EU-Verordnung für Cyber- und IKT-Sicherheit Finanzmarktaufsicht in Österreich mahnt: Rechtzeitig auf DORA vorbereiten!

Anbieter zum Thema

Fsas Technologies GmbH

FTAPI Software GmbH

Vor wenigen Wochen hat das fehlerhafte Update der „Crowdstrike“-Software eine weltweite Krise ausgelöst. Ein Vorfall, der dramatisch vor Augen geführt hat, dass nicht nur bösartige Hackerattacken oder gefährliche Computerviren ein gravierendes IT- und System-Risiko darstellen können, sondern sogar einfache Produktmängel.

Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act oder kurz DORA), die ab dem 17. Januar 2025 natürlich auch in Österreich anzuwenden ist, adressiert genau derartige Risiken, rückt die Informations- und Kommunikationstechnologien (IKT) in den regulatorischen Fokus und stärkt die Widerstandsfähigkeit der europäischen Finanzunternehmen und des gesamten Finanzmarkts gegenüber Cyber-Risiken und IKT-bedingten Betriebsstörungen. Überdies bezieht sie erstmals auch IKT-Drittanbieter, die als kritisch eingestuft werden, in den neuen Überwachungsrahmen ein.

Windows-Rechner betroffen

Computerpanne löst weltweit Probleme aus

„DORA ist ein ambitionierter regulatorischer Rahmen, der grundlegende und weitreichende Neuerungen mit sich bringt. Die betroffenen Finanzdienstleister und Drittanbieter müssen in den nächsten Wochen und Monaten die Vorbereitung auf das neue Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in vollem Umfang anwendbar“, so der Vorstand der österreichischen Finanzmarktaufsichtsbehörde (FMA), Helmut Ettl und Eduard Müller.

Die FMA hat daher heute einen eigenen DORA-Bereich auf ihrer Website online gestellt, auf dem alle einschlägigen Regularien und Anforderungen zusammengefasst und die wesentlichen Informationen allgemein verständlich aufbereitet sind. Dort sind etwa auch die technischen Regulierungs- und Durchführungsstandards, die größtenteils bereits erarbeitet sind, im Detail dargestellt und erklärt. Überdies werden häufig gestellte Fragen in einem umfangreichen Q&A-Format beantwortet und allgemein verständlich erläutert.

DORA – neue und strenge Regeln, neue überwachte Unternehmen

Das umfangreiche Regulierungspaket DORA schließt bestehende Lücken in der Gesetzgebung für Finanzdienstleister, konsolidiert das bislang über verschiedene Bereiche verstreute Regelwerk und implementiert weitreichende Berichts-, Informations- und Überwachungspflichten.

So verpflichtet DORA betroffene Finanzunternehmen und Drittanbieter dazu, zahlreiche Maßnahmen zu ergreifen und Vorgänge zu beachten:

• etwa einen IKT-Risikomanagementrahmen sowie ein Business Continuity Management zu implementieren;

• zahlreichen Berichtspflichten, insbesondere zu Verträgen mit Drittanbietern von IKT-Dienstleistungen oder auch von IKT-Vorfällen, nachzukommen;

• die digitale Betriebsstabilität regelmäßig zu testen (auch durch zentral gesteuerte bedrohungsorientierte Penetrationstests);

• IKT-Drittdienstleister-Risiken zu steuern und zu überwachen sowie

• einen regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen zu institutionalisieren.

Mit dem Stichtag der gesetzlich verpflichtenden Anwendung von DORA müssen bereits alle Verträge mit IKT-Drittanbietern den neuen regulatorischen Anforderungen entsprechen. Unternehmen aus Österreich müssen der FMA unverzüglich ein Informationsregister zu allen Verträgen mit IKT-Drittdienstleistern übermitteln. Auch schwerwiegende Cyber-Vorfälle und IKT-bedingte Betriebsstörungen sind dann innerhalb der vorgesehenen Fristen der FMA zu melden (in Deutschland ist die Finanzaufsicht BaFin der Meldehub).

BaFin definiert neue Cloud-Anforderungen

Was Finanzdienstleister bei der Cloud-Auslagerung beachten müssen

DORA betrifft im Wesentlichen alle Finanzmarktsektoren, wenngleich bei der Anwendung das jeweilige Risikoprofil zu berücksichtigen ist. Um das breite Spektrum der Vernetzungen mit Anbietern technologischer Lösungen (Rechenzentren, Cloud-Dienstleister, Softwareentwickler, Datenanalysten etc.) in die Aufsicht effizient einzubeziehen, wird ein europäisches Überwachungsregime für kritische IKT-Dienstleister geschaffen. Dies erfordert neue Strukturen in und Kommunikationsschnittstellen zwischen den zahlreichen beteiligten Akteuren (z.B. beaufsichtigte Unternehmen, nationale und europäische Behörden).

„Die FMA hat bereits vor geraumer Zeit einen Aufsichtsschwerpunkt auf die Herausforderungen dieser neuen Regulierung gelegt und begleitet die beaufsichtigten Unternehmen wie auch Drittanbieter hier sehr eng,“ so der FMA-Vorstand weiter. So hat die FMA in den vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten entwickelt, die in der „FMA Cyber Security Toolbox“ zusammengefasst sind. In der Analyse zur „Austrian Digital Landscape“ evaluiert und prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Infrastruktur, IKT- Verflechtungen, Maßnahmen zur Prävention und Detektion von Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem österreichischen Finanzmarkt. Überdies bietet die FMA in zahlreichen Veranstaltungen beaufsichtigten Unternehmen und Stakeholdern laufend einen strukturierten Dialog zu allen Fragen betreffend DORA an.

(ID:50209627)