Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (Digital Operational Resilience Act – DORA) wurde im Rahmen des ordentlichen Gesetzgebungsverfahrens der Europäischen Union vom Europäischen Parlament und vom Ministerrat angenommen und von den jeweiligen Präsidenten am 14.12.2022 unterfertigt.
Am 27.12.2022 erfolgte die Veröffentlichung im Amtsblatt der Europäischen Union. Ab dem 17.01.2025 gilt DORA für die Mitgliedstaaten und somit auch für die von DORA erfassten nationalen Unternehmen.
DORA verpflichtet die von der Verordnung betroffenen Unternehmen zur Einrichtung und ständigen Verbesserung ihrer IKT (Informations- und Kommunikationstechnologie) Systeme. Zudem normiert sie für die betroffenen Unternehmen Meldepflichten und sieht eine Überprüfung von IKT-Drittdienstleistern vor.
Ob der nationale Gesetzgeber Handlungsbedarf für allfällige nationale Umsetzungen sieht, bleibt abzuwarten. Es ist davon auszugehen, dass die FMA Leitlinien zu DORA erstellt, die den betroffenen Unternehmen als Anleitung für die durch DORA bedingten Erfordernisse dienen sollen.
1. Hintergrund und Übersicht über das Gesetzgebungsverfahren
Im September 2020 stellte die Europäische Kommission das sog. Digital Finance Package vor. Ziel war eine einheitliche Regelung des digitalen Finanzdienstleistungsmarktes auf Unionsebene. Die EU will dadurch – angesichts der ständig zunehmenden Gefahr von Cyberangriffen – die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungsunternehmen und Zahlungsdienstleistern stärken.
Eckpfeiler dieses Packages ist der Digital Operational Resilience Act (DORA-Verordnung). Ziel dieser Verordnung ist es, einen Rechtsrahmen für die Betriebsstabilität digitaler Systeme zu schaffen. Dadurch sollen die Unternehmen ihre „Resilienz“ gegen alle Arten von IKT (Informations- und Kommunikationstechnologie) - bezogenen Störungen und Gefährdungen stärken, um in der Folge Cyberbedrohungen abschwächen und abwenden zu können. So soll DORA zu einer soliden und angemessenen Cyber-Sicherheit im Finanzsektor gegen Bedrohungen beitragen, die durch IKT entstehen.
Nach Erzielung einer politischen Einigung wurde DORA am 14.12.2022 durch den Präsidenten des Europäischen Parlaments und den Präsidenten des Rates unterfertigt. Die Veröffentlichung im Amtsblatt erfolgte am 27.12.2022. Deren Regulativ ist für die Mitgliedstaaten und somit auch für die von DORA betroffenen Unternehmen ab 17.01.2025 unmittelbar anwendbar.
2. Von DORA betroffene Unternehmen
Den neuen Vorschriften unterliegen nahezu alle Finanzunternehmen (wie etwa Banken oder Zahlungsdienstleister). Eine Ausnahme davon stellen (unter anderem) die Abschlussprüfer dar. Sie sind Teil einer künftigen Überprüfung der Verordnung.
3. Zu den inhaltlichen Anforderungen
- Die von DORA betroffenen Unternehmen müssen stabile IKT-Systeme einrichten und diese ständig verbessern.
- DORA verpflichtet die Unternehmen, ihre IKT-Systeme regelmäßig zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren müssen.
- DORA weitet die Meldepflicht für schwerwiegende IKT-Vorfälle auf alle unter DORA fallende Finanzunternehmen aus.
- DORA initiiert auch ein sog. IKT-Drittparteirisikomanagement. Unternehmen, die IKT-Dienste anbieten (=IKT-Drittdienstleister) müssen von den Finanzunternehmen (bereits) während der Vertragsabschlussphase, während der Erfüllung des Vertrages, während der Beendigung des Vertrages sowie auch in der Nachvertragsphase überprüft werden.
So hat zB bereits bei Vertragsabschluss eine Risikoanalyse stattzufinden.
4. Zusammenfassung
Durch die europaweite Harmonisierung schafft DORA einheitliche und harmonisierte Regelungen. Durch DORA wird ein umfassendes gesetzliches Regelwerk geschaffen, welches auf EU-Ebene die Risiken der Digitalisierung für die Finanzbranche in den Fokus nimmt.
Für die nunmehr von DORA erfassten Unternehmen hingegen, bedeuten die mit der Verordnung einhergehenden Verpflichtungen eine enorme finanzielle und technische Herausforderung. Da die Regelungen von DORA ab 17.01.2025 anwendbar sind, besteht unmittelbarer Handlungsbedarf.