Allgemeine Fragen zu DORA

Q&A

DORA ist ab 17.1.2025 anwendbar. Es waren keine Übergangsfristen vorgesehen.

Die DORA-Verordnung gilt laut Artikel 2 Absatz 1 DORA-Verordnung (Art. 2 Abs. 1 DORA-VO) für:

  1. Kreditinstitute,
  2. Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,
  3. Kontoinformationsdienstleister:innen,
  4. E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,
  5. Wertpapierfirmen,
  6. Anbieter:innen von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,
  7. Zentralverwahrer:innen,
  8. zentrale Gegenparteien,
  9. Handelsplätze,
  10. Transaktionsregister,
  11. Verwalter alternativer Investmentfonds,
  12. Verwaltungsgesellschaften,
  13. Datenbereitstellungsdienste,
  14. Versicherungs- und Rückversicherungsunternehmen,
  15. Versicherungsvermittler:innen, Rückversicherungsvermittler:innen und Versicherungsvermittler:innen in Nebentätigkeit,
  16. Einrichtungen der betrieblichen Altersversorgung,
  17. Ratingagenturen,
  18. Administrator:innen kritischer Referenzwerte,
  19. Schwarmfinanzierungsdienstleister:innen,
  20. Verbriefungsregister,
  21. IKT-Drittdienstleister:innen.

Sie gilt nicht für (Art. 2 Abs. 3 DORA-VO):

  1. Verwalter:innen alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
  2. Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
  3. Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärter:innen betreiben;
  4. gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
  5. Versicherungsvermittler:innen, Rückversicherungsvermittler:innen und Versicherungsvermittler:innen in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
  6. Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Im DORA-Vollzugsgesetz sind zudem ergänzende Regelungen zum Anwendungsbereich enthalten, welche den von der DORA-VO vorgesehenen Anwendungsbereich auf „nationale“ Kreditinstitute gem. § 1 Abs 1 Bankwesengesetz (BWG) ausdehnen und gemeinnützige Bauvereine davon ausnehmen.

§ 3. (1) Auf Kreditinstitute gemäß § 1 Abs. 1 BWG, die keine der in Art. 2 Abs. 1 lit. a bis t der Verordnung (EU) 2022/2554 genannten Rechtsträger sind, sind die Vorgaben dieses Bundesgesetzes, der Verordnung (EU) 2022/2554 sowie der aufgrund dieser Verordnung erlassenen delegierten Rechtsakte und Durchführungsrechtsakte anzuwenden, als ob diese Kreditinstitute gemäß Art. 2 Abs. 1 Buchstabe a der Verordnung (EU) 2022/2554 wären.

(2) Auf Unternehmen, die als gemeinnützige Bauvereine anerkannt sind, findet die Verordnung (EU) 2022/2554 und dieses Bundesgesetzes insoweit keine Anwendung, als sie in § 1 Abs. 1 BWG genannte Geschäfte betreiben, die zu den ihnen eigentümlichen Geschäften gehören.

Darüber hinaus wird auf Vorgaben zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 DORA-VO) hingewiesen.

Des Weiteren finden sich in der DORA-VO Erleichterungen für sogenannte „Kleinstunternehmen“ (Art. 3 Z 60 DORA-VO). Hierbei handelt es sich um Finanzunternehmen, bei denen es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, welche weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Millionen Euro nicht überschreitet.

Bei der Anwendung der DORA-Vorschriften ist der Grundsatz der Proportionalität – im Hinblick auf die Größe, das Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte der Finanzunternehmen – zu beachten. 

Während dieses Prinzip für das Kapitel IKT-Risikomanagement grundsätzlich definiert ist (Art. 4 Abs. 1 DORA-VO), gilt es für die Themenbereiche IKT-bezogene Vorfälle, Testen der digitalen operationalen Resilienz und Management des IKT-Drittparteienrisikos nur, wenn es in den jeweiligen Vorgaben explizit vorgesehen ist (Art. 4 Abs. 2 DORA-VO).

Kontakt

Wenn Sie Fragen zu DORA haben, wenden Sie sich bitte an folgende E-Mail-Adresse:

[email protected]

Mehr zu DORA

Klicken Sie bitte auf den jeweiligen Themenbereich, um weitere Informationen zu erhalten.

Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.