Open menu
Business, Finanz, Recht, Steuer, Tools

Ready for DORA? Handlungsbedarf für den Finanzsektor

Georg Beham ©PwC Österreich / APA-Fotoservice / Tesarek

Gastbeitrag. Der „Digital Operational Resilience Act“ (DORA) ist in Kraft: Er soll digitalen Risiken auf den Finanzmärkten entgegenwirken, schildern Georg Beham und Serhat Ada von PwC.

Der Digital Operational Resilience Act – DORA – ist seit 16. Jänner 2023 in Kraft und soll den digitalen Risiken auf den Finanzmärkten entgegenwirken. Für betroffene Unternehmen gibt es bis zur Umsetzungsfrist im Jänner 2025 viel zu tun, beschreiben Georg Beham, Cybersecurity & Privacy Lead, und Serhat Ada, Cybersecurity- & DORA-Experte bei PwC Österreich, in ihrem Gastbeitrag.

Das Management digitaler Risiken

Der Digital Operational Resilience Act (DORA) ist eine neue europäische Verordnung für das Management digitaler Risiken im Finanzsektor. Sie gilt für mehr als 22.000 Finanzunternehmen und IKT-Dienstleister in der EU. Für betroffene Organisationen führt DORA einen ganzheitlichen Rahmen für effektive Resilienz ein. Dieser soll unter anderem sicherstellen, dass Finanzunternehmen ihren Betrieb auch bei schwerwiegenden Störungen der Cybersicherheit oder der IKT aufrechterhalten können.

Welche Organisationen sind betroffen?

DORA betrifft eine Vielzahl von Unternehmen im Finanzsektor. Dazu zählen nicht nur Banken und Versicherungsunternehmen, die bereits durch die EBA/Eiopa-Leitlinien zur IKT-Sicherheit und zum Outsourcing mit derartigen Vorschriften vertraut sind, sondern auch Handelsplätze, betriebliche Altersversorgungseinrichtungen, Anbieter von Krypto-Dienstleistungen, Versicherungsvermittler und zahlreiche weitere Finanzunternehmen.

Serhat Ada ©PwC Österreich / Martin Jordan Fotografie

Auch FinTechs und Start-ups können der DORA unterliegen, wenn sie zu den in der Verordnung genannten Unternehmenstypen gehören. Für kleinere Unternehmen mit weniger als 10 Mitarbeitenden und begrenztem Jahresumsatz gelten weniger strenge Anforderungen. DORA umfasst zudem IKT-Anbieter, einschließlich Cloud-Service-Provider, die Dienstleistungen für Finanzunternehmen erbringen. Werden diese als „kritische IKT-Anbieter“ eingestuft, unterliegen sie nun ebenfalls dem Aufsichtsrahmen.

Was kommt auf Unternehmen zu?

Die betroffenen Unternehmen sind gefordert, einen umfassenden Rahmen für digitale Resilienz aufzubauen. Das inkludiert unter anderem die Einrichtung eines umfassenden IKT-Risikomanagements, das Etablieren von angemessenen Maßnahmen zur Prävention und Detektion von Cybervorfällen und -störungen, geeignete Maßnahmen zum Umgang und zur Meldung von Sicherheitsvorfällen, umfassende bedrohungsorientierte Security-Tests und ein solides Management von Dritten.

In Anbetracht der Komplexität und der durch die Behörden noch zu entwickelnden technischen Regelungen, erfordert DORA in den kommenden Jahren eine regelmäßige Steuerung und Anpassung. Insbesondere unter Berücksichtigung der kurzen Zeitspanne bis Jänner 2025, sollten betroffene Unternehmen daher zeitnah mit der Identifikation offener Handlungsfelder sowie der Umsetzung der DORA-Anforderungen beginnen.

Auch wenn sie nicht als kritischer IKT-Drittdienstleister eingestuft sind, sollten IKT-Anbieter, die Dienstleistungen für Finanzunternehmen erbringen und dadurch kritische oder wichtige Funktionen dieser Unternehmen ermöglichen, Level 2 Regulatory Technical Standards befolgen. Zu diesen Anforderungen gehören zum Beispiel spezifische Vertragsklauseln, die in die Vertragsvereinbarungen zwischen dem IKT-Anbieter und den Finanzunternehmen aufgenommen werden müssen.

Über die Autoren

  • Georg Beham ist Cybersecurity & Privacy Lead bei PwC Österreich
  • Serhat Ada ist Cybersecurity- & DORA-Experte bei PwC Österreich

Weitere Meldungen:

  1. Infineon holt sich neuen Konsortialkredit mit Gleiss Lutz
  2. Finanz-Plattform ODDO BHF startet in Österreich mit Cerha Hempel
  3. BMD und FinanzOnline: Zwei-Faktor-Authentifizierung startet
  4. Avelios Medical holt sich eine Serie A-Kapitalspritze mit Hogan Lovells