Digital Operational Resilienec Act (DORA): Unterschied zwischen den Versionen
| Zeile 70: | Zeile 70: | ||
==== IKT-bezogene Vorfälle ==== | ==== IKT-bezogene Vorfälle ==== | ||
Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kund*innen betreffen, müssen die Finanzunternehmen ihre Kund*innen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf | Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders '''schwerwiegende''' IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kund*innen betreffen, müssen die Finanzunternehmen ihre Kund*innen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als '''erheblich''' einzustufen sind, müssen ebenfalls erfasst werden und können auf freiwilliger Basis gemeldet werden. | ||
Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten Standardvorlagen durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS-2-Richtlinie. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig. | Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten Standardvorlagen durchzuführen.<ref>''European Banking Authority'', Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).</ref> Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS-2-Richtlinie. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig. | ||
| Zeile 90: | Zeile 90: | ||
Vor Abschluss eines Vertrags mit einem IKT-Drittdienstleister müssen Finanzunternehmen eine Risikoanalyse durchführen, die die Kriterien von Art. 28 Abs. 4 und 5 DORA berücksichtigt. Während der Vertragsverhandlungen müssen sie sicherstellen, dass Audit-Frequenzen und zu prüfende Bereiche festgelegt werden, um die Kontrolle über kritische Systeme zu wahren. Des Weiteren sind vertragliche Kündigungsrechte sowie angemessene Ausstiegsstrategien für den Fall einer Beendigung der Vertragsbeziehung festzulegen, insbesondere bei kritischen oder wichtigen Funktionen. | Vor Abschluss eines Vertrags mit einem IKT-Drittdienstleister müssen Finanzunternehmen eine Risikoanalyse durchführen, die die Kriterien von Art. 28 Abs. 4 und 5 DORA berücksichtigt. Während der Vertragsverhandlungen müssen sie sicherstellen, dass Audit-Frequenzen und zu prüfende Bereiche festgelegt werden, um die Kontrolle über kritische Systeme zu wahren. Des Weiteren sind vertragliche Kündigungsrechte sowie angemessene Ausstiegsstrategien für den Fall einer Beendigung der Vertragsbeziehung festzulegen, insbesondere bei kritischen oder wichtigen Funktionen. | ||
'''Praxistipp:''' Mittelständische Unternehmen sollten Musterverträge vorbereiten, um die | '''Praxistipp:''' Mittelständische Unternehmen sollten Musterverträge vorbereiten, um die Anforderungen an Drittdienstleister klar zu regeln. Viele KMUs verfügen nicht über zentrale Vertragswerke, was die Umsetzung erschwert. | ||
Darüber hinaus sieht DORA in Art. 30 spezielle Vertragsbedingungen für die Vergabe von Unteraufträgen durch IKT-Drittdienstleister vor, welche ebenfalls in den technischen Standards der ESA spezifiziert sind. Diese Vorschriften regeln unter anderem die Zulässigkeit der Unterauftragsvergabe sowie die dafür geltenden Kriterien. IKT-Dienstleister fallen vollständig unter die DORA-Verordnung. | Darüber hinaus sieht DORA in Art. 30 spezielle Vertragsbedingungen für die Vergabe von Unteraufträgen durch IKT-Drittdienstleister vor, welche ebenfalls in den technischen Standards der ESA spezifiziert sind. Diese Vorschriften regeln unter anderem die Zulässigkeit der Unterauftragsvergabe sowie die dafür geltenden Kriterien. IKT-Dienstleister fallen vollständig unter die DORA-Verordnung. | ||
==== Überwachung ==== | ==== Überwachung ==== | ||
Die Überwachung von IKT-Drittdienstleistern erfolgt durch die ESA, welche nach Art. 31 Abs. 2 DORA die Drittdienstleister als „kritisch“ einstufen können. Für jeden als kritisch eingestuften IKT-Drittdienstleister wird eine federführende Überwachungsbehörde ernannt, die über weitreichende Befugnisse verfügt. Dazu zählen das Recht auf Informationsanforderungen, Inspektionen und das Aussprechen von Empfehlungen hinsichtlich der Sicherheitsanforderungen und der Unterauftragsvergabe. IKT-Drittdienstleistern können auch zentral geprüft werden . Es stellt sich die Frage, welche Behörde in Österreich diese Prüfungen durchführen wird (evtl. Finanzmarktaufsicht, FMA). '''Praxistipp:''' Sofern zentrale Prüfungen großer IKT-Dienstleister erfolgen, können sich Unternehmen auf diese Prüfungsergebnisse verlassen und eigene dezentrale Prüfungen minimalhalten. | Die Überwachung von IKT-Drittdienstleistern erfolgt durch die ESA, welche nach Art. 31 Abs. 2 DORA die Drittdienstleister als „kritisch“ einstufen können. Für jeden als kritisch eingestuften IKT-Drittdienstleister wird eine federführende Überwachungsbehörde ernannt, die über weitreichende Befugnisse verfügt. Dazu zählen das Recht auf Informationsanforderungen, Inspektionen und das Aussprechen von Empfehlungen hinsichtlich der Sicherheitsanforderungen und der Unterauftragsvergabe. IKT-Drittdienstleistern können auch zentral geprüft werden . Es stellt sich die Frage, welche Behörde in Österreich diese Prüfungen durchführen wird (evtl. Finanzmarktaufsicht, FMA). | ||
'''Praxistipp:''' Sofern zentrale Prüfungen großer IKT-Dienstleister erfolgen, können sich Unternehmen auf diese Prüfungsergebnisse verlassen und eigene dezentrale Prüfungen minimalhalten. | |||
=== Informationsaustausch === | === Informationsaustausch === | ||
Version vom 6. Februar 2025, 16:43 Uhr
 Verordnung (EU) 2022/2554 | |
|---|---|
| Titel: | Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 |
| Kurztitel: | Digital Operational Resilienec Act |
| Bezeichnung: (nicht amtlich) |
DORA |
| Geltungsbereich: | EWR |
| Rechtsmaterie: | Binnenmarkt, Cybersicherheit |
| Grundlage: | AEUV, insbesondere Art. 114 |
| Anzuwenden ab: | 17. Januar 2025 |
| Fundstelle: | ABl L 2022/333, 1 |
| Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
| Regelung ist in Kraft getreten und anwendbar. | |
| Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union | |
Kurzübersicht
| Ziele | Anwendungsbereich | Inhalt | Synergie | Konsequenzen |
|---|---|---|---|---|
| Operationale Resilienz im Finanzsektor stärken | Finanzunternehmen | Management von IKT- Risiken und Vorfällen | NIS II-RL | National festgelegte Verwaltungsstrafen gegen Finanzunternehmen[1] |
| IKT-Dienstleister | Prüfung digitaler Betriebsstbilität | DSGVO | Geldstrafe von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes gegen Drittdienstleister | |
| Lieferkettenmanagement | Veröffentlichung von Strafen | |||
| Informationsaustausch |
Einführung
Die DORA-Verordnung (Digital Operational Resilience Act) ist eine umfassende Regelung zur digitalen Resilienz, die speziell für den Finanzsektor der Europäischen Union entwickelt wurde. Sie ergänzt bestehende Regelungen und baut auf bekannten Konzepten wie Informationssicherheit, Datenschutz und Risikomanagement auf, um die Widerstandsfähigkeit gegenüber IKT-Risiken zu stärken.
Gleichzeitig mit DORA wurde die Richtlinie 2022/2554 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („DORA-RL“) sowie Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen welche einzelne Anpassungen von mehreren Richtlinien, vorsieht. Die ab dem 17.1.2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Die Delegierte Verordnung (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.
Im Verhältnis zur NIS-II-Richtlinie nimmt DORA eine besondere Stellung ein, da sie gemäß EG 16 DORA als lex specialis gilt und somit Vorrang vor NIS II-RL hat. Diese Vorrangstellung von DORA bedeutet, dass für Finanzunternehmen primär die DORA-Vorschriften maßgeblich sind. In Bereichen, in denen NIS II-RL spezifischere Regelungen als DORA vorsieht, gelten diese NIS-II-Vorschriften ergänzend zu DORA. Die Umsetzung von DORA und NIS-II hat auch Auswirkungen auf nationale Regularien und Anforderungsvorgaben. Bestehende nationale Vorschriften (Oktober 2024 ist die NIS II-RL in Österreich noch nicht umgesetzt), sie diese beachtlich.
Anwendungsbereich
Persönlicher / Sachlicher Anwendungsbereich
DORA ist auf in Art. 2 Abs. 1 lit. a bis t DORA angeführte Tätigkeitsbereiche (sog. „Finanzunternehmen“) anwendbar. Hierzu zählen (a) Kreditinstitute, (b) Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, (c) Kontoinformationsdienstleister, (d) E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute, (e) Wertpapierfirmen, (f) Anbieter von Krypto-Dienstleistungen, die gemäß der sogenannten „Verordnung über Märkte von Krypto-Werten“ zugelassen sind, und Emittenten wertreferenzierter Token, (g) Zentralverwahrer, (h) zentrale Gegenparteien, (i) Handelsplätze, (j) Transaktionsregister, (k) Verwalter alternativer Investmentfonds, (l) Verwaltungsgesellschaften, (m) Datenbereitstellungsdienste, (n) Versicherungs- und Rückversicherungsunternehmen, (o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, (p) Einrichtungen der betrieblichen Altersversorgung, (q) Ratingagenturen, (r) Administratoren kritischer Referenzwerte, (s) Schwarmfinanzierungsdienstleister und (t) Verbriefungsregister.
Darüber hinaus sind Unternehmen erfasst, die IT-Leistungen an Finanzunternehmen erbringen (sog. „IKT-Drittdienstleister“), wie etwa Cloud-Anbieter.
Ausnahmen
Außerhalb des Anwendungsbereichs stehen zudem gemäß Art. 2 Abs. 3 (a) Verwalter alternativer Investmentfonds im Sinne von Art. 3 Abs. 2 der Richtlinie 2011/61/EU, (b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Art. 4 der Richtlinie 2009/138/EG, (c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben, (d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen, (e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sowie (f) Postgiroämter im Sinne von Art. 2 Abs. 5 Nr. 3 der Richtlinie 2013/36/EU.
Weitreichende Ausnahmen von den Verpflichtungen bestehen für Kleinstunternehmen (d.h. Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet).
DORA betrifft alle Finanzinstitute, wenn sie in den Anwendungsbereich fallen, unabhängig von ihrer Größe oder Struktur. Eine Einschränkung des Scopes auf lokaler Ebene ist nicht möglich. Die Begriffsdefinitionen, z.B. "kritische Dienste" und "wesentliche Dienste", können nicht modifiziert werden. Wenn ein Unternehmen betroffen ist, dann in seiner Gesamtheit, einschließlich etwaiger Tochtergesellschaften oder Nebentätigkeiten (theoretisch auch der Betriebskindergärten).
Territorialer Anwendungsbereich
Der territoriale Anwendungsbereich der Digital Operational Resilience Act (DORA) umfasst primär alle Finanzunternehmen und relevante IKT-Dienstleister, die in der Europäischen Union tätig sind. Zusätzlich zu den in der EU ansässigen Finanzunternehmen und IKT-Dienstleistern betrifft DORA auch Niederlassungen und Tochtergesellschaften von EU-Finanzunternehmen, die sich außerhalb der Union befinden, sofern diese Niederlassungen und Tochtergesellschaften Dienstleistungen in die EU erbringen. So soll die operationelle Resilienz des Finanzsektors in der gesamten Union sichergestellt werden, auch bei Abhängigkeiten von globalen Anbietern oder internationalen Tochtergesellschaften.
Zentrale Inhalte
Management von IKT - Risiken und Vorfällen
IKT-Risiken
Nach der Digital Operational Resilience Act (DORA) sind Finanzunternehmen verpflichtet, einen umfassenden internen Governance- und Kontrollrahmen für das Management von Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu etablieren. Dieser Rahmen muss regelmäßig überprüft und dokumentiert werden, wobei für Kleinstunternehmen lediglich eine regelmäßige Überprüfung ausreicht. Ziel ist es, IKT-Risiken wirksam zu begegnen. Die spezifischen Anforderungen an das IKT-Risikomanagement sind in Art. 5 Abs. 2 DORA festgelegt. Die Verantwortung für die Definition, Genehmigung und Überwachung des IKT-Risikomanagements liegt beim Leitungsorgan des jeweiligen Finanzunternehmens, das auch für die Umsetzung der Maßnahmen verantwortlich ist. Finanzunternehmen, die nicht als Kleinstunternehmen eingestuft sind, haben zusätzlich eine unabhängige Kontrollfunktion einzurichten, um die Überwachung und das Management von IKT-Risiken sicherzustellen.
Ein zentraler Aspekt der DORA ist die Verantwortung des Leitungsorgans (z.B. Vorstand) für die digitale Resilienz. Das Business Continuity Management (BCM) ist dabei das wichtigste Einfallstor für die operative Umsetzung dieser Verantwortung. DORA fordert, dass das Leitungsorgan selbst die notwendigen Sachkenntnisse besitzen muss und die nicht mehr rigoros delegieren darf. Dies könnte zu strukturellen Veränderungen in der Unternehmensführung führen, z.B. durch die Einbindung eines CIO oder CTO auf Vorstandsebene.
IKT-bezogene Vorfälle
Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders schwerwiegende IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kund*innen betreffen, müssen die Finanzunternehmen ihre Kund*innen unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als erheblich einzustufen sind, müssen ebenfalls erfasst werden und können auf freiwilliger Basis gemeldet werden.
Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden mehrere technische Regulierungsstandards veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Meldung und Einstufung über IKT-bezogene Vorfälle ist mithilfe der harmonisierten Standardvorlagen durchzuführen.[2] Die zuständigen Behörden, an die gemeldet werden muss, unterscheiden sich von denen der NIS-2-Richtlinie. Eine klare Festlegung und unternehmensinterne Kommunikation der Meldepflichten und der empfangenden Stellen ist wichtig.
Prüfung digitaler Betriebsstabilität
Bedeutende Finanzunternehmen haben verpflichtend so Threat Led Penetration Tests durchzuführen. Diese – auch in der Produktionsumgebung durchgeführten – Tests zielen auf die Kern-IT-Systeme des Unternehmens ab. So können Verpflichtete Schwächen, Mängel und Lücken in der digitalen operationellen Resilienz zu identifizieren und unverzüglich Korrekturmaßnahmen zu ergreifen. Die Tests müssen von unabhängigen Parteien durchgeführt werden, um eine objektive Bewertung sicherzustellen. Dabei sind die Tests mindestens einmal jährlich bei den IKT-Systemen oder Anwendungen durchzuführen, die kritische oder wichtige Funktionen unterstützen. Hierbei wird darauf geachtet, dass die Resilienz in diesen Schlüsselbereichen kontinuierlich sichergestellt wird.
DORA spezifiziert in Art. 25 Abs. 1 verschiedene Arten von Tests, die in Betracht gezogen werden können, darunter Simulationen, Red Teaming oder Penetrationstests. Zusätzlich sind bestimmte Finanzunternehmen nach Art. 26 DORA verpflichtet, mindestens alle drei Jahre Threat-Led Penetration Tests (TLPT) durchzuführen, bei denen gezielt realistische Bedrohungsszenarien simuliert werden. Diese Tests sollen sicherstellen, dass Schwachstellen, die durch herkömmliche Sicherheitsmaßnahmen nicht entdeckt werden, aufgedeckt werden.
Die spezifischen Anforderungen und Elemente dieser TLPT sind in den von den Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA (zusammen die „ESA“)) veröffentlichten technischen Regulierungsstandards (RTS) festgelegt. Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER-EU (Threat Intelligence-Based Ethical Red Teaming“) welcher in Österreich durch TIBER-AT umgesetzt.
Lieferkettenmanagement
DORA stellt klare Anforderungen an das Management des IKT-Drittparteienrisikos und die vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, die von Finanzunternehmen beachtet werden müssen. Mit Ausnahme von Kleinstunternehmen haben Finanzunternehmen die Pflicht, eine Strategie zum Management des IKT-Drittparteienrisikos zu entwickeln und regelmäßig zu überprüfen. Diese Strategie umfasst Leitlinien für die Nutzung von IKT-Drittdienstleistungen, die dazu dienen, das Risiko, das durch externe Dienstleister entsteht, effektiv zu steuern. Die Europäische Aufsichtsbehörde (ESA) hat hierzu technische Regulierungsstandards (RTS) veröffentlicht, welche den detaillierten Inhalt dieser Leitlinien spezifizieren.[3]
Informationsregister
Ein wesentlicher Bestandteil der Anforderungen ist, dass Finanzunternehmen ein stets aktuelles Informationsregister führen müssen, welches Informationen zu allen ausgelagerten IKT-Prozessen enthält. Dieses Register beinhaltet die entsprechenden vertraglichen Vereinbarungen sowie die Einordnung der Prozesse als kritisch oder nicht kritisch. Auf Anfrage müssen diese Informationen den zuständigen Behörden zur Verfügung gestellt werden. Außerdem müssen Finanzunternehmen jährlich Bericht erstatten über die Anzahl neuer Vereinbarungen mit IKT-Drittdienstleistern, die bereitgestellten Dienstleistungen und Funktionen sowie über die Art der vertraglichen Vereinbarungen. Finanzunternehmen sind außerdem verpflichtet, geplante neue Vereinbarungen bezüglich kritischer Funktionen oder Veränderungen des Status einer Funktion als „kritisch“ den Behörden zeitnah zu melden.
Verträge
Vor Abschluss eines Vertrags mit einem IKT-Drittdienstleister müssen Finanzunternehmen eine Risikoanalyse durchführen, die die Kriterien von Art. 28 Abs. 4 und 5 DORA berücksichtigt. Während der Vertragsverhandlungen müssen sie sicherstellen, dass Audit-Frequenzen und zu prüfende Bereiche festgelegt werden, um die Kontrolle über kritische Systeme zu wahren. Des Weiteren sind vertragliche Kündigungsrechte sowie angemessene Ausstiegsstrategien für den Fall einer Beendigung der Vertragsbeziehung festzulegen, insbesondere bei kritischen oder wichtigen Funktionen.
Praxistipp: Mittelständische Unternehmen sollten Musterverträge vorbereiten, um die Anforderungen an Drittdienstleister klar zu regeln. Viele KMUs verfügen nicht über zentrale Vertragswerke, was die Umsetzung erschwert.
Darüber hinaus sieht DORA in Art. 30 spezielle Vertragsbedingungen für die Vergabe von Unteraufträgen durch IKT-Drittdienstleister vor, welche ebenfalls in den technischen Standards der ESA spezifiziert sind. Diese Vorschriften regeln unter anderem die Zulässigkeit der Unterauftragsvergabe sowie die dafür geltenden Kriterien. IKT-Dienstleister fallen vollständig unter die DORA-Verordnung.
Überwachung
Die Überwachung von IKT-Drittdienstleistern erfolgt durch die ESA, welche nach Art. 31 Abs. 2 DORA die Drittdienstleister als „kritisch“ einstufen können. Für jeden als kritisch eingestuften IKT-Drittdienstleister wird eine federführende Überwachungsbehörde ernannt, die über weitreichende Befugnisse verfügt. Dazu zählen das Recht auf Informationsanforderungen, Inspektionen und das Aussprechen von Empfehlungen hinsichtlich der Sicherheitsanforderungen und der Unterauftragsvergabe. IKT-Drittdienstleistern können auch zentral geprüft werden . Es stellt sich die Frage, welche Behörde in Österreich diese Prüfungen durchführen wird (evtl. Finanzmarktaufsicht, FMA).
Praxistipp: Sofern zentrale Prüfungen großer IKT-Dienstleister erfolgen, können sich Unternehmen auf diese Prüfungsergebnisse verlassen und eigene dezentrale Prüfungen minimalhalten.
Informationsaustausch
Die Vorgaben des Digital Operational Resilience Act (DORA) ermöglichen es Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander – innerhalb vertrauenswürdiger Gemeinschaften und unter Wahrung der Vertraulichkeit potenziell sensibler Informationen – auszutauschen. Dies trägt zur Schärfung des Bewusstseins bei und verstärkt die Fähigkeit, reale informations- und kommunikationstechnologische Vorfälle zu verhindern bzw. deren Auswirkungen wirksamer einzudämmen. Dieser Informationsaustausch wird durch die DORA-Verordnung (DORA-VO) ermöglicht und erfolgt freiwillig. Bei Teilnahme oder Beendigung einer solchen Vereinbarung, erfolgt eine diesbezügliche Meldung an die FMA.[4]
Fallbeispiele
Anwendungsbereich: Eine Bank kauft das Core-Banking-System von einem externen Dienstleister ein und verwaltet nur das Vertragsmanagement. Hier muss die Bank dennoch sicherstellen, dass die Anforderungen der DORA erfüllt werden, sowohl hinsichtlich des Risikomanagements als auch des Lieferkettenmanagements.
In Unternehmen mit einer zentralisierten IT-Governance, wie z.B. Holding-Strukturen, stellt sich die Frage, wie die Governance optimal gestaltet und eingebunden werden kann. Hierzu müssen zentrale Weisungen klar formuliert und durchgesetzt werden. Dies betrifft sowohl operative Einheiten als auch die Gesamtorganisation.
Synergien
Datenschutz
- Datenschutz und Informationssicherheit sind eng miteinander verknüpfte Konzepte, die gemeinsam gedacht werden müssen. Jede Maßnahme, wie zB Monitoring und Logging, muss auch in Bezug auf Datenschutzanforderungen betrachtet werden. Art 88 der DSGVO betont den Schutz der Würde des Menschen am Arbeitsplatz, was insbesondere bei eingriffsintensiven Technologien wie KI-gestütztem Anomalie-Monitoring relevant ist. Der Einsatz von KI-Systemen zur Erkennung und Meldung von Anomalien nimmt zu, was potenziell tiefere Eingriffe in den Datenschutz von Mitarbeiter*innendaten bedeutet. Dies muss im Sinne der DSGVO und DORA sorgfältig abgewogen werden.
- Normen wie ISO 27001 und ÖNORM A 2017:2023:06:01 vereinen Datenschutz und Datensicherheit und ist ein geeigneter Anknüpfungspunkt für die Umsetzung von DORA. Sie können konzeptionell in Verbindung mit den entsprechenden DORA-Normen als Umsetzungsstruktur integriert werden.
NIS II
Die unter DORA entwickelten Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) bieten wertvolle Ansatzpunkte für die Umsetzung der NIS-II-Richtlinie:
Risikomanagement: Die RTS zu IKT-Risikomanagement unter DORA können als Vorlage für die Implementierung ähnlicher Frameworks unter NIS-II dienen.
Incident Reporting: Die ITS zu Meldepflichten bei schwerwiegenden Vorfällen bieten standardisierte Vorlagen, die auch für NIS-II-pflichtige Unternehmen adaptierbar sind.
Drittanbieter-Management: DORA's RTS zur Nutzung von IKT-Diensten und Unterauftragsvergabe können als Best Practices für das Lieferkettenrisikomanagement unter NIS-II genutzt werden.
Penetrationstests: Der RTS zu Threat-Led Penetration Tests (TLPT) unter DORA bietet detaillierte Vorgaben, die auch für kritische Infrastrukturen im Rahmen von NIS-II relevant sind.
- RTS zum IKT-Risikomanagement (Art 15, Art. 16 Abs 3)
- RTS zur Klassifizierung von IKT-bezogenen Vorfällen (Art 18 Abs 3)
- RTS zu vertraglichen Vereinbarungen mit IKT-Drittdienstleistern (Art. 28.10)
- ITS zum Informationsregister (Art. 29 Abs 9)
- RTS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art 20a)
- ITS zur Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen (Art 20b)
- RTS zum Threat-Led Penetration Testing (Art 26 Abs 11)
- RTS für die Harmonisierung von Überwachungstätigkeiten (Art 41 Abs 1)
- RTS zur Festlegung der Kriterien für die Zusammensetzung des Joint Examination Teams (Art 41 Abs 1c)
Konsequenzen/Strafen
DORA sieht strenge Bußgelder und Strafen für Verstöße vor, um die digitale Betriebsstabilität im Finanzsektor zu gewährleisten:
- Finanzinstitute: National determinirt, in Österreich bis 500.000 oder biszu 1% des weltweiten Jahresumsatzes (DORA-VG)
- Kritische IKT-Drittanbieter: Bis zu 1% des weltweiten Jahresumsatzes
Administrative Maßnahmen
- Lizenzentzug oder -aussetzung (Art 50)
- Verpflichtende Korrekturmaßnahmen (Art 50)
Strafrechtliche Konsequenzen
- Mögliche strafrechtliche Verfolgung von Führungskräften bei grober Fahrlässigkeit (Art 11)
- Nationale Bestimmungen können Haftstrafen vorsehen (Art 52)
Weiterführende Literatur
- Škorjanc, Digital Operational Resilience Act, ÖBA 2023, 658
- Siglmüller, Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen?, ZfPC 2023, 221
Einzelnachweise
- ↑ DORA-Vollzugsgesetz (DORA-VG) https://www.parlament.gv.at/gegenstand/XXVII/I/2596
- ↑ European Banking Authority, Joint Technical Standards on major incident reporting, https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-technical-standards-major-incident-reporting (abgerufen 22. 1. 2025).
- ↑ https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora
- ↑ FMA, DORA – Informationsaustausch und Notfallübungen, https://www.fma.gv.at/querschnittsthemen/dora/dora-informationsaustausch-und-notfalluebungen/ (abgerufen 22. 1. 2025).
