Mit DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) hat die EU einen umfassenden rechtlichen Rahmen geschaffen, um die digitale Widerstandsfähigkeit von Finanzunternehmen und betroffenen Drittdienstleistern in Europa zu stärken. Jetzt drängt die Zeit zum Handeln.

Obwohl DORA (Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors) bereits Anfang 2023 in Kraft getreten ist, müssen betroffene Unternehmen spätestens ab dem 17. Januar 2025 die strikten Vorschriften befolgen. „Die DORA-Verordnung setzt neue Maßstäbe für die Sicherheit und Stabilität im europäischen Finanzmarkt. Unternehmen, die sich nicht rechtzeitig mit den Anforderungen auseinandersetzen, riskieren erhebliche Sanktionen und Gefährdung ihrer Geschäftsmodelle“, erklärt Peter Wagesreiter, Rechtsexperte und Partner bei HSP.law.

Gegen Cyberangriffe

Die Verordnung zielt darauf ab, Risiken im Bereich der Informations- und Kommunikationstechnologien (IKT) einzudämmen, um den europäischen Finanzmarkt besser vor Cyberangriffen zu schützen. Dies umfasst nicht nur Banken und Wertpapierfirmen, sondern auch Zahlungs- und E-Geldinstitute sowie Anbieter von Krypto-Dienstleistungen und IKT-Drittdienstleister. Diese Unternehmen unterliegen strengen Governance- und Kontrollpflichten, um die Stabilität ihrer digitalen Systeme zu gewährleisten.

„Ein zentrales Element der DORA-Verordnung ist das IKT-Risikomanagement, welches eine kontinuierliche Überprüfung und Weiterentwicklung von Strategien, Richtlinien und Tools erfordert. Das Leitungsorgan eines Unternehmens trägt dabei eine erhebliche Verantwortung“, betont Wagesreiter. „Besonders wichtig ist es, dass regelmäßige Schulungen zu IKT-Risiken durchgeführt werden, damit das Management die Auswirkungen auf die Geschäftsfähigkeit ihres Unternehmens versteht und entsprechend handeln kann.“

Störungen melden

Neben der Verpflichtung zur Identifikation und Bewertung von IKT-Risiken müssen Finanzunternehmen künftig auch schwerwiegende IKT-bezogene Vorfälle an eine nationale Behörde melden. „Diese Meldepflicht stellt sicher, dass die Behörden über potenziell systemrelevante Störungen informiert sind und entsprechende Maßnahmen ergreifen können“, so Wagesreiter. „Für Unternehmen bedeutet dies jedoch auch, dass sie bereits jetzt klare Verfahren zur Klassifizierung und Kommunikation solcher Vorfälle entwickeln müssen.“

Das nationale DORA-Vollzugsgesetz, das die effektive Anwendung der Verordnung in Österreich sicherstellen soll, wird voraussichtlich die Finanzmarktaufsicht (FMA) als zuständige Behörde festlegen und deren Aufsichts- und Sanktionsbefugnisse erweitern. Zudem wird eine Erweiterung des Anwendungsbereichs der DORA-Verordnung auf nationale Institute, die bislang nicht erfasst waren, angestrebt.

Zeit zu handeln

„Die Übergangszeit mag lang erscheinen, aber der 17. Januar 2025 kommt schneller, als man denkt. Unternehmen sollten sich so schnell wie möglich mit den Anforderungen der DORA-Verordnung auseinandersetzen und die notwendigen Implementierungsschritte in die Wege leiten. Eine frühzeitige Vorbereitung ist der Schlüssel, um den neuen Herausforderungen erfolgreich zu begegnen“, rät Wagesreiter abschließend.

HSP.law/HK