In einem Jahr, genau ab 17. Jänner 2025, ist die neue EU-Verordnung über die digitale operationale Resilienz im Finanzsektor, der „Digital Operational Resilience Act“ (DORA), in Österreich anzuwenden. Damit werden Lücken in der Finanzdienstleistungsgesetzgebung geschlossen, die bisher die digitale operationelle Resilienz nur fragmentiert adressiert und die Risiken der Informations- und Kommunikationstechnologien (IKT) nur am Rande behandelt. DORA wird einen harmonisierten und umfassenden Rechtsrahmen schaffen, der die Widerstandsfähigkeit der europäischen Finanzunternehmen und des gesamten Finanzmarkts gegenüber Cyberbedrohungen und IKT-bedingten Betriebsstörungen stärkt. Dazu werden auch IKT-Drittanbieter, die als kritisch eingestuft werden, in den Anwendungsbereich der Finanzmarktaufsicht einbezogen.
„DORA bringt sehr grundlegende und sehr weitreichende regulatorische Neuerungen. Es ist daher von essenzieller Bedeutung, dass sich die betroffenen Finanzdienstleister und Drittanbieter rechtzeitig auf dieses neue Aufsichtsregime vorbereiten,“ so der Vorstand der FMA, Helmut Ettl und Eduard Müller: „Die FMA hat daher einen Aufsichtsschwerpunkt auf die rechtzeitige Vorbereitung des Marktes auf die Herausforderungen dieser neuen Regulierung gelegt und wird beaufsichtigte Unternehmen wie auch Drittanbieter dabei eng begleiten.“
Die betroffenen Unternehmen sind somit in den nächsten zwölf Monaten gefordert, ihre digitale operationale Resilienz sowie ihre IKT-Vernetzungen und Vertragsklauseln umfassend mit Blick auf DORA zu prüfen, Handlungsfelder zu identifizieren und rechtzeitig die erforderlichen Umsetzungsmaßnahmen einzuleiten.
Zur Unterstützung auf diesem herausfordernden Weg, die digitale operationelle Resilienz auf dem Finanzsektor zu stärken, hat die FMA in den vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten entwickelt, die in der „FMA Cyber Security Toolbox“ zusammengefasst sind. Zudem führt sie gerade eine Analyse zur „Austrian Digital Landscape“ durch. In diesem Aufsichtsschwerpunkt evaluiert und prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Infrastruktur, IKT-Verflechtungen, Maßnahmen zur Prävention und Detektion von Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem österreichischen Finanzmarkt. Als Ausgangspunkt werden dabei bereits die DORA-Vorgaben herangezogen. Die Unternehmen werden dadurch die Möglichkeit haben, etwaige Verbesserungen bei der Implementierung der neuen regulatorischen Vorgaben vorzunehmen, bevor die Vorgaben Anfang 2025 zwingend einzuhalten sind. Überdies wird es dieser Schwerpunkt der FMA ermöglichen, die für den österreichischen Finanzmarkt relevanten IKT-Dienstleister zu identifizieren.
