORDNUNG (EU) 2024/1502 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch
DELEGIERTE VERORDNUNG (EU) 2024/1505 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren
Ergänzungen der Verordnung (EU) 2022/2554 durch technische Durchführungs- und Regulierungsstandards:
DELEGIERTE VERORDNUNG (EU) 2024/1772 DER KOMMISSION vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle
DELEGIERTE VERORDNUNG (EU) 2024/1773 DER KOMMISSION vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden
DELEGIERTE VERORDNUNG (EU) 2024/1774 DER KOMMISSION vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens
DURCHFÜHRUNGSVERORDNUNG (EU) 2024/2956 DER KOMMISSION vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister
Noch nicht im Amtsblatt der EU veröffentlicht:
- Commission Delegated Regulation supplementing Regulation (EU) 2022/2554 with regard to regulatory technical standards on harmonisation of conditions enabling the conduct of the oversight activities(not in force until it is published in the Official Journal)
- Commission Delegated Regulation supplementing Regulation (EU) 2022/2554 with regard to regulatory technical standards specifying the content and time limits for the initial notification of, and intermediate and final report on, major ICT-related incidents, and the content of the voluntary notification for significant cyber threats(not in force until it is published in the Official Journal)
Finale Entwürfe der zweiten Welle
Die finalen Entwürfe der Konsultation der Europäischen Aufsichtsbehörden zur zweiten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien wurden am 17. Juli 2024 veröffentlicht:
Final report DORA RTS on subcontracting (Dateiformat: pdf, Dateigröße: 745,5 KB, Sprache: Englisch)
Konsultationen der zweiten Welle
Die öffentliche Konsultation zur zweiten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien lief bis 4. März 2024:
CP on draft RTS subcontracting (Dateiformat: pdf, Dateigröße: 460,7 KB, Sprache: Englisch)
CP on draft GL on costs and losses (Dateiformat: pdf, Dateigröße: 367,9 KB, Sprache: Englisch)
CP on draft RTS on TLPT (Dateiformat: pdf, Dateigröße: 703,0 KB, Sprache: Englisch)
Finale Entwürfe der ersten Welle
Die Europäischen Aufsichtsbehörden haben am 17.Januar 2024 die ersten finalen Entwürfe der technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) veröffentlicht:
Konsultationen der ersten Welle
Die öffentliche Konsultation zur ersten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien lief bis 11. September 2023:
CP on draft RTS on ICT risk management (Dateiformat: pdf, Dateigröße: 953,0 KB, Sprache: Englisch)
CP on draft ITS on register of information (Dateiformat: pdf, Dateigröße: 1,5 MB, Sprache: Englisch)
DURCHFÜHRUNGSVERORDNUNG (EU) 2024/2956 DER KOMMISSION vom 29. November 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister
Historie:
ESAs Press Release on the European Commission's Rejection of the ITS on Registers of Information (in Englisch)
EU-Systemic Cyber Incident Coordination Framework (EU-SCICF):
ESAs Factsheet on the EU SCICF (Dateiformat: pdf, Dateigröße: 2,2 MB, Sprache: Englisch)
ESAs establish framework to strengthen coordination in case of systemic cyber incidents