Vor wenigen Wochen hat ein fehlerhaftes Update der CrowdStrike-Software eine weltweite Krise ausgelöst und verdeutlicht, dass nicht nur Cyberangriffe, sondern auch Produktmängel gravierende IT-Risiken darstellen können.
Um solche Risiken zu behandeln, wird die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA) ab dem 17. Jänner 2025 in Österreich wirksam. DORA hat das Ziel, die Widerstandsfähigkeit europäischer Finanzunternehmen gegenüber Cyber-Risiken und IT-bedingten Betriebsstörungen zu stärken und rückt die Informations- und Kommunikationstechnologien (IKT) in den regulatorischen Fokus. Zudem werden erstmals auch als kritisch eingestufte IKT-Drittanbieter in den Überwachungsrahmen einbezogen.
Laut FMA müssen betroffene Finanzdienstleister und Drittanbieter sich in den kommenden Wochen und Monaten auf das neue Aufsichtsregime vorbereiten, da DORA ohne Übergangsfristen vollumfänglich gilt.
Um die Umsetzung von DORA zu erleichtern, hat die FMA einen speziellen DORA-Bereich auf ihrer Website eingerichtet, der die relevanten Regularien und Anforderungen zusammenfasst. Dort werden die technischen Regulierungs- und Durchführungsstandards detailliert erläutert und häufig gestellte Fragen in einem umfassenden Q&A-Format beantwortet. Hilfreiche Informationen finden Sie auch auf der Website der BaFin.
Das DORA-Regulierungspaket soll bestehende Gesetzgebungslücken für Finanzdienstleister schließen und konsolidiert somit das zuvor verstreute Regelwerk. Es beinhaltet umfassende Berichts-, Informations- und Überwachungspflichten. Betroffene Unternehmen müssen unter anderem
- einen IKT-Risikomanagementrahmen und Business Continuity Management implementieren;
- zahlreiche Berichtspflichten erfüllen, insbesondere zu Verträgen mit IKT-Drittanbietern und IKT-Vorfällen;
- die digitale Betriebsstabilität regelmäßig testen, auch durch zentrale, bedrohungsorientierte Penetrationstests;
- Risiken von IKT-Drittanbietern steuern und überwachen;
- regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen institutionalisieren.
Ab der verpflichtenden Anwendung von DORA müssen alle bestehenden Verträge mit IKT-Drittanbietern den neuen Anforderungen entsprechen. Unternehmen in Österreich sind verpflichtet, der FMA umgehend ein Informationsregister zu allen Verträgen mit IKT-Drittdienstleistern zu übermitteln. Zudem müssen schwerwiegende Cyber-Vorfälle und IKT-bedingte Betriebsstörungen innerhalb der festgelegten Fristen gemeldet werden:
Erstmeldung: Muss so schnell wie möglich erfolgen, spätestens innerhalb von 4 Stunden nach Einstufung als schwerwiegender Vorfall und spätestens 24 Stunden nach Entdeckung (Art. 6 Abs. 1a Draft RTS).
Zwischenmeldung: Muss innerhalb von 72 Stunden nach der Erstmeldung oder nach Wiederherstellung des regulären Geschäftsbetriebs übermittelt werden, oder sobald sich der Vorfallstatus oder die Handhabung des Vorfalls wesentlich ändert. Zusätzliche Aktualisierungen müssen erfolgen, wenn neue Informationen verfügbar sind oder auf Antrag der Behörde (Art. 6 Abs. 1b Draft RTS, Art. 19 Abs. 4 DORA-VO).
Abschlussmeldung: Muss spätestens einen Monat nach der letzten Zwischenmeldung übermittelt werden (Art. 6 Abs. 1c Draft RTS).
Unternehmen, die bereits Erfahrungen mit der Umsetzung der DSGVO gesammelt haben, können dieses Wissen nun für DORA nutzen, um die Einhaltung der Vorschriften sicherzustellen. Die Hauptaufgaben sind dabei ähnlich: Daten vollständig analysieren, Verträge überprüfen, Sicherheit sicherstellen und Mitarbeiter schulen. Wer bereits entsprechende Strukturen und Abläufe eingeführt hat, spart Zeit und Mühe.