DORA-Verordnung: Startschuss für die digitale und operationale Resilienz in der Finanzwelt

Mit dem heutigen Tag, dem 17.01.2025, tritt die DORA in Kraft.

Die DORA soll die digitale und operationale Resilienz am europäischen Finanzmarkt stärken, dazu definiert sie Vorgaben zum Management von Risiken aus Informations- und Kommunikationstechnologie („IKT“), zu IKT-bezogenen Vorfällen, sowie zu Resilienztests und zum Management des IKT-Drittparteienrisikos. Ziel ist es, das Cybersicherheitsniveau im Finanzmarkt zu erhöhen und zu vereinheitlichen.

In Österreich wurde begleitend das DORA-Vollzugsgesetz erlassen, darin wird u.a. die FMA als zuständige Behörde definiert und deren Aufsichtsmaßnahmen und Befugnisse festgelegt.

Die DORA wird durch eine Vielzahl an Level 2 (RTS, IST) und Level 3 Akte (Guidelines) konkretisiert, die im vergangenen Jahr von den ESAs schrittweise erstellt wurden:

• RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens (Art. 15 und Art. 16 Abs. 3): DelVO 2024/1774
• RTS zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle (Art. 18 Abs. 4): DelVO 2024/1772
• RTS zur Festlegung des Inhalts der Meldung schwerwiegender IKT-Vorfälle und erheblicher Cyberbedrohungen sowie zur Bestimmung der Fristen der Meldung von schwerwiegenden Vorfällen (Art. 20.a)
  • Status: Der Entwurf der ESAs wurde bereits an die EU Kommission versandt.
• ITS zur Festlegung von Standardformularen, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung (Art. 20.b)
  • Status: Der Entwurf der ESAs wurde bereits an die EU Kommission versandt.
• RTS zu Threat Led Penetration Testing (Art. 26 Abs.11)
  • Status: Der Entwurf der ESAs wurde bereits an die EU Kommission versandt.
• ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs.9): DVO 2024/2956
• RTS zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (Art. 28 Abs. 10): DelVO 2024/1773
• RTS zur Spezifizierung der Elemente, die ein Finanzunternehmen bestimmen und bewerten muss, wenn es IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen untervergeben hat (Art. 30 Abs. 5)
  • Status: Der Entwurf der ESAs wurde bereits an die EU Kommission versandt.
• Delegierte Verordnung zu den Kriterien zur Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch (Art. 31 Abs. 6): DelVO 2024/1502
• RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)
  • Status: Der Entwurf der ESAs wurde bereits an die EU Kommission versandt.
• RTS zu der Zusammensetzung der Joint Examination Teams (Art. 41 Abs. 1 lit. c)
  • Status: Der Entwurf der ESAs wurde bereits an die EU Kommission versandt.
• Delegierte Verordnung zur Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren (Art. 43 Abs. 2): DelVO 2024/1505
• GL zu den geschätzten Kosten und Verlusten durch schwerwiegende IKT-bezogene Vorfälle (Art. 11 Abs. 11)
  • Status: Finaler Entwurf der ESAs liegt vor.
• GL für die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden (Art. 32 Abs. 7): JC/GL/2024/36 (FMA: fully compliant)

DORA stellt weitreichende Anforderungen an die Mindestinhalte von Outsourcing-Verträgen von Finanzunternehmen mit IKT-Drittdienstleitern. Bei Auslagerungen von sogenannten kritischen oder wichtigen Funktionen gelten zudem erhöhte Anforderungen wie zB zu vereinbarende Leistungen für den Übergangszeitraum im Fall der Vertragsauflösung. „Kritisch oder wichtig“ ist eine Funktion dann, wenn ihr Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens bzw. die Fortführung seiner Geschäftstätigkeit erheblich beeinträchtigen würde. Finanzunternehmen sind verpflichtet ihre Verträge mit IKT-Drittdienstleitern entsprechend den neuen Anforderungen anzupassen.

Auf der Website der FMA findet sich eine Checkliste zur Überprüfung, ob bereits alle Anforderungen, die mit heutigem Datum verpflichtend  vorgeschrieben sind, erfüllt werden.

Gerne steht Ihnen das Financial Services Regulatory Team von Binder Grösswang zur Verfügung, um Sie bei den aufsichtsrechtlichen Herausforderungen zu unterstützen!

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.