I. DORA – der Digital Operational Resilience Act
Im Zuge der Digitalisierung des Finanzsektors hat die Europäische Kommission 2020 einen Vorschlag vorgelegt, welcher der steigenden Gefahr von Cyberattacken begegnen soll. Durch einheitliche Anforderungen an die Sicherheit der Informations- und Kommunikationstechnologie (IKT) will die EU die Betriebssicherheit von Finanzunternehmen auch bei schwerwiegenden Betriebsstörungen gewährleisten.
DORA soll weite Teile des Finanzsektors erfassen. Neben den ”klassischen” Finanzdienstleistern – wie Banken, Wertpapierdienstleister, Versicherungen – werden auch jene Unternehmen erfasst, die für andere Finanzunternehmen bestimmte Dienstleistungen erbringen. Davon sind unter anderem Cloud-Plattformen umfasst.
Um kleine Unternehmen zu entlasten, gibt es auch Ausnahmen. So werden sogenannte Micro-Enterprises, also Unternehmen mit weniger als 10 Mitarbeiter:innen bzw einen Jahresumsatz von weniger als 2 Millionen Euro, weitgehend von den Anforderungen befreit. Ebenfalls sind Wirtschaftsprüfer:innen ausgenommen.
II. Risikomanagement und Resilienz
Im Zentrum der Anforderungen stehen Vorgaben an das interne Risikomanagement und die Ausgestaltung der IKT-Infrastruktur. Finanzunternehmen müssen dabei insbesondere einen weitreichenden Kontroll- und Verwaltungsrahmen einrichten, der dazu dienen soll, klare Verantwortlichkeiten zu schaffen. Damit einhergehend sind umfangreiche Dokumentationspflichten zu beachten. Zudem müssen Unternehmen künftig – ähnlich dem Datenschutzbeauftragten – eine eigene Stelle einrichten, welche die Risikoexponierungen und dazugehörigen Dokumentationspflichten beaufsichtigt. Um die Resilienz der IKT-Systeme zu überprüfen, müssen die Unternehmen auch ausgiebige Prüfungen ihrer Betriebsstabilität durchführen. So muss die Stabilität und Sicherheit der Systeme alle 3 Jahre von externen Prüfer:innen überprüft werden.
III. Meldepflicht
DORA verpflichtet die erfassten Unternehmen zur umgehenden Meldung IKT-bezogener Vorfälle und Sicherheitsbrüchen an die zuständigen, nationalen Aufsichtsbehörden. Dadurch soll verhindert werden, dass erfolgreiche Cyberangriffe verheimlicht werden. Für Kreditinstitute und Wertpapierfirmen ist die zuständige Behördedie FMA, für Versicherungsvermittler hingegen die Gewerbebehörde.
IV. Ausblick
DORA wurde bereits im Amtsblatt der Europäischen Union (ABl. L 333 vom 27.12.2022) veröffentlicht und tritt mit 17.1.2023 in den EU-Mitgliedsstaaten in Kraft. Für die betroffenen Finanzunternehmen gelten die darin enthaltenen Bestimmungen aber erst 24 Monate nach dem Inkrafttreten – also ab dem 17.1.2025. Es bleibt also noch etwas Zeit, um sich auf die neuen Anforderungen einzustellen. Dennoch ist es ratsam, bereits jetzt proaktiv Schritte zu setzen, um den umfangreichen Vorschriften gerecht zu werden. Gerne unterstützen wir Sie hierbei.