DORA – Rechtsgrundlagen

Rechtsgrundlagen

In Verordnung (EU) 2022/2554 sind die grundlegenden Vorgaben zur digitalen operationalen Resilienz des EU-Finanzsektors umfasst.

Bestehende sektorale Richtlinien werden zur Kohärenz mit DORA-Anforderungen durch die Richtlinie (EU) 2022/2556 angepasst.

Das vom Nationalrat am 3. Juli 2024 beschlossene DORA-Vollzugsgesetz dient dem Wirksamwerden der DORA-Verordnung und zur Änderung weiterer Verordnungen in Österreich.

IKT-Risikomanagement

Delegierte Verordnung (EU) 2024/1774: Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement

Testen der digitalen operationalen Resilienz

Delegierte Verordnung (EU) 2025/1190: Bedrohungsorientierte Penetrationstests (TLPT)

IKT-bezogene Vorfälle

Leitlinien: Schätzung der aggregierten Kosten und Verluste von DORA-Vorfällen

Delegierte Verordnung (EU) 2024/1772: Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle

Delegierte Verordnung (EU) 2025/301: Festlegung des Inhalts und der Fristen für die Erstmeldung, die Zwischenmeldung und die Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie des Inhalts der freiwilligen Meldung erheblicher Cyberbedrohungen

Durchführungsverordnung (EU) 2025/302: Berichtsdetails zu IKT-bezogenen Vorfällen

Bericht zur Zentralisierung der Meldungen

Management des IKT-Drittparteienrisikos

Durchführungsverordnung (EU) 2024/2956: Standardvorlagen für das Informationsregister
Delegierte Verordnung (EU) 2024/1773: Inhalt der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden
Delegierte Verordnung (EU) 2025/532: Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss

Überwachungsrahmen für kritische IKT-Drittdienstleister

Delegierte Verordnung (EU) 2024/1502_Kriterien für die Einstufung von CTPPs
Leitlinien JC/GL/2024/36_für die Zusammenarbeit zwischen den ESA und den zuständigen Behörden zur Struktur des Überwachungsrahmens
Delegierte Verordnung (EU) 2025/295: Harmonisierung Überwachungstätigkeit
Delegierte Verordnung (EU) 2025/420 zu gemeinsamen Untersuchungsteams
Delegierte Verordnung (EU) 2024/1505_CTPP_Gebühren

Finale Entwürfe der zweiten Welle

Die finalen Entwürfe der Konsultation der Europäischen Aufsichtsbehörden zur zweiten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien wurden am 17. Juli 2024 veröffentlicht:

Final report on GL on oversight cooperation and information exchange between ESAs and competent authorities (Dateiformat: pdf, Dateigröße: 606,1 KB, Sprache: Englisch) 

Final report on GL on costs and losses caused by major ICT-related incidents (Dateiformat: pdf, Dateigröße: 540,9 KB, Sprache: Englisch)

Final report draft RTS on joint examination teams (Dateiformat: pdf, Dateigröße: 545,1 KB, Sprache: Englisch)

Final report draft RTS on harmonisation of conditions enabling the conduct of the oversight activities (Dateiformat: pdf, Dateigröße: 805,5 KB, Sprache: Englisch)

Final report draft RTS and ITS on incident reporting (Dateiformat: pdf, Dateigröße: 1,4 MB, Sprache: Englisch)

Final report draft RTS on threat led penetration tests (Dateiformat: pdf, Dateigröße: 2,8 MB, Sprache: Englisch)

Final report DORA RTS on subcontracting (Dateiformat: pdf, Dateigröße: 745,5 KB, Sprache: Englisch)

Konsultationen der zweiten Welle

Die öffentliche Konsultation zur zweiten Welle der Entwürfe zu technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) sowie zu Leitlinien lief bis 4. März 2024:

CP on draft RTS subcontracting (Dateiformat: pdf, Dateigröße: 460,7 KB, Sprache: Englisch)

CP on draft GL on costs and losses (Dateiformat: pdf, Dateigröße: 367,9 KB, Sprache: Englisch)

CP on draft RTS on oversight harmonisation (Dateiformat: pdf, Dateigröße: 582,5 KB, Sprache: Englisch)

CP on draft RTS and ITS on major incident reporting under DORA (Dateiformat: pdf, Dateigröße: 1,2 MB, Sprache: Englisch)

CP on draft Guidelines on oversight cooperation (Dateiformat: pdf, Dateigröße: 504,2 KB, Sprache: Englisch)

CP on draft RTS on TLPT (Dateiformat: pdf, Dateigröße: 703,0 KB, Sprache: Englisch)

Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.