DORA – FMA-Aktivitäten

Aktivitäten

Die FMA wirkt in verschiedenen Gremien an der Rechtsweiterentwicklung und an Abstimmungen zur aufsichtlichen Konvergenz mit und unterstützt auch beaufsichtigte Unternehmen bei der DORA-Implementierung.

Dialoge und Veranstaltungen

FMA und OeNB veranstalteten am 2. Juni 2026 einen Dialog mit Finanzunternehmen zum Thema ‚KI-basierte Schwachstellensuche und -ausnutzung‘.

Im Fokus standen aktuelle Herausforderungen durch und mögliche Reaktionen auf moderne KI-Modelle.

Dialog KI-basierte Schwachstellensuche und -ausnutzung (Dateiformat: pdf, Dateigröße: 6,4 MB, Sprache: Deutsch)

Fragenbeantwortungen_DORA-Dialog_2.6.2026 (Dateiformat: pdf, Dateigröße: 160,8 KB, Sprache: Deutsch)

 

FMA und OeNB veranstalteten am 18. Februar 2026 einen Dialog mit Finanzunternehmen zum Thema „Ein Jahr DORA – Highlights, Herausforderungen & Way Forward“.

Im Fokus standen Erfahrungen und Erkenntnisse zu den zentralen DORA‑Bereichen: dem IKT‑Risikomanagement, IKT‑bezogenen Vorfällen und dem Informationsaustausch, dem Testen der digitalen operationalen Resilienz, dem IKT‑Drittparteienrisikomanagement, dem neuen Überwachungsrahmen für kritische IKT‑Drittdienstleister sowie aktuellen Entwicklungen rund um IKT‑ und Cyberrisikoprüfungen. Abgerundet wurde der Dialog durch einen Ausblick auf die kommenden Schritte.

DORA-Dialog_1 Jahr DORA – Rückblick_Ausblick (Dateiformat: pdf, Dateigröße: 2,6 MB, Sprache: Deutsch)

Fragenbeantwortungen zum DORA-Dialog: Ein Jahr DORA – Highlights, Herausforderungen & Way Forward 18.02.2026 (Dateiformat: pdf, Dateigröße: 128,4 KB, Sprache: Deutsch)

Im von FMA und OeNB veranstalteten Dialog vom 23. Oktober 2025 wurden zentrale Themen rund um die digitale operationale Resilienz behandelt. 

Im Fokus standen die Erfahrungen mit dem Informationsregister der IKT-Drittdienstleister 2025, ein Ausblick auf die Meldung 2026, sowie aktuelle Hinweise zu IKT-bezogenen Vorfällen und zum neuen Überwachungsrahmen für kritische IKT-Drittdienstleister.

Präsentationsunterlagen FMA-OeNB-DORA-Dialog 23.10.2025 (Dateiformat: pdf, Dateigröße: 3,1 MB, Sprache: Deutsch)

Fragenbeantwortungen zum DORA-Dialog: DORA-Informationsregister & aktuelle Hinweise 23.10.2025 (Dateiformat: pdf, Dateigröße: 185,9 KB, Sprache: Deutsch)

In einem am 5. November 2024 angebotenen Webinar wurden DORA-Themenbereiche und Hinweise zu vorab übermittelten Fragen präsentiert.

Präsentationsunterlagen DORA-Webinar 5.11.2024 (Dateiformat: pdf, Dateigröße: 1,6 MB, Sprache: Deutsch)

Hinweise zum Webinar 5.11.24 (Dateiformat: pdf, Dateigröße: 214,6 KB, Sprache: Deutsch)

Weitere Aktualisierungen erfolgen gs. insb. bei den ‚Fragen und Antworten‘ zu den jeweiligen Themenbereichen.

FMA-Schreiben

FMA-Hinweise

Verhältnis zwischen DORA und NIS2/NISG 2026 für Finanzunternehmen

Für Finanzunternehmen ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) als sektorspezifischer Rechtsakt gegenüber der NIS2-Richtlinie bzw. dem NISG 2026 zu qualifizieren (lex specialis). Gemäß § 24 Abs. 7 NISG 2026 gehen gegenüber Finanzunternehmen, die in den Anwendungsbereich der DORA fallen, die einschlägigen Bestimmungen der DORA den Bestimmungen des NISG 2026 vor. Darüberhinausgehend bleibt das NISG 2026 für Finanzunternehmen grundsätzlich anwendbar.

Welche Bestimmungen des NISG 2026 sind für Finanzunternehmen nicht anwendbar?
Für Finanzunternehmen, die sowohl der DORA unterliegen als auch als wesentliche oder wichtige Einrichtungen im Sinne des NISG 2026 eingestuft sind, gelangen insbesondere folgende NISG 2026-Bestimmungen nicht zur Anwendung:

    • Governance-Anforderungen (§ 31 NISG 2026),
    • Cybersicherheits-Risikomanagementmaßnahmen (§ 32),
    • Nachweis der Wirksamkeit dieser Maßnahmen (§ 33),
    • Berichtspflichten (§ 34),
    • spezifische Regelungen zum Informationsaustausch zwischen Finanzunternehmen (§ 36),
    • Aufsichts- und Durchsetzungsmaßnahmen (§§ 38 und 39) sowie
    • einschlägige Verwaltungsstrafbestimmungen (§ 45)

Welche Bestimmungen bleiben weiterhin anwendbar?

    • Einbindung in die nationale Cybersicherheitsstrategie (§ 15 NISG 2026),
    • Zusammenarbeit mit Computer Security Incident Response Teams (CSIRTs) (§§ 8 ff),
    • Mitwirkung beim Management von Cybersicherheitsvorfällen großen Ausmaßes (§ 16) sowie im Rahmen von EU-CyCLONe,
    • Pflicht zur Registrierung gemäß § 29 Abs. 2 NISG 2026

Ist eine parallele Anwendung von DORA und NISG 2026 möglich?
Eine parallele Anwendung von DORA und NISG 2026 ist möglich, wenn ein Finanzunternehmen zusätzlich Tätigkeiten in anderen, vom NISG 2026 erfassten Sektoren ausübt. In diesen Fällen finden die entsprechenden NISG 2026-Verpflichtungen weiterhin Anwendung, soweit diese Tätigkeiten betroffen sind.

Welche Besonderheiten gelten für IKT-Drittdienstleister?
IKT-Drittdienstleister sind gemäß Art 2 Abs 2 DORA keine Finanzunternehmen im Sinne der DORA. Für sie wirkt DORA daher nicht als lex specialis. Folglich unterliegen sie den Verpflichtungen des NISG 2026 grundsätzlich vollumfänglich, einschließlich Aufsicht und Durchsetzung.

Die FMA beobachtet die aktuellen Entwicklungen im Zusammenhang mit KI‑Modellen wie „Claude Mythos“, welche die automatisierte Entdeckung und Ausnutzung von Software‑Schwachstellen ermöglichen.

Gemäß CERT.at ist mit einer erfolgreichen Ausnutzung von Schwachstellen, insb. in Edge Devices, zu rechnen. CERT.at empfiehlt daher, sämtliche Prozesse rund um das Patch‑Management effektiv und zeitnah auszugestalten, die Angriffsfläche zu minimieren sowie eine adäquate Netzwerksegmentierung, rasche Erkennung und funktionierende Recovery‑Prozesse sicherzustellen.

CERT‑EU weist darauf hin, dass KI‑gestützte Tools die bisherigen Annahmen zur verfügbaren Reaktionszeit grundlegend verändern. Die Zeitspanne zwischen Entdeckung und Ausnutzung von Schwachstellen verkürzt sich deutlich, wodurch vorhandene Sicherheitsmaßnahmen an dieses neue Tempo angepasst werden müssen. CERT‑EU empfiehlt, bestehende Schutzmaßnahmen nicht erst bei Eintritt konkreter Vorfälle zu überprüfen, sondern bereits jetzt organisatorische und technische Anpassungen vorzunehmen und Abwehr‑ sowie Reaktionsfähigkeiten gezielt zu stärken.

Vor diesem Hintergrund erwartet die FMA, dass Finanzunternehmen aktuelle Empfehlungen zeitnah berücksichtigen und ihre bestehenden Maßnahmen gegebenenfalls anpassen. IKT-Verantwortliche sollten zum Beispiel prüfen, ob ihre Organisation dieser erhöhten Beanspruchung standhalten kann, insbesondere falls mehrere IKT-Sicherheitsvorfälle und paralleler Patchingbedarf zeitgleich Aufmerksamkeit benötigen. Bei dieser Prüfung sollten auch IKT-Drittdienstleister eingebunden werden, die für Finanzinstitute Leistungen erbringen. Es empfiehlt sich beispielsweise, Table-Top Übungen abzuhalten, die dieses Bedrohungsszenario testen. Zusätzlich empfehlen wir laufend Informationen über neue Entwicklungen einzuholen und Ressourcen vorzuhalten, um auf Belastungsspitzen reagieren zu können.

Eine diesbezügliche Informationsveranstaltung hat am 02. Juni 2026 stattgefunden (siehe weiter oben unter „FMA/OeNB-DORA-Dialog“).

  • Ergänzung per 03.06.2026

 

(Aktualisiert am 03.06.2026 mit weiteren Links basierend auf der Informationsveranstaltung vom 02.06.2026 )

Die FMA wird bis 29. Mai 2026 flächendeckend von LSI-Banken sowie von ausgewählten anderen beaufsichtigten Finanzunternehmen folgende Dokumente einfordern:

  • Strategie für das IKT-Drittparteienrisiko (Art. 28 Abs. 2 DORA)
  • Ausstiegspläne (Art. 28 Abs. 8 DORA; Art. 10 RTS 2024/1773)

Institute werden zeitnah individuell informiert, wir möchten jedoch bereits jetzt zum Review der entsprechenden Unterlagen aufrufen.

Die FMA fordert das vollständige Informationsregister gemäß Art. 28 Abs. 3 vierter Unterabsatz Verordnung (EU) 2022/2554 mit Referenzdatum 31.12.2025 vom 16.02.2026 bis spätestens 13.03.2026 an. Details finden Sie im Bereich „Management des IKT-Drittparteienrisikos“

Im Rahmen des thematischen Aufsichtsschwerpunkts zur Digitalisierung führte die österreichische Finanzmarktaufsicht (FMA) im Jahr 2024 eine Analyse zur Austrian Digital Finance Landscape durch, um den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Landschaft, Verflechtungen von Informations- und Kommunikationstechnologien, Cyber-Resilienz) der Unternehmen am österreichischen Finanzmarkt zu evaluieren. Auch die Vorbereitung auf die Vorgaben des Digital Operational Resilience Act (DORA) wurde in der Analyse thematisiert (DORA-Gap-Analyse). Die Unternehmen hatten dadurch die Möglichkeit, etwaige Verbesserungen bei der Implementierung der neuen regulatorischen Vorgaben vorzunehmen. Weitere Informationen sind hier verfügbar. 

Kontakt

Wenn Sie Fragen zu DORA haben, wenden Sie sich bitte an folgende E-Mail-Adresse:

[email protected]

Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.