Digital Operational Resilienec Act (DORA) - Versionsgeschichte

Jhospes am 27. November 2025 um 22:24 Uhr

2025-11-27T22:24:07Z

← Nächstältere Version		Version vom 27. November 2025, 22:24 Uhr
Zeile 46:		Zeile 46:

	<!--T:6-->		<!--T:6-->
	Gleichzeitig mit DORA wurde die Richtlinie 2022/2556 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („'''DORA-RL'''“)<ref>RL (E) 2022/2556 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl L 2022/333, 153.</ref> sowie Richtlinie (EU) 2022/2557 über die [[Special:MyLanguage/Critical Entities‘ Resilience Directive (CER)\|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. Die Hauptanwendung der DORA-Verordnung tritt direkt am 17. Januar 2025 ein. Die DORA-RL musste von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden, um die bestehenden Finanzrichtlinien an DORA anzupassen. Die wesentlichen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) der ESAs, welche die Detailanforderungen von DORA festlegen (Level 2 Maßnahmen), wurden größtenteils im Sommer 2024 im Amtsblatt der EU veröffentlicht und sind zu beachten. Die Delegierte Verordnung (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.		Gleichzeitig mit DORA wurde die Richtlinie 2022/2556 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („'''DORA-RL'''“)<ref>RL (E) 2022/2556 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl L 2022/333, 153.</ref> sowie Richtlinie (EU) 2022/2557 über die [[Special:MyLanguage/Critical Entities‘ Resilience Directive (CER)\|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. <mark>Die Hauptanwendung der DORA-Verordnung tritt direkt am 17. Januar 2025 ein. Die DORA-RL musste von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden, um die bestehenden Finanzrichtlinien an DORA anzupassen. Die wesentlichen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) der ESAs, welche die Detailanforderungen von DORA festlegen (Level 2 Maßnahmen), wurden größtenteils im Sommer 2024 im Amtsblatt der EU veröffentlicht und sind zu beachten. Die Delegierte Verordnung (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.</mark>

	<!--T:7-->		<!--T:7-->
Zeile 52:		Zeile 52:

	<!--T:8-->		<!--T:8-->
	Im Verhältnis zur NIS2-RL nimmt DORA eine besondere Stellung ein, da sie gemäß ErwGr 16 DORA als lex specialis gilt und somit Vorrang vor NIS2-RL hat. Diese Vorrangstellung von DORA bedeutet, dass für Finanzunternehmen primär die DORA-Vorschriften maßgeblich sind. In Bereichen, in denen NIS2-RL spezifischere Regelungen als DORA vorsieht, gelten diese NIS2-Vorschriften ergänzend zu DORA. Die Implementierung von DORA und der bis zum 18. Oktober 2024 in nationales Recht umzusetzenden NIS2-Richtlinie haben Auswirkungen auf nationale Regularien und Anforderungsvorgaben. Bestehende nationale Vorschriften sind in jedem Fall zu beachten. Anmerkung: Aufgrund der lex specialis-Regel des Erwägungsgrundes 16 DORA hat DORA für die erfassten Finanzunternehmen immer Vorrang vor nationalen Umsetzungsgesetzen der NIS2-RL.		Im Verhältnis zur NIS2-RL nimmt DORA eine besondere Stellung ein, da sie gemäß ErwGr 16 DORA als lex specialis gilt und somit Vorrang vor NIS2-RL hat. Diese Vorrangstellung von DORA bedeutet, dass für Finanzunternehmen primär die DORA-Vorschriften maßgeblich sind. In Bereichen, in denen NIS2-RL spezifischere Regelungen als DORA vorsieht, gelten diese NIS2-Vorschriften ergänzend zu DORA. <mark>Die Implementierung von DORA und der bis zum 18. Oktober 2024 in nationales Recht umzusetzenden NIS2-Richtlinie haben Auswirkungen auf nationale Regularien und Anforderungsvorgaben. Bestehende nationale Vorschriften sind in jedem Fall zu beachten. Anmerkung: Aufgrund der lex specialis-Regel des Erwägungsgrundes 16 DORA hat DORA für die erfassten Finanzunternehmen immer Vorrang vor nationalen Umsetzungsgesetzen der NIS2-RL.</mark>

	== Anwendungsbereich == <!--T:9-->		== Anwendungsbereich == <!--T:9-->
Zeile 71:		Zeile 71:

	<!--T:15-->		<!--T:15-->
	Weitreichende Ausnahmen von den Verpflichtungen bestehen für '''bestimmte''' Unternehmen (dh Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio EUR nicht überschreitet). Diese Erleichterungen gelten insbesondere für die Governance-Anforderungen (Art 11 Abs 4 DORA) und den vereinfachten Rahmen für das IKT-Risikomanagement (Art 16 Abs 3 DORA).		Weitreichende Ausnahmen von den Verpflichtungen bestehen für '''bestimmte''' Unternehmen (dh Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio EUR nicht überschreitet). <mark>Diese Erleichterungen gelten insbesondere für die Governance-Anforderungen (Art 11 Abs 4 DORA) und den vereinfachten Rahmen für das IKT-Risikomanagement (Art 16 Abs 3 DORA).</mark>

	<!--T:16-->		<!--T:16-->

Jhospes am 20. Oktober 2025 um 21:52 Uhr

2025-10-20T21:52:08Z

← Nächstältere Version		Version vom 20. Oktober 2025, 21:52 Uhr
Zeile 46:		Zeile 46:

	<!--T:6-->		<!--T:6-->
	Gleichzeitig mit DORA wurde die Richtlinie 2022/2556 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („'''DORA-RL'''“)<ref>RL (E) 2022/2556 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl L 2022/333, 153.</ref> sowie Richtlinie (EU) 2022/2557 über die [[Special:MyLanguage/Critical Entities‘ Resilience Directive (CER)\|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. Die ~~ab dem~~ 17. 1. ~~2025 anwendbare~~ DORA-RL ~~muss~~ von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.		Gleichzeitig mit DORA wurde die Richtlinie 2022/2556 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („'''DORA-RL'''“)<ref>RL (E) 2022/2556 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl L 2022/333, 153.</ref> sowie Richtlinie (EU) 2022/2557 über die [[Special:MyLanguage/Critical Entities‘ Resilience Directive (CER)\|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. Die Hauptanwendung der DORA-Verordnung tritt direkt am 17. Januar 2025 ein. Die DORA-RL musste von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden, um die bestehenden Finanzrichtlinien an DORA anzupassen. Die wesentlichen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) der ESAs, welche die Detailanforderungen von DORA festlegen (Level 2 Maßnahmen), wurden größtenteils im Sommer 2024 im Amtsblatt der EU veröffentlicht und sind zu beachten. Die Delegierte Verordnung (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.

	<!--T:7-->		<!--T:7-->
Zeile 52:		Zeile 52:

	<!--T:8-->		<!--T:8-->
	Im Verhältnis zur NIS2-RL nimmt DORA eine besondere Stellung ein, da sie gemäß ErwGr 16 DORA als lex specialis gilt und somit Vorrang vor NIS2-RL hat. Diese Vorrangstellung von DORA bedeutet, dass für Finanzunternehmen primär die DORA-Vorschriften maßgeblich sind. In Bereichen, in denen NIS2-RL spezifischere Regelungen als DORA vorsieht, gelten diese NIS2-Vorschriften ergänzend zu DORA. Die Implementierung von DORA und ~~Umsetzungsgesetzgebung zu~~ NIS2 ~~hat auch~~ Auswirkungen auf nationale Regularien und Anforderungsvorgaben. Bestehende nationale Vorschriften ~~(Oktober 2024 ist~~ die NIS2-RL ~~in Österreich noch nicht umgesetzt), sie diese beachtlich~~.		Im Verhältnis zur NIS2-RL nimmt DORA eine besondere Stellung ein, da sie gemäß ErwGr 16 DORA als lex specialis gilt und somit Vorrang vor NIS2-RL hat. Diese Vorrangstellung von DORA bedeutet, dass für Finanzunternehmen primär die DORA-Vorschriften maßgeblich sind. In Bereichen, in denen NIS2-RL spezifischere Regelungen als DORA vorsieht, gelten diese NIS2-Vorschriften ergänzend zu DORA. Die Implementierung von DORA und der bis zum 18. Oktober 2024 in nationales Recht umzusetzenden NIS2-Richtlinie haben Auswirkungen auf nationale Regularien und Anforderungsvorgaben. Bestehende nationale Vorschriften sind in jedem Fall zu beachten. Anmerkung: Aufgrund der lex specialis-Regel des Erwägungsgrundes 16 DORA hat DORA für die erfassten Finanzunternehmen immer Vorrang vor nationalen Umsetzungsgesetzen der NIS2-RL.

	== Anwendungsbereich == <!--T:9-->		== Anwendungsbereich == <!--T:9-->
Zeile 71:		Zeile 71:

	<!--T:15-->		<!--T:15-->
	Weitreichende Ausnahmen von den Verpflichtungen bestehen für ~~Kleinstunternehmen~~ (dh Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio EUR nicht überschreitet).		Weitreichende Ausnahmen von den Verpflichtungen bestehen für '''bestimmte''' Unternehmen (dh Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio EUR nicht überschreitet). Diese Erleichterungen gelten insbesondere für die Governance-Anforderungen (Art 11 Abs 4 DORA) und den vereinfachten Rahmen für das IKT-Risikomanagement (Art 16 Abs 3 DORA).

	<!--T:16-->		<!--T:16-->

Jhospes: Diese Seite wurde zum Übersetzen freigegeben

2025-06-03T12:58:04Z

Diese Seite wurde zum Übersetzen freigegeben

Änderungen zeigen

Jhospes: Bereitete die Seite zur Übersetzung vor

2025-06-03T08:04:06Z

Bereitete die Seite zur Übersetzung vor

Änderungen zeigen

DavidMSchneeberger: /* Kurzübersicht */

2025-02-26T20:54:21Z

Kurzübersicht

← Nächstältere Version		Version vom 26. Februar 2025, 20:54 Uhr
Zeile 38:		Zeile 38:
	Die DORA-Verordnung (Digital Operational Resilience Act) ist eine umfassende Regelung zur digitalen Resilienz, die speziell für den '''Finanzsektor''' der Europäischen Union entwickelt wurde. Sie ergänzt bestehende Regelungen und baut auf bekannten Konzepten wie Informationssicherheit, Datenschutz und Risikomanagement auf, um die Widerstandsfähigkeit gegenüber IKT-Risiken zu stärken.		Die DORA-Verordnung (Digital Operational Resilience Act) ist eine umfassende Regelung zur digitalen Resilienz, die speziell für den '''Finanzsektor''' der Europäischen Union entwickelt wurde. Sie ergänzt bestehende Regelungen und baut auf bekannten Konzepten wie Informationssicherheit, Datenschutz und Risikomanagement auf, um die Widerstandsfähigkeit gegenüber IKT-Risiken zu stärken.

	Gleichzeitig mit DORA wurde die Richtlinie 2022/~~2554~~ hinsichtlich der digitalen operationalen Resilienz im Finanzsektor (~~„DORA~~-~~RL“~~) sowie Richtlinie (EU) 2022/2557 über die [[Critical Entities‘ Resilience Directive (CER)\|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. Die ab dem 17. 1. 2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.		Gleichzeitig mit DORA wurde die Richtlinie 2022/2556 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („'''DORA-RL'''“)<ref>RL (E) 2022/2556 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl L 2022/333, 153.</ref> sowie Richtlinie (EU) 2022/2557 über die [[Critical Entities‘ Resilience Directive (CER)\|Resilienz kritischer Einrichtungen]], welche einzelne Anpassungen von mehreren Richtlinien, vorsieht, erlassen. Die ab dem 17. 1. 2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.

	Die '''Delegierte Verordnung''' (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.		Die '''Delegierte Verordnung''' (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.

DavidMSchneeberger: /* Kurzübersicht */

2025-02-26T19:58:18Z

Kurzübersicht

Änderungen zeigen

Elisabeth Mayer: /* IKT-bezogene Vorfälle */

2025-02-06T16:43:35Z

IKT-bezogene Vorfälle

← Nächstältere Version		Version vom 6. Februar 2025, 16:43 Uhr
Zeile 70:		Zeile 70:

	==== IKT-bezogene Vorfälle ====		==== IKT-bezogene Vorfälle ====
	Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kundinnen betreffen, müssen die Finanzunternehmen ihre Kundinnen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf ~~freiwiilliger~~ Basis ~~gemeledet~~ werden.		Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kundinnen betreffen, müssen die Finanzunternehmen ihre Kundinnen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf freiwilliger Basis gemeldet werden.

	Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten Standardvorlagen durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS-2-Richtlinie. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig.		Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten Standardvorlagen durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS-2-Richtlinie. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig.
Zeile 90:		Zeile 90:
	Vor Abschluss eines Vertrags mit einem IKT-Drittdienstleister müssen Finanzunternehmen eine Risikoanalyse durchführen, die die Kriterien von Art. 28 Abs. 4 und 5 DORA berücksichtigt. Während der Vertragsverhandlungen müssen sie sicherstellen, dass Audit-Frequenzen und zu prüfende Bereiche festgelegt werden, um die Kontrolle über kritische Systeme zu wahren. Des Weiteren sind vertragliche Kündigungsrechte sowie angemessene Ausstiegsstrategien für den Fall einer Beendigung der Vertragsbeziehung festzulegen, insbesondere bei kritischen oder wichtigen Funktionen.		Vor Abschluss eines Vertrags mit einem IKT-Drittdienstleister müssen Finanzunternehmen eine Risikoanalyse durchführen, die die Kriterien von Art. 28 Abs. 4 und 5 DORA berücksichtigt. Während der Vertragsverhandlungen müssen sie sicherstellen, dass Audit-Frequenzen und zu prüfende Bereiche festgelegt werden, um die Kontrolle über kritische Systeme zu wahren. Des Weiteren sind vertragliche Kündigungsrechte sowie angemessene Ausstiegsstrategien für den Fall einer Beendigung der Vertragsbeziehung festzulegen, insbesondere bei kritischen oder wichtigen Funktionen.

	'''Praxistipp:''' Mittelständische Unternehmen sollten Musterverträge vorbereiten, um die Anforderungen an Drittdienstleister klar zu regeln. Viele KMUs verfügen nicht über zentrale Vertragswerke, was die Umsetzung erschwert.		'''Praxistipp:''' Mittelständische Unternehmen sollten Musterverträge vorbereiten, um die Anforderungen an Drittdienstleister klar zu regeln. Viele KMUs verfügen nicht über zentrale Vertragswerke, was die Umsetzung erschwert.

	Darüber hinaus sieht DORA in Art. 30 spezielle Vertragsbedingungen für die Vergabe von Unteraufträgen durch IKT-Drittdienstleister vor, welche ebenfalls in den technischen Standards der ESA spezifiziert sind. Diese Vorschriften regeln unter anderem die Zulässigkeit der Unterauftragsvergabe sowie die dafür geltenden Kriterien. IKT-Dienstleister fallen vollständig unter die DORA-Verordnung.		Darüber hinaus sieht DORA in Art. 30 spezielle Vertragsbedingungen für die Vergabe von Unteraufträgen durch IKT-Drittdienstleister vor, welche ebenfalls in den technischen Standards der ESA spezifiziert sind. Diese Vorschriften regeln unter anderem die Zulässigkeit der Unterauftragsvergabe sowie die dafür geltenden Kriterien. IKT-Dienstleister fallen vollständig unter die DORA-Verordnung.

	==== Überwachung ====		==== Überwachung ====
	Die Überwachung von IKT-Drittdienstleistern erfolgt durch die ESA, welche nach Art. 31 Abs. 2 DORA die Drittdienstleister als „kritisch“ einstufen können. Für jeden als kritisch eingestuften IKT-Drittdienstleister wird eine federführende Überwachungsbehörde ernannt, die über weitreichende Befugnisse verfügt. Dazu zählen das Recht auf Informationsanforderungen, Inspektionen und das Aussprechen von Empfehlungen hinsichtlich der Sicherheitsanforderungen und der Unterauftragsvergabe. IKT-Drittdienstleistern können auch zentral geprüft werden . Es stellt sich die Frage, welche Behörde in Österreich diese Prüfungen durchführen wird (evtl. Finanzmarktaufsicht, FMA). '''Praxistipp:''' Sofern zentrale Prüfungen großer IKT-Dienstleister erfolgen, können sich Unternehmen auf diese Prüfungsergebnisse verlassen und eigene dezentrale Prüfungen minimalhalten.		Die Überwachung von IKT-Drittdienstleistern erfolgt durch die ESA, welche nach Art. 31 Abs. 2 DORA die Drittdienstleister als „kritisch“ einstufen können. Für jeden als kritisch eingestuften IKT-Drittdienstleister wird eine federführende Überwachungsbehörde ernannt, die über weitreichende Befugnisse verfügt. Dazu zählen das Recht auf Informationsanforderungen, Inspektionen und das Aussprechen von Empfehlungen hinsichtlich der Sicherheitsanforderungen und der Unterauftragsvergabe. IKT-Drittdienstleistern können auch zentral geprüft werden . Es stellt sich die Frage, welche Behörde in Österreich diese Prüfungen durchführen wird (evtl. Finanzmarktaufsicht, FMA).

			'''Praxistipp:''' Sofern zentrale Prüfungen großer IKT-Dienstleister erfolgen, können sich Unternehmen auf diese Prüfungsergebnisse verlassen und eigene dezentrale Prüfungen minimalhalten.

	=== Informationsaustausch ===		=== Informationsaustausch ===

Elisabeth Mayer: /* IKT-bezogene Vorfälle */

2025-02-06T16:40:24Z

IKT-bezogene Vorfälle

← Nächstältere Version		Version vom 6. Februar 2025, 16:40 Uhr
Zeile 70:		Zeile 70:

	==== IKT-bezogene Vorfälle ====		==== IKT-bezogene Vorfälle ====
	Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der ~~Kunden~~ betreffen, müssen die Finanzunternehmen ihre ~~Kunden~~ unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf freiwiilliger Basis gemeledet werden.		Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kundinnen betreffen, müssen die Finanzunternehmen ihre Kundinnen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf freiwiilliger Basis gemeledet werden.

	Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten Standardvorlagen durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS-2-Richtlinie. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig.		Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten Standardvorlagen durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS-2-Richtlinie. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig.

Elisabeth Mayer: /* Datenschutz */

2025-02-06T16:37:43Z

Datenschutz

← Nächstältere Version		Version vom 6. Februar 2025, 16:37 Uhr
Zeile 109:		Zeile 109:
	===== Datenschutz =====		===== Datenschutz =====

	* Datenschutz und Informationssicherheit sind eng miteinander verknüpfte Konzepte, die gemeinsam gedacht werden müssen. Jede Maßnahme, wie zB Monitoring und Logging, muss auch in Bezug auf Datenschutzanforderungen betrachtet werden. Art 88 der DSGVO betont den Schutz der Würde des Menschen am Arbeitsplatz, was insbesondere bei eingriffsintensiven Technologien wie KI-gestütztem Anomalie-Monitoring relevant ist. Der Einsatz von KI-Systemen zur Erkennung und Meldung von Anomalien nimmt zu, was potenziell tiefere Eingriffe in den Datenschutz von ~~Mitarbeiterdaten~~ bedeutet. Dies muss im Sinne der DSGVO und DORA sorgfältig abgewogen werden.		* Datenschutz und Informationssicherheit sind eng miteinander verknüpfte Konzepte, die gemeinsam gedacht werden müssen. Jede Maßnahme, wie zB Monitoring und Logging, muss auch in Bezug auf Datenschutzanforderungen betrachtet werden. Art 88 der DSGVO betont den Schutz der Würde des Menschen am Arbeitsplatz, was insbesondere bei eingriffsintensiven Technologien wie KI-gestütztem Anomalie-Monitoring relevant ist. Der Einsatz von KI-Systemen zur Erkennung und Meldung von Anomalien nimmt zu, was potenziell tiefere Eingriffe in den Datenschutz von Mitarbeiter*innendaten bedeutet. Dies muss im Sinne der DSGVO und DORA sorgfältig abgewogen werden.
	* Normen wie ISO 27001 und ÖNORM A 2017:2023:06:01 vereinen Datenschutz und Datensicherheit und ist ein geeigneter Anknüpfungspunkt für die Umsetzung von DORA. Sie können konzeptionell in Verbindung mit den entsprechenden DORA-Normen als Umsetzungsstruktur integriert werden.		* Normen wie ISO 27001 und ÖNORM A 2017:2023:06:01 vereinen Datenschutz und Datensicherheit und ist ein geeigneter Anknüpfungspunkt für die Umsetzung von DORA. Sie können konzeptionell in Verbindung mit den entsprechenden DORA-Normen als Umsetzungsstruktur integriert werden.

Jhospes: /* Zentrale Inhalte */

2025-01-30T10:26:45Z

Zentrale Inhalte

@@ Zeile 82: / Zeile 82: @@
 === Lieferkettenmanagement ===
-DORA stellt klare Anforderungen an das Management des IKT-Drittparteienrisikos und die vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, die von Finanzunternehmen beachtet werden müssen. Mit Ausnahme von Kleinstunternehmen haben Finanzunternehmen die Pflicht, eine Strategie zum Management des IKT-Drittparteienrisikos zu entwickeln und regelmäßig zu überprüfen. Diese Strategie umfasst Leitlinien für die Nutzung von IKT-Drittdienstleistungen, die dazu dienen, das Risiko, das durch externe Dienstleister entsteht, effektiv zu steuern. Die Europäische Aufsichtsbehörde (ESA) hat hierzu technische Regulierungsstandards (RTS) veröffentlicht, welche den detaillierten Inhalt dieser Leitlinien spezifizieren.
+DORA stellt klare Anforderungen an das Management des IKT-Drittparteienrisikos und die vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, die von Finanzunternehmen beachtet werden müssen. Mit Ausnahme von Kleinstunternehmen haben Finanzunternehmen die Pflicht, eine Strategie zum Management des IKT-Drittparteienrisikos zu entwickeln und regelmäßig zu überprüfen. Diese Strategie umfasst Leitlinien für die Nutzung von IKT-Drittdienstleistungen, die dazu dienen, das Risiko, das durch externe Dienstleister entsteht, effektiv zu steuern. Die Europäische Aufsichtsbehörde (ESA) hat hierzu technische Regulierungsstandards (RTS) veröffentlicht, welche den detaillierten Inhalt dieser Leitlinien spezifizieren.<ref>https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora</ref>
 ==== Informationsregister ====
@@ Zeile 111: / Zeile 111: @@
 * Datenschutz und Informationssicherheit sind eng miteinander verknüpfte Konzepte, die gemeinsam gedacht werden müssen. Jede Maßnahme, wie zB Monitoring und Logging, muss auch in Bezug auf Datenschutzanforderungen betrachtet werden. Art 88 der DSGVO betont den Schutz der Würde des Menschen am Arbeitsplatz, was insbesondere bei eingriffsintensiven Technologien wie KI-gestütztem Anomalie-Monitoring relevant ist. Der Einsatz von KI-Systemen zur Erkennung und Meldung von Anomalien nimmt zu, was potenziell tiefere Eingriffe in den Datenschutz von Mitarbeiterdaten bedeutet. Dies muss im Sinne der DSGVO und DORA sorgfältig abgewogen werden.
 * Normen wie ISO 27001 und ÖNORM A 2017:2023:06:01 vereinen Datenschutz und Datensicherheit und ist ein geeigneter Anknüpfungspunkt für die Umsetzung von DORA. Sie können konzeptionell in Verbindung mit den entsprechenden DORA-Normen als Umsetzungsstruktur integriert werden.
 == Konsequenzen/Strafen ==
-{{highlight|Platzhalter bitte befüllen}}
+DORA sieht strenge Bußgelder und Strafen für Verstöße vor, um die digitale Betriebsstabilität im Finanzsektor zu gewährleisten:
 == Weiterführende Literatur ==