DORA – Digitale operationale Resilienz im Finanzsektor
Stärkung der Cybersicherheit
DORA-Ziele und -Themenbereiche
DORA steht für Digital Operational Resilience. Die damit verbundenen Vorgaben, die Bestandteil des von der Europäischen Kommission vorgelegten Pakets zur Digitalisierung des Finanzsektors sind, beruhen insbesondere auf der DORA-Verordnung (DORA-VO), die ab 17. Januar 2025 für annähernd alle von der Finanzmarktaufsicht (FMA) beaufsichtigten Finanzunternehmen anwendbar ist.
Ziel ist insbesondere die bereits im FinTech-Aktionsplan 2018 der Europäischen Kommission adressierte Stärkung der Cybersicherheit des EU-Finanzsektors.
DORA erreicht auch eine Harmonisierung bzw. Weiterentwicklung der Vorgaben zur digitalen operationalen Resilienz und umfasst diese Themenbereiche:
FMA-Aktivitäten
Die FMA wirkt in verschiedenen Gremien an der Rechtsentwicklung und an Abstimmungen zur aufsichtlichen Konvergenz mit, bereitet sich auf die neuen Vorgaben vor und unterstützt auch beaufsichtigte Unternehmen bei der DORA-Implementierung.
Die FMA setzt themenbezogene Aufsichtsschwerpunkte und erstellt im Jahr 2024 eine Austrian Digital Landscape: Hier wird neben dem Grad der Digitalisierung des Geschäftsbetriebs insbesondere die operationale Resilienz der beaufsichtigten Unternehmen im Hinblick auf deren Informationstechnik-Landschaft (IT-Landschaft), auf Verflechtungen von Informations- und Kommunikationstechnologien (IKT-Verflechtungen) sowie auf deren Cyber-Resilienz evaluiert.
Dieser Fokus ermöglicht der FMA, die Implikationen der Digitalisierung in den beaufsichtigten Unternehmen adäquat in ihren risikoorientierten Aufsichtsansatz und in die allgemeine aufsichtliche Beurteilung der Unternehmen einzubeziehen und die für den österreichischen Finanzmarkt relevanten IKT-Dienstleister zu identifizieren.
Die Austrian Digital Landscape ist eine Weiterführung der bislang durchgeführten Digitalisierungsstudien.
Wenn Sie Fragen zu DORA haben, wenden Sie sich bitte an folgende E-Mail-Adresse:
Allgemeine Fragen zu DORA
Die DORA-Verordnung gilt laut Artikel 2 Absatz 1 DORA-Verordnung (Art. 2 Abs. 1 DORA-VO) für:
- Kreditinstitute,
- Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,
- Kontoinformationsdienstleister:innen,
- E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,
- Wertpapierfirmen,
- Anbieter:innen von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,
- Zentralverwahrer:innen,
- zentrale Gegenparteien,
- Handelsplätze,
- Transaktionsregister,
- Verwalter alternativer Investmentfonds,
- Verwaltungsgesellschaften,
- Datenbereitstellungsdienste,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungsvermittler:innen, Rückversicherungsvermittler:innen und Versicherungsvermittler:innen in Nebentätigkeit,
- Einrichtungen der betrieblichen Altersversorgung,
- Ratingagenturen,
- Administrator:innen kritischer Referenzwerte,
- Schwarmfinanzierungsdienstleister:innen,
- Verbriefungsregister,
- IKT-Drittdienstleister:innen.
Sie gilt nicht für (Art. 2 Abs. 3 DORA-VO):
- Verwalter:innen alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
- Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
- Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärter:innen betreiben;
- gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
- Versicherungsvermittler:innen, Rückversicherungsvermittler:innen und Versicherungsvermittler:innen in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
- Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.
Im DORA-Vollzugsgesetz sind zudem ergänzende Regelungen zum Anwendungsbereich enthalten, welche den von der DORA-VO vorgesehenen Anwendungsbereich auf „nationale“ Kreditinstitute gem. § 1 Abs 1 Bankwesengesetz (BWG) ausdehnen und gemeinnützige Bauvereine davon ausnehmen.
§ 3. (1) Auf Kreditinstitute gemäß § 1 Abs. 1 BWG, die keine der in Art. 2 Abs. 1 lit. a bis t der Verordnung (EU) 2022/2554 genannten Rechtsträger sind, sind die Vorgaben dieses Bundesgesetzes, der Verordnung (EU) 2022/2554 sowie der aufgrund dieser Verordnung erlassenen delegierten Rechtsakte und Durchführungsrechtsakte anzuwenden, als ob diese Kreditinstitute gemäß Art. 2 Abs. 1 Buchstabe a der Verordnung (EU) 2022/2554 wären.
(2) Auf Unternehmen, die als gemeinnützige Bauvereine anerkannt sind, findet die Verordnung (EU) 2022/2554 und dieses Bundesgesetzes insoweit keine Anwendung, als sie in § 1 Abs. 1 BWG genannte Geschäfte betreiben, die zu den ihnen eigentümlichen Geschäften gehören.
Darüber hinaus wird auf Vorgaben zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 DORA-VO) hingewiesen.
Des Weiteren finden sich in der DORA-VO Erleichterungen für sogenannte „Kleinstunternehmen“ (Art. 3 Z 60 DORA-VO). Hierbei handelt es sich um Finanzunternehmen, bei denen es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, welche weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Millionen Euro nicht überschreitet.
Bei der Anwendung der DORA-Vorschriften ist der Grundsatz der Proportionalität – im Hinblick auf die Größe, das Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte der Finanzunternehmen – zu beachten.
Während dieses Prinzip für das Kapitel IKT-Risikomanagement grundsätzlich definiert ist (Art. 4 Abs. 1 DORA-VO), gilt es für die Themenbereiche IKT-bezogene Vorfälle, Testen der digitalen operationalen Resilienz und Management des IKT-Drittparteienrisikos nur, wenn es in den jeweiligen Vorgaben explizit vorgesehen ist (Art. 4 Abs. 2 DORA-VO).
Fragen zu Aufsichtsanforderungen der OeNB und FMA
IKT-Prüfungen von Seite der Oesterreichischen Nationalbank (OeNB) und Finanzmarktaufsicht Österreich (FMA) berücksichtigen in Zukunft auch DORA-Vorgaben. Ausschließlich auf DORA bezogene Vor-Ort-Prüfungen sind zum gegenwärtigen Zeitpunkt nicht vorgesehen.
Auch andere aufsichtliche Maßnahmen, wie zum Beispiel Fragebögen, Einschauen oder Cyber Exercises werden weiterhin entsprechend den Aufsichtsschwerpunkten durchgeführt werden.
Neben dem Informationsregister sind weitere DORA-spezifische Informationsübermittlungen Ende Jänner 2025 grundsätzlich nicht vorgesehen.
Die OeNB und die FMA sind sich bewusst, dass mit den DORA-Anforderungen spezifische Herausforderungen einhergehen.
Die DORA-Vorgaben sehen aber keinen Übergangszeitraum in Hinblick auf deren Anwendung vor.
Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.
Mehr zu DORA
Klicken Sie bitte auf den jeweiligen Themenbereich, um weitere Informationen zu erhalten.
- IKT-Risikomanagement
- IKT-bezogene Vorfälle
- Testen der digitalen operationalen Resilienz
- Management des IKT-Drittparteienrisikos
- Überwachungsrahmen kritischer IKT-Drittdienstleister
- Informationsaustausch & Notfallübungen
- Q&A der Europäischen Aufsichtsbehörden
Rechtliche Grundlagen
In Verordnung (EU) 2022/2554 sind die grundlegenden Vorgaben zur digitalen operationalen Resilienz des EU-Finanzsektors umfasst.
Bestehende sektorale Richtlinien werden zur Kohärenz mit DORA-Anforderungen durch die Richtlinie (EU) 2022/2556 angepasst.
Das vom Nationalrat am 3. Juli 2024 beschlossene DORA-Vollzugsgesetz dient dem Wirksamwerden der DORA-Verordnung und zur Änderung weiterer Verordnungen in Österreich.
Aufgrund der in der DORA-Verordnung enthaltenen Ermächtigungen für die Europäische Kommission wurden die folgenden Rechtsakte erlassen:
DELEGIERTE VERORDNUNG (EU) 2024/1502 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch
DELEGIERTE VERORDNUNG (EU) 2024/1505 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren
Diese werden insbesondere durch die Europäischen Aufsichtsbehörden entwickelt und anschließend von der Europäischen Kommission erlassen:
DELEGIERTE VERORDNUNG (EU) 2024/1772 DER KOMMISSION vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle
DELEGIERTE VERORDNUNG (EU) 2024/1773 DER KOMMISSION vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden
DELEGIERTE VERORDNUNG (EU) 2024/1774 DER KOMMISSION vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens
Finale Entwürfe der zweiten Welle
Die finalen Entwürfe der Konsultation der Europäischen Aufsichtsbehörden zur zweiten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien wurden am 17. Juli 2024 veröffentlicht:
Final report DORA RTS on subcontracting (Dateiformat: pdf, Dateigröße: 745,5 KB, Sprache: Englisch)
Konsultationen der zweiten Welle
Die öffentliche Konsultation zur zweiten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien lief bis 4. März 2024:
CP on draft RTS subcontracting (Dateiformat: pdf, Dateigröße: 460,7 KB, Sprache: Englisch)
CP on draft GL on costs and losses (Dateiformat: pdf, Dateigröße: 367,9 KB, Sprache: Englisch)
CP on draft RTS on TLPT (Dateiformat: pdf, Dateigröße: 703,0 KB, Sprache: Englisch)
Finale Entwürfe der ersten Welle
Die Europäischen Aufsichtsbehörden haben am 17.Januar 2024 die ersten finalen Entwürfe der technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) veröffentlicht:
Konsultationen der ersten Welle
Die öffentliche Konsultation zur ersten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien lief bis 11. September 2023:
CP on draft RTS on ICT risk management (Dateiformat: pdf, Dateigröße: 953,0 KB, Sprache: Englisch)
CP on draft ITS on register of information (Dateiformat: pdf, Dateigröße: 1,5 MB, Sprache: Englisch)
EU-Systemic Cyber Incident Coordination Framework (EU-SCICF):
ESAs Factsheet on the EU SCICF (Dateiformat: pdf, Dateigröße: 2,2 MB, Sprache: Englisch)
ESAs establish framework to strengthen coordination in case of systemic cyber incidents