Digital Operational Resilience Act (DORA)
- Erika Leitgeb
- 20. Jan. 2023
- 2 Min. Lesezeit
Link zum Dokument | |
Veröffentlichung im Amtsblatt der Europäischen Union | |
In Kraft seit | 17. Jänner 2023 |
Anzuwenden ab | 17. Jänner 2025 |
Anwendungsbereich
In den Anwendungsbereich der neuen Vorschriften fallen nahezu alle Finanzunternehmen. Unter anderem ist die Verordnung auf Kreditinstitute, Zahlungsinstitute, E-Geld-Institute und Versicherungsunternehmen. Auch IKT-Drittanbieter, die digitale Dienste erbringen, unterliegen den Regelungen zur digitalen operationellen Resilienz.
Inhaltliche Anforderungen
Governance und interne Organisation
Finanzunternehmen müssen über einen internen Rahmen für die Cybersicherheitssteuerung und -kontrolle verfügen, um ein wirksames und umsichtiges Management aller IKT-Risiken zu gewährleisten und so ein hohes Maß an digitaler Widerstandsfähigkeit zu erreichen.
IKT-Risikomanagement
Finanzunternehmen müssen über einen robusten, umfassenden und gut dokumentierten Rahmen für das IKT- und Cyber-Risikomanagement verfügen, der Teil ihres gesamten Risikomanagementsystems ist. Dabei soll unter anderem auf Folgendes geachtet werden:
Verwendung von belastbaren IKT-Instrumente und -Systemen, die die Auswirkungen relevanter Risiken minimieren;
unverzügliche Ermittlung aller Risikoquellen und Einrichtung von Mechanismen zur Aufdeckung anormaler Aktivitäten;
Implementierung von Schutz- und Präventionsmaßnahmen sowie Erarbeitung von Notfall- und Wiederherstellungsplänen.
Zu diesem Zweck wird das DORA-Rahmenwerk durch delegierte Verordnungen sowie von den zuständigen Aufsichtsbehörden zu erstellenden Leitlinien, technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) ergänzt werden.
Klassifizierung und Berichterstattung von IKT-Vorfällen
Im Hinblick auf die Meldung von Vorfällen sollen Finanzunternehmen ein Managementverfahren einrichten und umsetzen, um IKT-bezogene Vorfälle zu überwachen und zu erfassen. Die Vorfälle sollen nach festgelegten Kriterien anhand von Wesentlichkeitsschwellen klassifiziert und ihre Auswirkungen bestimmt werden. Wenn die IKT-bezogenen Vorfälle als schwerwiegend eingestuft werden, sind sie den zuständigen Behörden zu melden.
Testung von IKT-Systemen
Mindestens einmal pro Jahr müssen die für das IKT-Risikomanagement vorgesehenen Kapazitäten und Funktionen im Funktionsmodus anhand von simulierten Bedrohungsszenarien auf Abwehrbereitschaft getestet werden (sog. Penetrationstests). Die durchgeführten Tests sind zu dokumentieren. Wurden Schwachstellen identifiziert, müssen entsprechende Korrekturmaßnahmen gesetzt werden.
Management des von IKT-Drittanbietern ausgehenden Risikos
Um die Risiken zu mindern, die sich aus der Abhängigkeit der Finanzinstitute von Drittdienstleistern ergeben, ist vorgesehen, dass die Finanzaufsichtsbehörden mit besonderen Aufsichtsbefugnissen ausgestattet werden.
Es wird nicht nur ein europaweiter Aufsichtsrahmen für Drittanbieter kritischer IKT-Dienste geschaffen, sondern es werden auch wichtige vertragliche Aspekte (Abschluss, Ausführung, nachvertragliche Phase) harmonisiert, um sicherzustellen, dass die Finanzinstitute die Cyberrisiken Dritter überwachen. Um eine angemessene Überwachung der Anbieter von Technologiedienstleistungen zu gewährleisten, die für das Funktionieren des Finanzsektors von entscheidender Bedeutung sind, wird für jeden Drittanbieter von kritischen IKT-Dienstleistungen eine "federführende" Aufsichtsbehörde bestimmt.
Anwendungszeitpunkt
DORA ist am 17. Jänner 2023 in Kraft getreten und ist ab dem 17. Jänner 2025 unmittelbar anwendbar.
