DORA-Verordnung ab 17. Jänner 2025 EU-weit anwendbar

Mit der im Jänner 2023 in Kraft getretenen EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) wird ein neuer europäischer Rechtsrahmen etabliert, um die digitale operationelle Widerstandsfähigkeit der europäischen Finanzinstitute und -märkte zu stärken. Die DORA-Verordnung ist seit dem 17. Jänner 2025 in allen Mitgliedstaaten der EU unmittelbar anwendbar.

Die wesentlichen Regelungsbereiche der DORA-VO

• IKT-Risikomanagement;
• Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle;
• Testen der Fähigkeit, Cyber-Angriffe abzuwehren - auch durch simulierte Angriffe durch sogenannte White-Hat-Hacker oder Red Teams (Threat-led penetration testing);
• Management des IKT-Drittparteienrisikos;
• Überwachungsrahmen für kritische IKT-Drittdienstleister sowie
• Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen.

Der DORA-Rechtsrahmen

Die EU-Kommission hat Anfang Juli die letzte noch ausstehende DORA-relevante RTS zur Unterauftragsvergabe im Amtsblatt der EU veröffentlicht. Somit liegt nun der vollständige DORA-Rechtsrahmen vor, sodass Marktteilnehmer sämtliche DORA-Anforderungen vollständig umsetzen können (12 Level-II Rechtsakte in Form von RTS*) und ITS*) sowie 2 ESA-Leitlinien):

• 2.7.2025 – (EU) 2025/532 Untervergabe von IKT-Dienstleistungen
• 18.6.2025 – (EU) 2025/1190 Bedrohungsorientierte Penetrationstests (TLPT)
• 24.3.2025 – (EU) 2025/420 Joint examination team (gemeinsames Untersuchungsteam)
• 20.2.2025 – (EU) 2025/301 Meldung von IKT-Vorfällen und (EU) 2025/302 Template IKT-Incident Reporting
• 13.2.2025 – (EU) 2025/295 Harmonisierung der Überwachungstätigkeit
• 2.12.2024 – (EU) 2024/2956 Template Informationsregister
• 25.6.2024 – (EU) 2024/1772 Klassifizierung von IKT-Vorfällen, (EU) 2024/1773 Leitlinie IKT-Dienstleistungen, (EU) 2024/1774 IKT-Risikomanagement
• 17.7.2024 – Guideline JC 2024-36 Zusammenarbeit der ESAs
• 5.6.2024 – Guideline JC 2024-34 Kosten & Verluste von IKT-Vorfällen
• 30.5.2024 – (EU) 2024/1502 Einstufungskriterien kritischer IKT-Drittdienstleister und (EU) 2024/1505 Überwachungsgebühren bei den kritischen IKT-Drittdienstleistern

*) RTS steht für Regulatory Technical Standards (DE: Technische Regulierungsstandards)

*) ITS steht für Implementing Technical Standards (DE: Technische Durchführungsstandards)

FMA als nationale Aufsichtsbehörde

Die DORA-VO stellt zudem umfassende Anforderungen an die Aufsichtsbehörden im Finanzsektor. In Österreich ist die FMA gemäß dem DORA-Vollzugsgesetz die zuständige nationale Behörde für die Überwachung der Einhaltung der DORA-Vorgaben. Dabei sieht das DORA-Vollzugsgesetz eine enge Zusammenarbeit mit der OeNB vor. Die neuen DORA-Anforderungen verpflichten die nationalen Behörden, Prozesse zur effizienten Erfüllung der DORA-Vorgaben zu implementieren und kontinuierlich zu verbessern. Vor diesem Hintergrund hat die FMA insbesondere neue IKT-Systeme zur Verarbeitung von Meldungen zu schwerwiegenden IKT-bezogenen Vorfällen und zu von Finanzunternehmen zu übermittelnden Informationsregistern über die eingesetzten IKT-Drittdienstleister eingerichtet. Bei der Wahrnehmung ihres neuen Aufsichtsmandats verfolgt die FMA einen kooperativen Ansatz und strebt an, den Finanzsektor durch Veranstaltungen, Checklisten und FAQs gezielt zu unterstützen. Die von der FMA eigens für DORA eingerichtete Website dient dabei als zentrale Informationsplattform, um alle relevanten Informationen (Veranstaltungen, Informationsschreiben, Checklisten, FAQs) und aufsichtsrechtlichen Erwartungen (z.B. Publikation „Reden wir über Aufsicht“) hinsichtlich der neuen DORA-Vorgaben mit den beaufsichtigten Finanzunternehmen zu teilen. Zudem verweist die FMA auf die DORA-Website der ESAs, auf der ein Überblick über den aktuellen Stand der rechtlichen DORA-Spezifikationen (RTS und ITS) bereitgestellt wird.

Europäischer Überwachungsrahmen für IKT-Drittdienstleister

Mit der DORA-VO wird auch ein europäischer Überwachungsrahmen eingerichtet, der darauf abzielt, die Risiken, die von der Konzentration der Abhängigkeiten von IKT-Drittdienstleistern ausgehen, effektiv zu überwachen und zu minimieren. Im Fokus stehen hier für den europäischen Finanzsektor besonders wichtige kritische IKT-Drittdienstleister wie große, global tätige Cloud-Service Provider. Die drei europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA, die ESAs) übernehmen hier die operative Überwachungstätigkeit. In Übereinstimmung mit dem Art. 32 Abs. 4 DORA-VO wird ein Überwachungsforum (Oversight Forum, OF) als Unterausschuss des Gemeinsamen Ausschusses (Joint Committee, JC) eingerichtet, um den Gemeinsamen Ausschuss sowie die federführende Überwachungsbehörde (Lead Overseer, LO) bei ihren Arbeiten im Bereich des IKT-Drittparteienrisikos in allen Finanzsektoren zu unterstützen. Das Überwachungsforum soll Entwürfe gemeinsamer Positionen und gemeinsamer Maßnahmen des Gemeinsamen Ausschusses im Bereich des IKT-Drittparteienrisikos entwickeln, u.a.:

• regelmäßige Erörterung relevanter Entwicklungen in Bezug auf IKT-Risiken und -Schwachstellen und Förderung eines kohärenten Ansatzes bei der Überwachung von IKT-Drittrisiken auf Unionsebene;
• Förderung von Koordinierungsmaßnahmen zur Erhöhung der digitalen operativen Resilienz von Finanzinstitutionen, Förderung best-practices zur Bewältigung von IKT-Konzentrationsrisiken und Erkundung von Abhilfemaßnahmen für sektorübergreifende Risikotransfers;
• Erörterung des Entwurfs des strategischen Mehrjahresplans, der vom LO im Einvernehmen mit dem Joint Oversight Network ausgearbeitet wurde;
• Erteilung von Auskünften oder Ratschlägen im Zusammenhang mit der Ausübung der Befugnisse des LO auf Rückfrage von LO oder im Zusammenhang mit Stellungnahmen an die zuständigen Behörden, wenn ein IKT-Drittanbieter sich weigert, den Empfehlungen zuzustimmen;
• bei Bedarf zusätzliche Aufgaben im Zusammenhang mit der DORA.

Die ESAs haben im Juli einen Leitfaden zur Überwachung kritischer IKT-Drittdienstleister veröffentlicht. Ziel dieses Leitfadens ist es, einen Überblick über die Verfahren zu geben, wie kritische IKT-Drittdienstleister in den Joint Examination Teams der ESAs (JETs) im Rahmen der DORA-Verordnung überwacht werden. Der Leitfaden soll Finanzunternehmen und IKT-Drittdienstleister bei der Vorbereitung auf das neue Überwachungsrahmenwerk unterstützen. Die ESAs weisen darauf hin, dass es sich bei dem Leitfaden nicht um ein rechtsverbindliches Dokument handelt und dass dieser die in den einschlägigen EU-Rechtsvorschriften normierten rechtlichen Anforderungen nicht ersetzt.