DORA: Entwurf zum Vollzugsgesetz liegt vor

Veröffentlicht am von

Digital Operational Resilience Act DORA wird konkreter

DORA, genauer gesagt die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, regelt den Schutz, die Erkennung, Eindämmung und Wiederherstellung von Risiken im Bereich der Informations- und Kommunikationstechnologien (IKT). DORA ist ab 17. Januar 2025 von so gut wie allen europäischen Unternehmen im Finanzsektor (ca. 20.000) und deren IT-Dienstleistern (ca. 15.000) anzuwenden. Ziel ist es, die Resilienz des europäischen Finanzmarktes gegenüber der Bedrohung von Cyberangriffen zu stärken und dadurch zu einem hohen Schutzniveau für Anleger und Verbraucher in der EU beizutragen.

Ebenso wie betroffene Unternehmen sieht auch die Finanzmarktaufsicht den vorgegebenen Gesetzesrahmen von DORA als sehr ambitioniert an. Er enthält weitreichende regulatorische Neuerungen und umfasst neben qualitativen Anforderungen an die IKT-Sicherheit bei den beaufsichtigten Unternehmen (Stichwort IKT-Risikomanagement), die Behandlung von IKT-Vorfällen, Vorgaben zu zentral gesteuerten Resilienz-Tests und ein europäisches Überwachungsregime für kritische IKT-Dienstleister.

Zeit ist knapp, Details fehlen immer noch

Viel Zeit für die Umsetzung bleibt nicht mehr. Erschwert wird die DORA-Compliance auch dadurch, dass – gut 8 Monate vor dem Stichtag – immer noch keine klaren Leitlinien der Aufsichtsbehörden sowie die notwendigen technischen Regulierungs- und Implementierungsstandards vorliegen. Der österreichischen Gesetzgeber hat immerhin den Entwurf zum DORA-Vollzugsgesetz veröffentlicht.

Was regelt das DORA-Vollzugsgesetz?

  • Anwendungsbereich von DORA hinsichtlich der heimischen Finanzunternehmen (wie Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Zahlungsinstitute)
  • Festlegung von Aufsichts- und Sanktionsbefugnissen der Finanzmarktaufsicht zwecks Durchsetzung der DORA
  • Regelungen zu den erweiterten Tests bei Finanzunternehmen und natürlich
  • Strafbestimmungen

Im Details kommt es zu einer Reihe von Änderungen in nationalen Gesetzen, wie zum Beispiel dem Bankwesengesetz, dem Versicherungsaufsichtsgesetz, dem Wertpapieraufsichtsgesetz, dem Zahlungsdienstegesetz usw. Noch nicht geregelt wird im Entwurf des Vollzugsgesetzes die Anwendung von DORA bezüglich Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit. Hier sind die Gewerbebehörden am Zug.

Welche Strafen sind für Verstöße vorgesehen?

Das DORA-Vollzugsgesetz sieht bei Verstößen Strafen für vertretungsbefugte bzw. verantwortliche natürliche Personen (bis zu 150.000 Euro) und juristische Personen vor (bis zu EUR 500.000 oder bis zu 1 % des jährlichen Gesamtnettoumsatzes). Die Finanzmarktaufsicht kann die verhängten Verwaltungsstrafen sowie die davon betroffenen Unternehmen auf ihrer Internetseite veröffentlichen („Naming & Shaming“).

Strafen drohen für eine Vielzahl von Verstößen gegen DORA, zum Beispiel wenn keine Meldung von IKT-bezogenen Vorfällen und Cyberbedrohungen erfolgt, keine regelmäßigen Tests durchgeführt werden, das Management des IKT-Drittparteienrisikos fehlt und vertragliche Vereinbarungen mit IKT-Drittdienstleistern fehlen.

Header2_Andreas_Dolezal_Anmeldung_Newsletter