1.            Hintergrund

Der Digital Operational Resilience Act (DORA) wurde am 27. Dezember 2022 als Verordnung (EU) 2022/2554 im Amtsblatt der Europäischen Union veröffentlicht.  DORA wurde bereits am 24. September 2020 von der Kommission als Teil des Pakets zur Digitalisierung des europäischen Finanzsektors (Digital Finance Package) vorgeschlagen. Somit stellt die DORA neben der MiCA und der DLT-Pilot-Regime-Verordnung eine weitere Säule des europäischen Fahrplans zur Förderung der technologischen Entwicklung im Finanzdienstleistungssektor dar. Das Digital Finance Package soll außerdem Finanzstabilität und Verbraucherschutz auf europäischer Ebene sicherstellen.

Im Zentrum der DORA steht ein Rechtsrahmen für die digitale Betriebsstabilität. Angesichts der zunehmenden Cyber-Kriminalität, Cyberangriffe und Datenmissbrauchsfälle sollen Finanzunternehmen wie Banken, Versicherungsunternehmen, Zahlungsdienstleister und deren IKT-Dienstleister ihre Cyber-Sicherheit stärken und deren Stabilität im Falle von IKT-Bedrohungen gewährleisten. Der europäische Finanzsektor soll dadurch seine Stabilität auch im Falle schwerwiegender Störungen aufrecht erhalten können und die Risiken vermindern, die mit der Digitalisierung einhergehen.

2.            Geltungs- und Anwendungsbereich

Die DORA tritt zwanzig Tage nach Veröffentlichung, somit am 17. Jänner 2023, in Kraft. Für die entsprechende Umsetzung haben die Mitgliedstaaten und die nationalen Unternehmen 24 Monate Zeit. Für betroffene nationale Unternehmen gilt die DORA somit ab dem 17. Jänner 2025. Sie haben die Vorgaben der DORA bis 2025 in ihre Unternehmensstruktur zu implementieren.

Der Geltungsbereich gem Art 2 DORA ist weit gefasst und umfasst insbesondere, aber nicht ausschließlich:

  • Wertpapierfirmen,
  • Zahlungsinstitute und E-Geldinstitute,
  • Kontoinformationsdienstleister,
  • Anbieter von Krypto-Dienstleistungen nach der MiCA-Verordnung,
  • Verwalter alternativer Investmentfonds (sofern als AIFM gem AIFMG registriert),
  • Schwarmfinanzierungsdienstleister,
  • Versicherungs- und Rückversicherungsunternehmen sowie
  • IKT-Drittdienstleister.

Ausgenommen sind nach aktuellem Stand (unter anderem) Wirtschaftsprüfer.

3.            Anforderungen der DORA an Finanzunternehmen

Die Ziele der DORA sollen durch digitale Sicherheits- und Berichterstattungspflichten für die betroffenen Finanzunternehmen erreicht werden. Konkret bestimmt die DORA für alle Finanzunternehmen:

  • die Einrichtung tauglicher und stabiler IKT-Systeme,
  • die Implementierung von IKT-Risikomanagementrahmen einschließlich regelmäßiger Überprüfungen der IKT-Systeme durch risikobasierte Testungen,
  • die Melde- und Berichterstattungspflichten über schwerwiegende IKT-Vorfälle sowie
  • den Informationsaustausch über IKT-Risiken zwischen den Finanzunternehmen.

Außerdem soll das gesamte IKT-Lieferantennetzwerk in die IKT-Risikobewertung integriert werden. Dafür fordert die DORA ein IKT-Drittparteirisikomanagement. Finanzunternehmen haben IKT-Dienstleister daher bereits vor Auftragserteilung mittels Risikoanalyse zu überprüfen.

Das IKT-Risikomanagement orientiert sich dabei an technischen Regulierungsstandards (RTS) und Leitlinien, welche von den europäischen Aufsichtsbehörden bis 2024 vorzubereiten sind. Die Kommission hat außerdem weitere (delegierte) Rechtsakte zu erlassen, zB zur Einstufung kritischer IKT-Drittdienstleister. Darüber hinaus kann bis zur Geltung der DORA eine österreichische Begleitgesetzgebung erwartet werden, da die DORA den Mitgliedstaaten zahlreiche Wahlrechte einräumt.

4.            Conclusio

Die DORA sorgt für harmonisierte IT-Sicherheitsstandards auf EU-Ebene, was den europäischen Finanzsektor attraktiver und beständiger machen kann. Durch den weiten Anwendungsbereich besteht aber für Finanzunternehmen rascher Handlungsbedarf, da die Anforderungen der DORA bereits bis zum 17. Jänner 2025 umgesetzt werden müssen.

Angesichts der neuen Herausforderungen beraten wir Sie gerne zu Ihren Fragen bezüglich der DORA. Mit unserer Erfahrung in der Finanzregulierung unterstützen wir Sie auch gerne bei der Implementierung der Anforderungen in Ihre Unternehmensstruktur.

Weitere Beiträge aus unserem Journal