Nahaufnahme eines Ausschnitts einer Computertastatur. Darüber ist eine Karte von Europa gelegt, sowie goldene Sterne in einem Kreis und ein Sicherheitsschloss
© BillionPhotos.com | stock.adobe.com
Sparte Bank und Versicherung

DORA-Verordnung ab 17. Jänner 2025 EU-weit anwendbar

DORA-Regime gegen Cyberangriffe und IT-Ausfälle im Finanzsektor ist für annähernd alle von der FMA beaufsichtigten Finanzunternehmen anwendbar

Lesedauer: 2 Minuten

16.01.2025

Ab dem 17. Jänner 2025 gelangt die im Jänner 2023 in Kraft getretene EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) in allen Mitgliedstaaten der EU zur Anwendung. Mit der DORA-Verordnung wird ein neuer europäischer Rechtsrahmen etabliert, um die digitale operationelle Widerstandsfähigkeit der europäischen Finanzinstitute und -märkte zu stärken.

Die wesentlichen Regelungsbereiche der DORA-VO

  • IKT-Risikomanagement;
  • Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle;
  • Testen der Fähigkeit, Cyber-Angriffe abzuwehren - auch durch simulierte Angriffe durch sogenannte White-Hat-Hacker oder Red Teams (Threat-led penetration testing);
  • Management des IKT-Drittparteienrisikos;
  • Überwachungsrahmen für kritische IKT-Drittdienstleister sowie
  • Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen.

FMA als nationale Aufsichtsbehörde

Die DORA-VO stellt zudem umfassende Anforderungen an die Aufsichtsbehörden im Finanzsektor. In Österreich ist die FMA gemäß dem DORA-Vollzugsgesetz die zuständige nationale Behörde für die Überwachung der Einhaltung der DORA-Vorgaben. Dabei sieht das DORA-Vollzugsgesetz eine enge Zusammenarbeit mit der OeNB vor. Die neuen DORA-Anforderungen verpflichten die nationalen Behörden, Prozesse zur effizienten Erfüllung der DORA-Vorgaben zu implementieren und kontinuierlich zu verbessern. Vor diesem Hintergrund hat die FMA insbesondere neue IKT-Systeme zur Verarbeitung von Meldungen zu schwerwiegenden IKT-bezogenen Vorfällen und zu von Finanzunternehmen zu übermittelnden Informationsregistern über die eingesetzten IKT-Drittdienstleister eingerichtet. Bei der Wahrnehmung ihres neuen Aufsichtsmandats verfolgt die FMA einen kooperativen Ansatz und strebt an, den Finanzsektor durch Veranstaltungen, Checklisten und FAQs gezielt zu unterstützen. Die von der FMA eigens für DORA eingerichtete Website dient dabei als zentrale Informationsplattform, um alle relevanten Informationen und aufsichtsrechtlichen Erwartungen hinsichtlich der neuen DORA-Vorgaben mit den beaufsichtigten Finanzunternehmen zu teilen. Darüber hinaus verweist die FMA auf die Website der EU-Kommission, auf der ein Überblick über den aktuellen Stand der rechtlichen DORA-Spezifikationen (Technische Regulierungs- und Implementierungsstandards zur DORA-VO) bereitgestellt wird.

Europäischer Überwachungsrahmen für IKT-Drittdienstleister

Mit der DORA-VO wird auch ein europäischer Überwachungsrahmen eingerichtet, der darauf abzielt, die Risiken, die von der Konzentration der Abhängigkeiten von IKT-Drittdienstleistern ausgehen, effektiv zu überwachen und zu minimieren. Im Fokus stehen hier für den europäischen Finanzsektor besonders wichtige kritische IKT-Drittdienstleister wie große, global tätige Cloud-Service Provider. Die drei europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA, die ESAs) übernehmen hier die operative Überwachungstätigkeit. In Übereinstimmung mit dem Art. 32 Abs. 4 DORA-VO wird ein Überwachungsforum (Oversight Forum, OF) als Unterausschuss des Gemeinsamen Ausschusses (Joint Committee, JC) eingerichtet, um den Gemeinsamen Ausschuss sowie die federführende Überwachungsbehörde (Lead Overseer, LO) bei ihren Arbeiten im Bereich des IKT-Drittparteienrisikos in allen Finanzsektoren zu unterstützen. Das Überwachungsforum soll Entwürfe gemeinsamer Positionen und gemeinsamer Maßnahmen des Gemeinsamen Ausschusses im Bereich des IKT-Drittparteienrisikos entwickeln, u.a.:

  • regelmäßige Erörterung relevanter Entwicklungen in Bezug auf IKT-Risiken und -Schwachstellen und Förderung eines kohärenten Ansatzes bei der Überwachung von IKT-Drittrisiken auf Unionsebene;
  • Förderung von Koordinierungsmaßnahmen zur Erhöhung der digitalen operativen Resilienz von Finanzinstitutionen, Förderung best-practices zur Bewältigung von IKT-Konzentrationsrisiken und Erkundung von Abhilfemaßnahmen für sektorübergreifende Risikotransfers;
  • Erörterung des Entwurfs des strategischen Mehrjahresplans, der vom LO im Einvernehmen mit dem Joint Oversight Network ausgearbeitet wurde;
  • Erteilung von Auskünften oder Ratschlägen im Zusammenhang mit der Ausübung der Befugnisse des LO auf Rückfrage von LO oder im Zusammenhang mit Stellungnahmen an die zuständigen Behörden, wenn ein IKT-Drittanbieter sich weigert, den Empfehlungen zuzustimmen;
  • bei Bedarf zusätzliche Aufgaben im Zusammenhang mit der DORA.