DORA soll digitale Resilienz stärken Die seit 17. Jänner 2025 geltende DORA-Verordnung stellt eine Herausforderung für die betroffenen Finanzunternehmen dar, so viel ist klar. Doch die Stärkung ihrer digitalen Abwehrkräfte ist schlicht eine Notwendigkeit. Viele Aspekte des neuen Regimes waren bereits aus bisherigen Leitfäden, Aufsichtspraktiken etc. bekannt. DORA hat sie allerdings gezielt – und deutlich – erweitert. Die Regeln gelten für Kleinst- wie Großunternehmen. Für die „Kleinen“ bestehen Erleichterungen, die sich mitunter in einem Verhältnismäßigkeitsgrundsatz sowie im sog. „vereinfachten IKT-Risikomanagementrahmen“ widerspiegeln. IKT-Risikomanagement Im Zentrum steht das IKT-Risikomanagement mit klaren Rollen- und Aufgabenverteilungen und mit Strategien, Richtlinien und Verfahren sowie Maßnahmen zur Erkennung, zum Schutz sowie zur Abwehr und Wiederherstellung bei IKT-Störungen. Mitarbeiterschulungen sowie die laufende Überwachung der IKTSysteme bilden weitere zentrale Elemente. Bei all dem wichtig: eine gute Dokumentation. Meldepflicht seit 17. Jänner 2025 Finanzunternehmen haben schwerwiegende IKT-bezogene Vorfälle über eine Plattform der Finanzmarktaufsicht (FMA) zu melden. Was ein „schwerwiegender IKT-bezogener Vorfall“ ist, wird durch bestimmte Kriterien, wie etwa die Kritikalität des betroffenen Dienstes, und durch bestimmte Schwellenwerte definiert. In diesem Zusammenhang ist es wichtig, dass die Unternehmen sämtliche IKT-Risiken analysieren und eine entsprechende Business-Impact-Analyse durchführen, um die Kritikalität der betroffenen Dienste und die weiteren Auswirkungen feststellen zu können. Resilienztests Finanzunternehmen haben ihre Resilienz auch wiederkehrend zu testen und zu diesem Zweck ein entsprechendes Programm zu erstellen. In Hinblick auf die konkrete Ausgestaltung (Art, Umfang und Frequenz der Tests) spielt vor dem Hintergrund der Verhältnismäßigkeit naturgemäß die Größe und die Komplexität des jeweiligen Unternehmens sowie dessen Geschäftstätigkeit eine entscheidende Rolle. Derlei Tests dürfen nur von unabhängigen internen oder externen Prüfern durchgeführt werden. IKT-Drittparteienrisiko Starke Kopfschmerzen bereitet den Firmen das von DORA geforderte Management des IKT-Drittparteienrisikos: DORA gibt umfangreiche Vertragsbestimmungen vor, die in die Verträge mit IKT-Drittdienstleistern aufgenommen werden müssen. Letztere verspüren jedoch nicht selten nur geringe Lust, sich auf vertragliche Änderungen einzulassen. Was aber tun mit einem Dienstleister, der qualitätvolle IT-Leistungen erbringt, sich aber nicht zu vertraglichen Anpassungen bereit erklärt? Eine (gezwungene) Kündigung würde Ziel und Zweck des Regimes praktisch ja geradezu torpedieren. Finanzunternehmen müssen jedenfalls alles Vertretbare tun (und dokumentieren), um die Vertragsbestimmungen durchzusetzen, und müssen ihre Dienstleister diesbezüglich einer Bewertung zuführen. Informationsregister Das jährlich von den Unternehmen an die FMA zu übermittelnde Informationsregister basiert auf den Spezifikationen der Europäischen Aufsichtsbehörden und ist keinesfalls trivial. In dieses sind alle IKT-Drittdienstleister des Finanzunternehmens einzupflegen, und bei der Unterstützung von wichtigen und kritischen Funktionen sind weitergehende Informationen, wie z.B. Subdienstleister, anzuführen. Zusammenfassend: DORA leistet sicherlich einen Beitrag zur Stärkung der digitalen Resilienz im Finanzsektor, aber auch die damit einhergehenden Herausforderungen sind nicht kleinzureden. Letzten Endes befindet man sich, wie bei allen neuen Regelungen, in einem Lernprozess, der – zwischen allen involvierten Parteien – gegenseitiges Verständnis und eine gewisse Portion Geduld erfordert. www.kapitalmarktconsult.at „IKT“ steht für „Informations- und Kommunikationstechnologie“. GASTBEITRAG . Karl Machan, FMA & Günther Ritzinger, KCU Mag. Günther Ritzinger, Gründer und Partner der Kapitalmarkt Consult KCU GmbH Zur Person Karl Machan ist seit 2002 bei der österreichischen Finanzmarktaufsicht (FMA) beschäftigt. Bis 2008 war er als Systemadministrator der FMA tätig. Derzeit ist er Vorortprüfer der Abteilung Wertpapierunternehmen und Crowdfunding- Dienstleister und Experte zum Thema IT-Risikomanagement. Karl Machan, IT-Risikomanagement Experte bei der FMA FOTOS: Archiv 12 . GELD-MAGAZIN – Ausgabe Nr. 2/2025
RkJQdWJsaXNoZXIy MzgxOTU=