Mit dem „Digital Operational Resilience Act“ (DORA) will die EU ab Jänner 2025 die digitale Betriebsfähigkeit und Widerstandsfähigkeit des europäischen Finanzsektors auf eine höhere Stufe heben. Dazu werden künftig auch Drittanbieter von Informations- und Kommunikationstechnologien (IKT), die als kritisch eingestuft werden, in den Anwendungsbereich der Finanzmarktaufsicht einbezogen, teilte die FMA mit.
„DORA bringt sehr grundlegende und sehr weitreichende regulatorische Neuerungen. Es ist daher von essenzieller Bedeutung, dass sich die betroffenen Finanzdienstleister und Drittanbieter rechtzeitig auf dieses neue Aufsichtsregime vorbereiten“, betonen die beiden FMA-Vorstände Helmut Ettl und Eduard Müller. In einem Aufsichtsschwerpunkt wird die Behörde die rechtzeitige Vorbereitung des Marktes auf die neue Regulierung monitoren und „beaufsichtigte Unternehmen wie auch Drittanbieter dabei eng begleiten“.
Grundsätzlich verpflichtet DORA Finanzunternehmen und IKT-Drittanbieter zahlreiche digitale Sicherheits- und Berichtspflichten einzuhalten, aber auch einen „IKT-Risikomanagementrahmen“ oder ein „Business Continuity Management“ zu implementieren. Ab 2025 müssen bestimmte Finanzunternehmen in Österreich in simulierten Cyberangriffen, die von sogenannten „ethischen Hackern“ durchgeführt werden sollen, prüfen, ob die IT-Systeme den Bedrohungen aus der digitalen Welt standhalten können. Um das breite Spektrum der Vernetzungen mit Anbietern technologischer Lösungen wie etwa Rechenzentren, Cloud-Dienstleister, Softwareentwickler und Datenanalysten effizient in die Aufsicht einzubeziehen, soll außerdem ein europäisches Überwachungsregime für kritische IKT-Dienstleister geschaffen werden.
Blick auf digitale Landschaft
In Vorbereitung auf die neuen Standards analysiert die FMA bereits die „Austrian Digital Landscape“. Ziel sei es, den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz der Finanzunternehmen zu eruieren. Als Ausgangspunkt werden dabei bereits die DORA-Vorgaben herangezogen. Die Unternehmen sollen dadurch die Möglichkeit bekommen, etwaige Verbesserungen bei der Implementierung der neuen regulatorischen Vorgaben vornehmen zu können, bevor die Vorgaben Anfang 2025 zwingend einzuhalten sind. Überdies kann die FMA auf diese Weise die für den österreichischen Finanzmarkt relevanten IKT-Dienstleister identifizieren.
