Digitalisierung des Finanzwesens – Neue Regeln für die Betriebsstabilität

Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Fabian Schinerl

Finanzunternehmen werden weltweit immer abhängiger von IT-Systemen. Damit steigt auch die Anfälligkeit für Cyberangriffe. Um die Sicherheit dieser kritischen Infrastrukturen zu stärken, wird die EU nun tätig. Am 23.11.2022 wurde der Digital Operational Resilience Act (DORA) beschlossen.

I. DORA – der Digital Operational Resilience Act

Im Zuge der Digitalisierung des Finanzsektors hat die Europäische Kommission 2020 einen Vorschlag vorgelegt, welcher der steigenden Gefahr von Cyberattacken begegnen soll. Durch einheitliche Anforderungen an die Sicherheit der Informations- und Kommunikationstechnologie (IKT) will die EU die Betriebssicherheit von Finanzunternehmen auch bei schwerwiegenden Betriebsstörungen gewährleisten.
DORA soll weite Teile des Finanzsektors erfassen. Neben den ”klassischen” Finanzdienstleistern – wie Banken, Wertpapierdienstleister, Versicherungen – werden auch jene Unternehmen erfasst, die für andere Finanzunternehmen bestimmte Dienstleistungen erbringen. Davon sind unter anderem Cloud-Plattformen umfasst.
Um kleine Unternehmen zu entlasten, gibt es auch Ausnahmen. So werden sogenannte Micro-Enterprises, also Unternehmen mit weniger als 10 Mitarbeiter:innen bzw einen Jahresumsatz von weniger als 2 Millionen Euro, weitgehend von den Anforderungen befreit. Ebenfalls sind Wirtschaftsprüfer:innen ausgenommen.

II. Risikomanagement und Resilienz

Im Zentrum der Anforderungen stehen Vorgaben an das interne Risikomanagement und die Ausgestaltung der IKT-Infrastruktur. Finanzunternehmen müssen dabei insbesondere einen weitreichenden Kontroll- und Verwaltungsrahmen einrichten, der dazu dienen soll, klare Verantwortlichkeiten zu schaffen. Damit einhergehend sind umfangreiche Dokumentationspflichten zu beachten. Zudem müssen Unternehmen künftig – ähnlich dem Datenschutzbeauftragten – eine eigene Stelle einrichten, welche die Risikoexponierungen und dazugehörigen Dokumentationspflichten beaufsichtigt. Um die Resilienz der IKT-Systeme zu überprüfen, müssen die Unternehmen auch ausgiebige Prüfungen ihrer Betriebsstabilität durchführen. So muss die Stabilität und Sicherheit der Systeme alle 3 Jahre von externen Prüfer:innen überprüft werden.

III. Meldepflicht

DORA verpflichtet die erfassten Unternehmen zur umgehenden Meldung IKT-bezogener Vorfälle und Sicherheitsbrüchen an die zuständigen, nationalen Aufsichtsbehörden. Dadurch soll verhindert werden, dass erfolgreiche Cyberangriffe verheimlicht werden. Für Kreditinstitute und Wertpapierfirmen ist die zuständige Behördedie FMA, für Versicherungsvermittler hingegen die Gewerbebehörde.

IV. Ausblick

DORA wurde bereits im Amtsblatt der Europäischen Union (ABl. L 333 vom 27.12.2022) veröffentlicht und tritt mit 17.1.2023 in den EU-Mitgliedsstaaten in Kraft. Für die betroffenen Finanzunternehmen gelten die darin enthaltenen Bestimmungen aber erst 24 Monate nach dem Inkrafttreten – also ab dem 17.1.2025. Es bleibt also noch etwas Zeit, um sich auf die neuen Anforderungen einzustellen. Dennoch ist es ratsam, bereits jetzt proaktiv Schritte zu setzen, um den umfangreichen Vorschriften gerecht zu werden. Gerne unterstützen wir Sie hierbei.

 

Das Team
Fabian Schinerl
Legal Expert / Bank-, Versicherungs- und Wertpapieraufsichtsrecht
Latest insights zu
Bank-, Versicherungs- und Wertpapieraufsichtsrecht
Investorenwarnungen: Verstärkter Rechtsschutz für Betroffene
Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Raphael Toman, Christian Lenz
Immer wieder beschäftigen die Gerichtshöfe des öffentlichen Rechts Fragen iZm den Betroffenenrechten bei Investorenwarnungen sowie veröffentlichten Strafen durch die FMA – dem sogenannten "Naming & Shaming". Dabei veröffentlicht die FMA Meldungen auf ihrer Homepage, die Investoren vor Geschäftsbeziehungen mit den darin genannten Unternehmen warnen sollen oder schlicht über verhängte Strafen berichtet. Die Rechtsschutzmöglichkeiten der Betroffenen gegen diese Meldungen wurden von der Rechtsprechung nur langsam weiterentwickelt. Ein jüngstes Erkenntnis des Verfassungsgerichtshofs ("VfGH"; VfGH 12. 3. 2024, E 3436/2023) setzt jedoch einen Schritt in Richtung verstärkter Betroffenenrechte.
Umsetzung der Verbandsklagen-Richtlinie in Österreich
Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Raphael Toman, Christian Lenz
Mit der neuen Verbandsklagen-Richtlinie der EU soll ein unionsweites Sammelklagensystem zur kollektiven Rechtsdurchsetzung von Verbraucheransprüchen eingeführt werden. Die entsprechenden Richtlinienvorgaben hätte der österreichische Gesetzgeber bereits bis 25.6.2023 in nationales Recht umsetzen müssen. Ein knappes Jahr später liegt nun der erste Gesetzesentwurf vor.
Umsetzungsgesetze zu DORA, NIS II und MiCAR sind da
Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Raphael Toman, Christian Lenz
Der europäische Gesetzgeber hat zuletzt zahlreiche Vorgaben im digitalen Bereich geschaffen. Der österreichische Gesetzgeber hat nunmehr nachgezogen, und die notwendigen Begleitmaßnahmen auf österreichischer Ebene vorgestellt.