FMA
DORA kommt
Nach der „Crowdstrike“-Krise mahnt die FMA Finanzdienstleister und IKT-Anbieter sich rechtzeitig auf DORA vorzubereiten und stellt dazu einen eigenen DORA-Bereich auf ihrer Website online.
„Die betroffenen Finanzdienstleister und Drittanbieter müssen die Vorbereitung auf das neue Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in vollem Umfang anwendbar", sagen Helmut Ettl und Eduard Müller, Vorstand FMA
Bild: ©starline/Freepik
Vor wenigen Wochen hat das fehlerhafte Update der „Crowdstrike“-Software eine weltweite Krise ausgelöst. So mussten etwa Krankenhäuser auf Notbetrieb umstellen, Flugzeuge konnten nicht abheben, Lebensmittelläden schlossen oder Bankomaten fielen aus. Ein Vorfall, der dramatisch vor Augen geführt hat, dass nicht nur bösartige Hackerattacken oder gefährliche Computerviren ein gravierendes IT- und System-Risiko darstellen können, sondern sogar einfache Produktmängel. Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act oder kurz DORA), die ab dem 17. Jänner 2025 anzuwenden ist, adressiert genau derartige Risiken, rückt die Informations- und Kommunikationstechnologien in den regulatorischen Fokus und stärkt die Widerstandsfähigkeit der europäischen Finanzunternehmen und des gesamten Finanzmarkts gegenüber Cyber-Risiken und IKT-bedingten Betriebsstörungen. Überdies bezieht sie erstmals auch IKT-Drittanbieter, die als kritisch eingestuft werden, in den neuen Überwachungsrahmen ein. „DORA ist ein ambitionierter regulatorischer Rahmen, der grundlegende und weitreichende Neuerungen mit sich bringt. Die betroffenen Finanzdienstleister und Drittanbieter müssen in den nächsten Wochen und Monaten die Vorbereitung auf das neue Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in vollem Umfang anwendbar“, so der Vorstand der FMA, Helmut Ettl und Eduard Müller. Die FMA hat daher einen eigenen DORA-Bereich auf ihrer Website online gestellt, auf dem alle einschlägigen Regularien und Anforderungen zusammengefasst und die wesentlichen Informationen allgemein verständlich aufbereitet sind. Dort sind etwa auch die technischen Regulierungs- und Durchführungsstandards, die größtenteils bereits erarbeitet sind, im Detail dargestellt und erklärt. Überdies werden häufig gestellte Fragen in einem umfangreichen Q&A-Format beantwortet und allgemein verständlich erläutert.
Neue und strenge Regeln.
Das umfangreiche Regulierungspaket DORA schließt bestehende Lücken in der Gesetzgebung für Finanzdienstleister, konsolidiert das bislang über verschiedene Bereiche verstreute Regelwerk und implementiert weitreichende Berichts-, Informations- und Überwachungspflichten. So verpflichtet DORA betroffene Finanzunternehmen und Drittanbieter dazu, zahlreiche Maßnahmen zu ergreifen und Vorgänge zu beachten:
etwa einen IKT-Risikomanagementrahmen sowie ein Business Continuity Management zu implementieren
zahlreichen Berichtspflichten, insbesondere zu Verträgen mit Drittanbietern von IKT-Dienstleistungen oder auch von IKT-Vorfällen, nachzukommen
die digitale Betriebsstabilität regelmäßig zu testen (auch durch zentral gesteuerte bedrohungsorientierte Penetrationstests)
IKT-Drittdienstleister-Risiken zu steuern und zu überwachen sowie
einen regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen zu institutionalisieren.
Mit dem Stichtag der gesetzlich verpflichtenden Anwendung von DORA müssen bereits alle Verträge mit IKT-Drittanbietern den neuen regulatorischen Anforderungen entsprechen. Der FMA ist unverzüglich ein Informationsregister zu allen Verträgen mit IKT-Drittdienstleistern zu übermitteln. Auch schwerwiegende Cyber-Vorfälle und IKT-bedingte Betriebsstörungen sind dann innerhalb der vorgesehenen Fristen der FMA zu melden.
DORA betrifft im Wesentlichen alle Finanzmarktsektoren, wenngleich bei der Anwendung das jeweilige Risikoprofil zu berücksichtigen ist. Um das breite Spektrum der Vernetzungen mit Anbietern technologischer Lösungen (Rechenzentren, Cloud-Dienstleister, Softwareentwickler, Datenanalysten etc.) in die Aufsicht effizient einzubeziehen, wird ein europäisches Überwachungsregime für kritische IKT-Dienstleister geschaffen. Dies erfordert neue Strukturen in und Kommunikationsschnittstellen zwischen den zahlreichen beteiligten Akteuren.
FMA begleitet Unternehmen.
„Die FMA hat bereits vor geraumer Zeit einen Aufsichtsschwerpunkt auf die Herausforderungen dieser neuen Regulierung gelegt und begleitet die beaufsichtigten Unternehmen wie auch Drittanbieter hier sehr eng“, so der FMA-Vorstand. So hat die FMA in den vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten entwickelt, die in der „FMA Cyber Security Toolbox“ zusammengefasst sind. In der Analyse zur „Austrian Digital Landscape“ evaluiert und prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Infrastruktur, IKT-Verflechtungen, Maßnahmen zur Prävention und Detektion von Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem österreichischen Finanzmarkt. Überdies bietet die FMA in zahlreichen Veranstaltungen beaufsichtigten Unternehmen und Stakeholdern laufend einen strukturierten Dialog zu allen Fragen betreffend DORA an.
Bilder Helmut Ettl und Eduard Müller: „Die betroffenen Finanzdienstleister und Drittanbieter müssen die Vorbereitung auf das neue Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in vollem Umfang anwendbar.“ Helmut Ettl und Eduard Müller, Vorstand FMA
Aufmacherbild: 17454.jpg
©starline/Freepik