DORA-Verordnung ab 17. Jänner 2025 EU-weit anwendbar

Mit der im Jänner 2023 in Kraft getretenen EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) wird ein neuer europäischer Rechtsrahmen etabliert, um die digitale operationelle Widerstandsfähigkeit der europäischen Finanzinstitute und -märkte zu stärken. Die DORA-Verordnung ist seit dem 17. Jänner 2025 in allen Mitgliedstaaten der EU unmittelbar anwendbar.

Die wesentlichen Regelungsbereiche der DORA-VO

• IKT-Risikomanagement;
• Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle;
• Testen der Fähigkeit, Cyber-Angriffe abzuwehren - auch durch simulierte Angriffe durch sogenannte White-Hat-Hacker oder Red Teams (Threat-led penetration testing);
• Management des IKT-Drittparteienrisikos;
• Überwachungsrahmen für kritische IKT-Drittdienstleister sowie
• Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen.

Der DORA-Rechtsrahmen

Die EU-Kommission hat Anfang Juli die letzte noch ausstehende DORA-relevante RTS zur Unterauftragsvergabe im Amtsblatt der EU veröffentlicht. Somit liegt nun der vollständige DORA-Rechtsrahmen vor, sodass Marktteilnehmer sämtliche DORA-Anforderungen vollständig umsetzen können (12 Level-II Rechtsakte in Form von RTS*) und ITS*) sowie 2 ESA-Leitlinien):

• 2.7.2025 – (EU) 2025/532 Untervergabe von IKT-Dienstleistungen
• 18.6.2025 – (EU) 2025/1190 Bedrohungsorientierte Penetrationstests (TLPT)
• 24.3.2025 – (EU) 2025/420 Joint examination team (gemeinsames Untersuchungsteam)
• 20.2.2025 – (EU) 2025/301 Meldung von IKT-Vorfällen und (EU) 2025/302 Template IKT-Incident Reporting
• 13.2.2025 – (EU) 2025/295 Harmonisierung der Überwachungstätigkeit
• 2.12.2024 – (EU) 2024/2956 Template Informationsregister
• 25.6.2024 – (EU) 2024/1772 Klassifizierung von IKT-Vorfällen, (EU) 2024/1773 Leitlinie IKT-Dienstleistungen, (EU) 2024/1774 IKT-Risikomanagement
• 17.7.2024 – Guideline JC 2024-36 Zusammenarbeit der ESAs
• 5.6.2024 – Guideline JC 2024-34 Kosten & Verluste von IKT-Vorfällen
• 30.5.2024 – (EU) 2024/1502 Einstufungskriterien kritischer IKT-Drittdienstleister und (EU) 2024/1505 Überwachungsgebühren bei den kritischen IKT-Drittdienstleistern

*) RTS steht für Regulatory Technical Standards (DE: Technische Regulierungsstandards)

*) ITS steht für Implementing Technical Standards (DE: Technische Durchführungsstandards)

FMA als nationale Aufsichtsbehörde

Die DORA-VO stellt zudem umfassende Anforderungen an die Aufsichtsbehörden im Finanzsektor. In Österreich ist die FMA gemäß dem DORA-Vollzugsgesetz die zuständige nationale Behörde für die Überwachung der Einhaltung der DORA-Vorgaben. Dabei sieht das DORA-Vollzugsgesetz eine enge Zusammenarbeit mit der OeNB vor. Die neuen DORA-Anforderungen verpflichten die nationalen Behörden, Prozesse zur effizienten Erfüllung der DORA-Vorgaben zu implementieren und kontinuierlich zu verbessern. Vor diesem Hintergrund hat die FMA insbesondere neue IKT-Systeme zur Verarbeitung von Meldungen zu schwerwiegenden IKT-bezogenen Vorfällen und zu von Finanzunternehmen zu übermittelnden Informationsregistern über die eingesetzten IKT-Drittdienstleister eingerichtet. Bei der Wahrnehmung ihres neuen Aufsichtsmandats verfolgt die FMA einen kooperativen Ansatz und strebt an, den Finanzsektor durch Veranstaltungen, Checklisten und FAQs gezielt zu unterstützen. Die von der FMA eigens für DORA eingerichtete Website dient dabei als zentrale Informationsplattform, um alle relevanten Informationen (Veranstaltungen, Informationsschreiben, Checklisten, FAQs) und aufsichtsrechtlichen Erwartungen (z.B. Publikation „Reden wir über Aufsicht“) hinsichtlich der neuen DORA-Vorgaben mit den beaufsichtigten Finanzunternehmen zu teilen. Zudem verweist die FMA auf die DORA-Website der ESAs, auf der ein Überblick über den aktuellen Stand der rechtlichen DORA-Spezifikationen (RTS und ITS) bereitgestellt wird.

Europäischer Überwachungsrahmen für IKT-Drittdienstleister

Mit der DORA-VO wird auch ein europäischer Überwachungsrahmen eingerichtet, der darauf abzielt, die Risiken, die von der Konzentration der Abhängigkeiten von IKT-Drittdienstleistern ausgehen, effektiv zu überwachen und zu minimieren. Im Fokus stehen hier für den europäischen Finanzsektor besonders wichtige kritische IKT-Drittdienstleister wie große, global tätige Cloud-Service Provider. Die drei europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA, die ESAs) übernehmen hier die operative Überwachungstätigkeit. In Übereinstimmung mit dem Art. 32 Abs. 4 DORA-VO wird ein Überwachungsforum (Oversight Forum, OF) als Unterausschuss des Gemeinsamen Ausschusses (Joint Committee, JC) eingerichtet, um den Gemeinsamen Ausschuss sowie die federführende Überwachungsbehörde (Lead Overseer, LO) bei ihren Arbeiten im Bereich des IKT-Drittparteienrisikos in allen Finanzsektoren zu unterstützen. Das Überwachungsforum soll Entwürfe gemeinsamer Positionen und gemeinsamer Maßnahmen des Gemeinsamen Ausschusses im Bereich des IKT-Drittparteienrisikos entwickeln, u.a.:

• regelmäßige Erörterung relevanter Entwicklungen in Bezug auf IKT-Risiken und -Schwachstellen und Förderung eines kohärenten Ansatzes bei der Überwachung von IKT-Drittrisiken auf Unionsebene;
• Förderung von Koordinierungsmaßnahmen zur Erhöhung der digitalen operativen Resilienz von Finanzinstitutionen, Förderung best-practices zur Bewältigung von IKT-Konzentrationsrisiken und Erkundung von Abhilfemaßnahmen für sektorübergreifende Risikotransfers;
• Erörterung des Entwurfs des strategischen Mehrjahresplans, der vom LO im Einvernehmen mit dem Joint Oversight Network ausgearbeitet wurde;
• Erteilung von Auskünften oder Ratschlägen im Zusammenhang mit der Ausübung der Befugnisse des LO auf Rückfrage von LO oder im Zusammenhang mit Stellungnahmen an die zuständigen Behörden, wenn ein IKT-Drittanbieter sich weigert, den Empfehlungen zuzustimmen;
• bei Bedarf zusätzliche Aufgaben im Zusammenhang mit der DORA.

Die ESAs haben im Juli 2025 einen Leitfaden zur Überwachung kritischer IKT-Drittdienstleister veröffentlicht. Ziel dieses Leitfadens ist es, einen Überblick über die Verfahren zu geben, wie kritische IKT-Drittdienstleister in den Joint Examination Teams der ESAs (JETs) im Rahmen der DORA-Verordnung überwacht werden. Die ESAs weisen darauf hin, dass es sich bei dem Leitfaden nicht um ein rechtsverbindliches Dokument handelt und dass dieser die in den einschlägigen EU-Rechtsvorschriften normierten rechtlichen Anforderungen nicht ersetzt.

Im November 2025 haben die ESAs nach dem Abschluss des Einstufungsprozesses die Liste der benannten kritischen IKT-Drittdienstleister (Critical ICT Third-Party Service Providers, CTPPs) veröffentlicht. Somit wurden 19 Technologieunternehmen als kritische IKT-Drittdienstleister für den Finanzsektor eingestuft – darunter globale Cloud-Plattformen (wie etwa Amazon Web Services, Google Cloud und Microsoft) sowie Netzwerk- und Rechenzentrumsbetreiber (z. B. Deutsche Telekom, Equinix) und spezialisierte IKT-Dienstleister für Finanzdaten und -services (etwa Bloomberg, LSEG, Accenture, SAP).

Zur Identifizierung kritischer IKT-Drittdienstleister haben die europäischen Aufsichtsbehörden Daten aus den von Finanzunternehmen geführten Informationsregistern herangezogen, in denen ihre vertraglichen Vereinbarungen über IKT-Dienstleistungen detailliert dokumentiert sind. Nach der Übermittlung dieser Register erfolgte in Zusammenarbeit mit den zuständigen Aufsichtsbehörden (CAs) aus den Bereichen Banken, Versicherungen, Altersvorsorge sowie Wertpapiere und Märkte in der gesamten EU und den ESAs eine umfassende Bewertung der Kritikalität. Diese Bewertung orientierte sich an den in DORA festgelegten mehrstufigen Kriterien, die eine umfassende Analyse der systemischen Bedeutung eines Anbieters, seiner Rolle bei der Unterstützung kritischer oder wichtiger Funktionen von Finanzinstituten sowie des Grades der Substituierbarkeit seiner Dienstleistungen erfordern.

Nach der Identifizierung der kritischen IKT-Drittdienstleister wurden diese von der EBA offiziell benachrichtigt. Die endgültigen Entscheidungen über die Einstufung habe die EBA nach sorgfältiger Prüfung aller relevanten Informationen unter Berücksichtigung der im Anhörungsverfahren vorgebrachten Stellungnahmen getroffen, wodurch die Integrität des Verfahrens gewährleistet wurde. Die benannten CTPPs bieten eine Reihe von IKT-Dienstleistungen (z. B. von Kerninfrastruktur bis hin zu Geschäfts- und Datendiensten) für Finanzunternehmen aller Art und Größe in der gesamten EU an, was ihre zentrale Rolle innerhalb des Finanzökosystems widerspiegelt.

Im Rahmen ihrer direkten Aufsichtstätigkeit werden die ESAs bewerten, ob die CTPPs über angemessene Risikomanagement- und Governance-Rahmenwerke gemäß den Vorgaben der DORA verfügen, um die Widerstandsfähigkeit der von ihnen für Finanzunternehmen erbrachten Dienstleistungen sicherzustellen. Ziel ist es, Risiken zu mindern, die sich potenziell auf die operative Widerstandsfähigkeit des EU-Finanzsektors auswirken könnten. Die ESAs werden im Rahmen ihrer bevorstehenden Prüfungsaktivitäten weiterhin mit den CTPPs zusammenarbeiten und gemäß Art. 31 Abs. 9 DORA jährlich die Liste kritischer IKT-Drittdienstleister auf Unionsebene veröffentlichen.