Sicherheits-Richtlinie für Finanzdienstleister. Die DORA-Verordnung der EU wird mit 17. Jänner 2025 wirksam.
©iStockphotoMit 17. Jänner 2025 tritt die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor, der Digital Operational Resilience Act (DORA), in Kraft. Die Finanzmarktaufsicht mahnt Finanzdienstleister und IKT-Anbieter, sich rechtzeitig darauf vorzubereiten und hat dazu eine Informations-Website eingerichtet. Die Hintergründe und Bestimmungen der Verordnung im Überblick.
Die CrowdStrike-Panne
Am 19. Juli 2024 kam es zur größten IT-Panne aller Zeiten. Weltweit standen rund 8,5 Millionen Windows-Computer still. Krankenhäuser mussten teilweise auf Notbetrieb umstellen und Operationen absagen. Flugzeuge konnten nicht abheben, weltweit wurden über 2.000 Flüge gestrichen und des kam zu langen Verzögerungen beim Check-in, besonders in Sydney, London, Seoul und Washington D.C. In Banken wie JPMorgan Chase konnten sich Trader nicht in ihre Systeme einloggen. Lebensmittelläden mussten schließen, weil ihre Kassensysteme nicht funktionierten, Geldautomaten und viele weitere Kommunikationsdienstleistungen fielen aus.
Sofort vermutete man einen Hackerangriff oder einen massiven, durch einen bösartigen Computervirus ausgelösten Crash, doch die Ursache war ein ganz lapidarer Fehler bei einem Software-Update. Allerdings ist dieser Fehler beim Cybersicherheitsanbieter CrowdStrike aufgetreten. Das Unternehmen mit Zentrale in Austin, Texas, gehört zu den führenden Anbietern von cloudbasierter Sicherheitsdienste und betreut mehr als 3.500 Kunden, darunter mehr als die Hälfte der Fortune 1000 Unternehmen.
Der Vorfall hat dramatisch vor Augen geführt, wie verwundbar die global vernetzte IT-Welt ist. Und dass auch einfache Probleme ein Systemrisiko darstellen können.
DORA-Verordnung: Info der Finanzmarktaufsicht FMA
Die DORA-Verordnung der EU, der Digital Operational Resilience Act zur digitalen operationalen Resilienz im Finanzsektor, adressiert genau derartige Risiken. Die Bestimmungen, die mit 17. Jänner 2025 in Kraft treten, zielen darauf ab, Europas Finanzunternehmen und den Finanzmarkt der EU gegenüber Cyber-Risiken und IKT-bedingten Betriebsstörungen abzusichern. Von den Bestimmungen betroffen sind auch als kritisch eingestufte IKT-Drittanbieter. Die Details zu der DORA-Verordnung 2022/2554 vom 14. Dezember 2022 finden Sie hier.
„DORA ist ein ambitionierter regulatorischer Rahmen, der grundlegende und weitreichende Neuerungen mit sich bringt. Die betroffenen Finanzdienstleister und Drittanbieter müssen in den nächsten Wochen und Monaten die Vorbereitung auf das neue Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in vollem Umfang anwendbar“, betonen die Vorstände der österreichischen Finanzmarktaufsicht FMA, Helmut Ettl und Eduard Müller.
Um die betroffenen Unternehmen über ihre Pflichten im Rahmen der DORA-Verordnung zu informieren hat die FMA nun eine umfassende Informations-Website eingerichtet. Dort sind alle Regularien und Anforderungen zusammengefasst und die wesentlichen Informationen aufbereitet. Dazu gehören die technischen Regulierungs- und Durchführungsstandards, häufige Fragen werden im Q&A-Format beantwortet.
Wen trifft DORA?
DORA betrifft im Wesentlichen alle Finanzmarktsektoren und annähernd alle von der Finanzmarktaufsicht (FMA) beaufsichtigten Finanzunternehmen.
Das Ziel ist insbesondere die bereits im FinTech-Aktionsplan 2018 der Europäischen Kommission adressierte Stärkung der Cybersicherheit des EU-Finanzsektors.
Um das breite Spektrum der Vernetzungen mit Anbietern technologischer Lösungen (Rechenzentren, Cloud-Dienstleister, Softwareentwickler, Datenanalysten etc.) in die Aufsicht effizient einzubeziehen, wird ein europäisches Überwachungsregime für kritische IKT-Dienstleister geschaffen.
Dafür sind neue Strukturen in und Kommunikationsschnittstellen zwischen den zahlreichen beteiligten Akteuren (z.B. beaufsichtigte Unternehmen, nationale und europäische Behörden) notwendig.
Die DORA-Regeln um Überblick
Mit der DORA-Verordnung werden Lücken in der Gesetzgebung für Finanzdienstleister geschlossen und weitreichende Berichts-, Informations- und Überwachungspflichten eingeführt. Unter anderem werden betroffene Finanzunternehmen und Drittanbieter zu folgenden Maßnahmen verpflichtet:
Implementierung eines IKT-Risikomanagementrahmens und eines Business Continuity Managements.
Berichte zu Verträgen mit Drittanbietern von IKT-Dienstleistungen oder auch von IKT-Vorfällen
Regelmäßige Tests der digitalen Betriebsstabilität und Durchführung zentral gesteuerter Penetrationstests. Bedeutende Finanzunternehmen müssen Threat Led Penetration Tests durchführen, die auf die Kern-IT-Systeme des Unternehmens abzielen. Die konkrete Methodik wird in Österreich durch TIBER-AT umgesetzt.
Streuung und Überwachung der IKT-Drittdienstleister-Risiken
Regelmäßiger Informationsaustausch unter den betroffenen Unternehmen
Die DORA-Verordnung bringt für Unternehmen aber auch neue juristische Auflagen und Herausforderungen. So müssen mit Stichtag 17. Jänner 2025 alle Verträge mit IKT-Drittanbietern den neuen regulatorischen Anforderungen entsprechen. Als zusätzliche Pflicht muss der Finanzmarktaufsicht FMA ein Informationsregister zu allen Verträgen mit IKT-Drittdienstleistern übermittelt werden.
Die von DORA betroffenen Unternehmen müssen der FMA auch schwerwiegende Cyber-Vorfälle und IKT-bedingte Betriebsstörungen melden.
FMA begleitet die Unternehmen bei der Umsetzung sehr eng
„Die FMA hat bereits vor geraumer Zeit einen Aufsichtsschwerpunkt auf die Herausforderungen dieser neuen Regulierung gelegt und begleitet die beaufsichtigten Unternehmen wie auch Drittanbieter hier sehr eng,“ so der FMA-Vorstand weiter. So hat die FMA in den vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten entwickelt, die in der „FMA Cyber Security Toolbox“ zusammengefasst sind. In der Analyse zur „Austrian Digital Landscape“ evaluiert und prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Infrastruktur, IKT-Verflechtungen, Maßnahmen zur Prävention und Detektion von Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem österreichischen Finanzmarkt. Überdies bietet die FMA in zahlreichen Veranstaltungen beaufsichtigten Unternehmen und Stakeholdern laufend einen strukturierten Dialog zu allen Fragen betreffend DORA an.