Mit der Verordnung (EU) 2022/2554 über die digitale, operationale Resilienz im Finanzsektor (kurz "DORA") wurde ein umfassender Rahmen zur Stärkung der digitalen Betriebsstabilität geschaffen. Dieser soll Finanzunternehmen und IKT-Drittdienstleister durch zahlreiche Vorgaben gegenüber Cyberbedrohungen und IKT-bedingten Betriebsstörungen widerstandsfähiger machen. Zu diesem Zweck ist die DORA ab 17.1.2025 von über 20.000 Finanzunternehmen und über 15.000 IKT-Drittdienstleister in der EU anzuwenden.
Die DORA sieht für Finanzunternehmen und deren IKT Dienstleister weitreichende regulatorische Neuerungen vor. Dazu zählt eine spürbare Erweiterung der Aufgaben des IKT-Risikomanagements (samt Überwachung der IKT-Drittdienstleister), eine umfassende Behandlung von IKT-Vorfällen sowie detaillierte Instruktionen zu regelmäßigen Testungen der IKT-Systeme. Angesichts dieser Vorgaben ist es umso wichtiger, dass sich Finanzunternehmen und deren IKT-Drittdienstleister für den 17.1.2025 rüsten, um ab diesem Tag DORA-compliant zu sein.
Allzu viel Zeit bleibt für die DORA-Compliance also nicht mehr; was auch dadurch erschwert wird, dass es immer noch an einer klaren Guidance der zuständigen Aufsichtsbehörden sowie den notwendigen Level-2-Rechtsakten (technische Regulierungsstandards und regulatorische Implementierungsstandards) mangelt. Immerhin hat aber der österreichische Gesetzgeber gerade noch rechtzeitig am 18.4.2024 einen Ministerialentwurf zum DORA-Vollzugsgesetz veröffentlicht. Ihre DORDA Experten für DORA sind bereits seit eineinhalb Jahren in zahlreichen Umsetzungsprojekten bei Banken und Versicherungsunternehmen im Einsatz und haben die wesentlichsten Erkenntnisse deshalb gerne knapp zusammengefasst:
Was regelt das DORA-Vollzugsgesetz?
Mit dem DORA-Vollzugsgesetz sollen folgende Klarstellungen getroffen werden:
- Anwendungsbereich der DORA in Bezug auf nationale Finanzunternehmen (Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Zahlungsinstitute, etc);
- Festlegung von Aufsichts- und Sanktionsbefugnissen der FMA zur effektiven Durchsetzung der DORA;
- Regelungen zu den erweiterten Testungen bei Finanzunternehmen; und
- Strafbestimmungen.
Das neue Gesetz beinhaltet auch eine Reihe an Änderungen für nationale Gesetze wie das Bankwesengesetz, Versicherungsaufsichtsgesetz 2016, Wertpapieraufsichtsgesetz 2018, Zahlungsdienstegesetz 2018, etc. Damit soll die Berücksichtigung der DORA-Vorgaben in den jeweiligen nationalen Gesetzen sichergestellt werden. Was mit dem DORA-Vollzugsgesetz allerdings nicht geregelt werden soll, ist der Vollzug der DORA in Bezug auf Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit. Dies wird noch gesondert von den Gewerbebehörden festgelegt und bleibt daher noch offen.
Welche Behörde ist nun in Österreich für DORA zuständig?
Bei Finanzunternehmen ist die FMA die zuständige Behörde für die Überwachung der Einhaltung der DORA (für als bedeutend eingestuften Kreditinstituten übernimmt diese Aufgabe aber die EZB). Dabei kann die FMA auf die Aufsichtsbefugnisse und -mittel, die ihr aufgrund der diversen Aufsichtsgesetzen zur Verfügung stehen, zurückgreifen (ua Anordnungen, öffentliche Bekanntgaben, etc).
Die FMA hat bei der Überwachung der Einhaltung der DORA nicht nur mit der Oesterreichischen Nationalbank, sondern auch mit den Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA), der EZB sowie den Behörden aus Drittstaaten zusammenzuarbeiten. Den Europäischen Aufsichtsbehörden kommt bei der DORA eine besondere Rolle zu: die jeweilige federführende Europäische Aufsichtsbehörde wird in Zukunft auch die direkte Aufsicht über kritische IKT-Drittdienstleister übernehmen.
Welche Strafen sind für Verstöße vorgesehen?
Das DORA-Vollzugsgesetz sieht spezifische Strafbestimmungen bei Verstößen gegen die DORA für natürliche Personen (die zur Vertretung nach außen Berufene bzw verantwortliche Beauftragte nach § 9 Verwaltungsstrafgesetz) und für juristische Personen vor: Für natürliche Personen sind Verwaltungsstrafen von bis zu EUR 150.000 und für juristische Personen sogar von bis zu EUR 500.000 oder bis zu 1 % des jährlichen Gesamtnettoumsatzes (je nachdem welcher Betrag höher ist) vorgesehen (§§ 6 und 7 Entwurf des DORA-Vollzugsgesetzes). Neben diesen Geldstrafen kann die FMA aber auch – wie bereits aus den diversen Aufsichtsgesetzen bekannt – die verhängten Verwaltungsstrafen sowie die davon betroffenen Unternehmen auf ihrer Website veröffentlichen (sog "naming & shaming").
Strafen drohen dabei für eine Vielzahl von Verstößen gegen die DORA wie ua: keine Meldung von IKT-bezogenen Vorfällen und Cyberbedrohungen; keine Durchführung von regelmäßigen Testungen; fehlendes Management des IKT-Drittparteienrisikos sowie fehlende vertragliche Vereinbarungen mit dem IKT-Drittdienstleister, die Art 30 DORA entsprechen.
Fazit – Dringender Handlungsbedarf für regulierte Unternehmen
Aufgrund der Fülle an Neuerungen, die die DORA für Finanzunternehmen und IKT-Drittdienstleister mit sich bringt, ist die Veröffentlichung des Entwurfs des DORA-Vollzugsgesetzes ein Weckruf an diejenigen, die noch keine Vorbereitungshandlungen gesetzt haben. So gilt es neben umfassenden neuen organisatorischen und technischen Maßnahmen auch zahlreiche Verträge zu prüfen, zu überarbeiten und nachzuverhandeln. Dafür sind mittlerweile nur mehr knapp neun Monate Zeit – es ist also allerhöchste Zeit zu starten. Wir unterstützen mit unserer breiten Projekt-, Workshop- und Vortragserfahrung zur DORA gerne umfassend – von der ersten Gap Analyse bis hin zur Überarbeitung bestehender Verträge mit den IKT-Drittdienstleistern.