Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union einen neuen, einheitlichen Aufsichtsrahmen geschaffen, der die digitalte Resilienz von Finanzunternehmen in Europa stärken soll. Angesichts der zunehmenden Abhängigkeit des Finanzsektors von Informations- und Kommunikationstechnologien (IKT) und der Einbindung von Drittanbietern, ist eine solche Regelung auf EU-Ebene essenziell, um Risiken im Bereich der IT-Sicherheit und Cyberangriffe zu minimieren. Die Verordnung trat am 16. Jänner 2023 in Kraft und wird ab dem 17. Jänner 2025 verbindlich. Der Finanzsektor und IT-Unternehmen im Hintergrund müssen sich nun entsprechend vorbereiten. Nachfolgend haben wir einen Kurzüberblick für Betroffene zusammengestellt.

Warum DORA einen Paradigmenwechsel bedeutet

Erstmals werden dabei auch IKT-Drittdienstleister reguliert, die als kritisch eingestuft werden, wie zum Beispiel große Cloud-Anbieter. Dieser Ansatz markiert einen Paradigmenwechsel in der IT-Aufsicht und verschärft die Anforderungen an die IT-Compliance in der Finanzbranche. Insbesondere im Bereich des IKT-Risikomanagements, der Meldung von IKT-Vorfällen und der Kontrolle von Risiken, die durch Drittdienstleister entstehen, legt DORA klare Richtlinien fest.

Die neuen regulatorischen Anforderungen ersetzen im Übrigen nicht alle bekannten Anforderungen im Bereich Outsourcing. Es handelt sich vielmehr um eine neue Anforderung, die IKT-Drittanbieter aus einem anderen Blickwinkel betrachtet. Bei vielen bestehenden Outsourcing-Vereinbarungen wird man nun prüfen müssen, ob ein Vertragsupdate erforderlich ist.

Digital Operational Resilience

DORA zielt darauf ab, ein hohes Maß an digitaler operationeller Resilienz zu gewährleisten. Dies bedeutet, dass Finanzunternehmen die Integrität und Zuverlässigkeit ihrer IT-gestützten Betriebsprozesse aufrechterhalten können, selbst wenn sie auf Dienstleistungen von Drittanbietern zurückgreifen. Durch proaktive Maßnahmen sollen Finanzunternehmen widerstandsfähig gegen alle Arten von IKT-bezogenen Störungen und Bedrohungen werden, um die Sicherheit ihrer IT-Betriebe langfristig zu wahren.

Wer ist von DORA betroffen?

DORA betrifft nicht nur Finanzunternehmen, sondern auch IKT-Drittdienstleister, die Vertragsbeziehungen mit diesen Unternehmen führen (Art 2 Abs 1 DORA).

Die Definition von IKT-Drittdienstleistern (Art 3 Z 21 DORA) umfasst Unternehmen, die digitale Dienste und Datendienste, über IKT-Systeme einem oder mehreren Nutzern dauerhaft bereitstellen. Damit gilt die Verordnung auch für Cloud-Service-Provider, Softwareanbieter, Datenanalysedienste und Rechenzentren. Mithin sind insbesondere FinTechs ebenfalls von der Verordnung betroffen.

Finanzunternehmen müssen in ihren Verträgen mit solchen IKT-Drittanbietern auch spezifische vertragliche Bestimmungen vorsehen.

Kernbereiche

Im Wesentlichen enthält die Verordnung die folgenden vier Regelungsschwerpunkte.

• IKT-Risikomanagement (Art 5 – 16 DORA):

Finanzunternehmen haben die Pflicht, über einen internen Governance- sowie über einen IKT-Risikomanagementrahmen zur Gewährleistung des Risikomanagements zu verfügen.

• Umgang mit IKT-bezogenen Vorfällen (Art 17 – 23 DORA):

Die Verordnung legt fest, wie IKT-bezogene Vorfälle zu behandeln, zu klassifizieren und zu melden sind. Finanzunternehmen sind gemäß Art 19 DORA verpflichtet, schwerwiegende IKT-bezogene Vorfälle der zuständigen Behörde zu melden.

• Testen der digitalen operationalen Resilienz (Art 24 – 27 DORA):

Ferner werden Finanzunternehmen verpflichtet, Tests zur Überprüfung der digitalen operationalen Resilienz zu betreiben. Dadurch sollen Schwächen, Lücken und Mängel in Bezug auf die digitale operationale Resilienz erkannt und erforderliche Korrekturmaßnahmen eingeleitet werden (Art 24 Abs 1 DORA).

• Management des IKT-Drittparteienrisikos (Art 28 – 44 DORA):

Dora adressiert auch die Risiken, die für Finanzunternehmen durch die Nutzung von Dienstleistungen externer IKT-Anbieter entstehen können.

Wichtige Prinzipien sind dabei die Entwicklung einer Strategie zur Risikobewertung und -kontrolle von IKT-Drittparteien (Art 28 Abs 2 DORA). Darüber hinaus müssen Unternehmen ein aktuelles Informationsregister führen, das alle Vertragsbeziehungen mit IKT-Drittdienstleistern dokumentiert (Art 28 Abs 3 DORA). Zudem müssen diese Verträge spezifische (in Art 30 DORA verankerte) Mindestanforderungen beinhalten.

Fazit

Die Verordnung stellt einen wichtigen Schritt zur Sicherung der digitalen Infrastruktur im Finanzsektor dar. Unternehmen, die frühzeitig Maßnahmen zur Umsetzung der DORA-Vorgaben ergreifen, können nicht nur regulatorische Risiken minimieren, sondern auch ihre eigene Sicherheitslage erheblich verbessern.

Unter Umständen müssen bestehende Verträge mit IT-Dienstleistern angepasst werden, damit diese auch die neuen regulatorischen Anforderungen abbilden. Unser Team bietet umfassende Beratungsleistungen zur DORA-Umsetzung für Finanzunternehmen und IT-Dienstleister.  

Sie haben weitere Fragen zum Digital Operational Resilience Act?

Sie haben weitere Fragen zu diesem Thema oder wollen sich in anderen Bereichen des Wirtschaftsrechts durch einen Rechtsanwalt beraten lassen? Als Rechtsanwälte sind wir auf dieses und weitere Rechtsgebiete spezialisiert. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.