Die EU-Kommission schreibt mit der umfassenden DORA-Verordnung dem stark vernetzten Finanzbereich erstmals einheitliche Standards zur digitalen Sicherheit vor. Der Digital Operational Resilience Act ist bereits ab dem 17. Jänner 2025 anzuwenden und zwar "ohne Übergangsfristen in vollem Umfang", wie der Vorstand der FMA, Helmut Ettl und Eduard Müller, in einer Aussendung betont.

Die FMA hat nun eine eigene Informationsseite dafür eingerichtet. www.fma.gv.at/dora (externer Link) ist seit Dienstag (27.8.) online und beinhaltet neben einem Überblick über die Vorgaben auch Antworten auf häufig gestellte Fragen in einem Q&A. Bereits seit einiger Zeit können Betroffene ihre Fragen zum Thema an die Behörde richten (dora@fma.gv.at).

Verträge müssen neu aufgesetzt werden
Etliche Betroffene dürften mit der Umsetzung in Verzug sein, nicht zuletzt, weil der Aufwand unterschätzt wurde. Zum Beispiel müssen zum Stichtag alle Verträge mit IKT-Zulieferern auf DORA-Niveau gebracht sein. Ein Schritt, der allein aus juristischer Sicht viel Zeit beansprucht, wie Anwälte der Wiener Rechtsanwaltskanzlei Dorda unlängst gegenüber der Redaktion sagten

Mit Stichtag 17. Jänner sei der FMA "unverzüglich ein Informationsregister zu allen Verträgen mit IKT-Drittdienstleistern zu übermitteln", wie die Behörde betont. Auch schwerwiegende Cyber-Vorfälle und IKT-bedingte Betriebsstörungen sind dann innerhalb der vorgesehenen Fristen der FMA zu melden. Mit der Verordnung werden erstmals IT-Zulieferer – insbesondere Rechenzentren, Cloud-Dienstleister, Softwareentwickler, Datenanalysten und andere – in die Beaufsichtigung einbezogen; das betrifft dann auch globale Riesen wie Microsoft, Google und andere. Finanzunternehmen müssen dann einen eigenen IKT-Rahmen vorweisen können, sie sind zu regelmäßigen Stresstests verpflichtet und vieles mehr.

Kontrolle bei Vor-Ort-Prüfungen
Bei der FMA heißt es, sie werde die DORA-Einhaltung bei Vor-Ort-Prüfungen mitkontrollieren. Ausschließlich auf DORA bezogene Vor-Ort-Prüfungen sind aus heutiger Sicht hingegen nicht vorgesehen.

DORA betrifft im Wesentlichen alle Finanzmarktsektoren. Gewerbliche Vermittler sind im Prinzip ausgenommen. Aber auch unter den Vermittlern dürften in der Praxis etliche darunter fallen. Sobald ein Versicherungsmakler zum Beispiel IKT-Dienste wie Buchhaltung oder Abwicklung anbietet, gilt die Vermittler-Ausnahme nicht. Ebenfalls zu klären sind viele Einzelfälle, etwa ob und wann digitale Mitarbeiterschulungen umfasst sind. Bietet ein Vermittler Plattformdienste oder Reportings an, muss er aller Voraussicht nach vom Versicherer ins IKT-Register eingetragen werden. (eml)