Wer sich vor Dora fürchten muss

Mit der Verordnung über die digitale, operationale Resilienz im Finanzsektor (Dora) wurde ein umfassender Rahmen zur Stärkung der digitalen Betriebsstabilität geschaffen. Dieser soll Finanzunternehmen und IKT-Drittdienstleister durch zahlreiche Vorgaben gegenüber Cyberbedrohungen und IKT-bedingten Betriebsstörungen widerstandsfähiger machen. Zu diesem Zweck ist die Dora ab 17. Jänner 2025 von über 20.000 Finanzunternehmen und über 15.000 IKT-Drittdienstleister in der Europäischen Union anzuwenden.

Neben Finanzunternehmen gilt die Dora aber auch für IKT-Drittdienstleister. Im Hinblick auf die aktuelle Definition der IKT-Dienstleistungen ist davon auszugehen, dass der Begriff sehr weit zu verstehen ist und damit eine große Anzahl an digitalen Diensten und Datendiensten umfasst.

Das kommt auf die Finanzunternehmen zu

Die Dora sieht für Finanzunternehmen und deren IKT-Drittdienstleister weitreichende regulatorische Neuerungen vor. Dazu zählt eine spürbare Erweiterung der Aufgaben des IKT-Risikomanagements samt Überwachung der IKT-Drittdienstleister, eine umfassende Behandlung von IKT-Vorfällen sowie detaillierte Instruktionen zu regelmäßigen Testungen der IKT-Systeme. Angesichts dieser Vorgaben ist es umso wichtiger, dass sich Finanzunternehmen und deren IKT-Drittdienstleister für den 17. Jänner 2025 rüsten, um ab diesem Tag Dora-­compliant zu sein.

Um die Berücksichtigung der Dora-Vorgaben in diversen nationalen Gesetzen wie dem Bankwesengesetz, dem Versicherungsaufsichtsgesetz 2016 und dem Wertpapieraufsichtsgesetz 2018 sicherzustellen, wurde das Dora-Vollzugsgesetz, das am 17. Jänner 2025 in Kraft tritt, geschaffen. Das Dora-Vollzugsgesetz regelt Folgendes:

— Anwendungsbereich der Dora in Bezug auf nationale Finanzunternehmen;

— Festlegung von Aufsichts- und Sanktionsbefugnissen der Finanzmarktaufsicht;

— Regelungen zu den erweiterten Testungen bei Finanzunternehmen und

— Strafbestimmungen: Diese sind für eine Vielzahl an Verstößen gegen die Dora vorgesehen. Dazu zählen keine regelmäßigen Testungen, kein ausreichendes IKT-Drittparteienrisikomanagement und fehlende Dora-Compliance bei den Verträgen mit IKT-Drittdienstleistern; die Strafen betragen für juristische Personen bis zu 500.000 Euro oder einem Prozent des jährlichen Gesamtnettoumsatzes.

Dringender Handlungsbedarf

Aus unserer praktischen Erfahrung aus zahlreichen Dora-Compliance-Projekten haben Finanzunternehmen insbesondere:

— IKT-Dienstleitungen zu identifizieren und dabei auch kritische oder wichtige Funktionen zu analysieren;

— Vertragsanpassungen bei Alt- und Neuverträgen mit IKT-Drittdienstleistern ab jetzt vorzunehmen;

— neue Rollen und Verantwortlichkeiten festzulegen wie etwa die IKT-Risikomanagementfunktion;

— Strategien und Richtlinien zu erstellen und anzupassen, etwa IKT-Strategie und IKT-Risikomanagementrahmen;

— Prozesse für Meldungen von schwerwiegenden IKT-bezogenen Vorfällen zu implementieren und

— ein Informationsregister auf teil- und konsolidierter Ebene zu erstellen.