Am 16. Jänner 2023 ist die von der Europäischen Union Ende 2022 verabschiedete Verordnung (EU) 2022/2554 (Digital Operational Resilience Act (“DORA“)) für ein wirksames und umfassendes Management digitaler Risiken auf den Finanzmärkten in Kraft getreten. Die Verordnung muss von den betroffenen Unternehmen bis spätestens 17. Jänner 2025 umgesetzt werden.
DORA zielt darauf ab, die Widerstandsfähigkeit des digitalen Finanzsektors zu stärken, Transparenz über das Lieferantennetzwerk einschließlich IKT-Drittanbietern (Informations- und Kommunikationstechnologien) zu bieten und die Integrität der Kapitalmärkte zu festigen, um das Vertrauen der Anleger zu vertiefen sowie die Wirtschaft anzukurbeln. Durch die Verordnung ändern sich einige Spielregeln der Kapitalmärkte sowie Rechte im Bankwesen grundlegend.
Welche Unternehmen sind betroffen?
Grundsätzlich gelten die Anforderungen der DORA-Verordnung für alle
- Finanzunternehmen: Kredit- und Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungsunternehmen und Versicherungsvermittler, Wirtschaftsprüfungsgesellschaften uvm.
- IKT-Drittanbieter: Unternehmen, die digitale Dienste und Datendienste erbringen u.a.: Cloud- und Software-Anbieter, Datenanalysedienste, Rechenzentren
Die grundlegenden Ziele von DORA sind einerseits die Gewährleistung der Betriebsstabilität digitaler Systeme von Finanzunternehmen und IT-Dienstleistern sowie die Harmonisierung fragmentierter nationaler Regelungen. Verantwortliche Unternehmen werden zur ständigen Verbesserung ihrer IKT-Systeme verpflichtet. Zudem normiert die Verordnung Meldepflichten und sieht eine Überprüfung von IKT-Drittdienstleistern vor. Weiters müssen die betroffenen Unternehmen Verfahren und Strategien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests aufgedeckten Probleme einführen und interne Validierungsmethoden festlegen, um sicherzustellen, dass festgestellte Schwächen, Mängel oder Lücken vollständig behoben werden.
Unternehmen, die sich nicht an die neue Verordnung halten, müssen mit verschiedenen Konsequenzen wie
- Bußgelder
- Abhilfemaßnahmen und
- Verwarnungen
rechnen.
Einige sinnvolle Maßnahmen, die eingeführt werden können, um DORA-Konformität zu erhalten inkludieren unter anderem
- Einführung zuverlässiger, angemessen konzipierter, ausreichend dimensionierter und technisch stabiler IKT-Systeme
- Schaffung eines internen Verwaltungs- und Kontrollrahmens zur Gewährleistung von wirksamem und umsichtigem Management von IKT-Risiken
- Festlegung, Genehmigung, Dokumentation und Überwachung des IKT-Risikomanagementrahmens vom Leitungsorgan
- Entwicklung einer Reaktions- und Wiederherstellungsstrategie
- Jährliche Überprüfung des IKT-Risikomanagementrahmens [muss bei Anfrage der Finanzdienstleistungsaufsichtsbehörde vorgelegt werden können]
In erster Linie werden in betroffenen Unternehmen die Compliance- und Rechts- sowie IT- und Cybersecurity-Abteilungen zur Verantwortung der Umsetzung gezogen werden. Dennoch wird es essenziell sein, weitere Rollen wie Vorstand und Geschäftsführung, Risikomanagement und interne Revision beim Umsetzungsprozess zu berücksichtigen und teilhaben zu lassen.
DORA wird in den nächsten Jahren eine regelmäßige Steuerung und Adaption der Prozesse erfordern. EFS Consulting begleitet ihr Unternehmen gerne bei der Umsetzung über vielfältige Ansätze – von einem DORA Quick-Check und Resilienz-Prüfungen bis hin zur Sicherstellung einer umfassenden DORA-Readiness in ihrem Unternehmen.
Spotify Hörtipp der Woche: EFS-Podcast zu DORA – Season 2 #24
https://open.spotify.com/episode/5wmF3rV9uB8EYylG143Xy9?si=Eg8oJ6XgSqiosG3Cvd8CKQ
Bei Fragen kontaktieren Sie uns gerne jederzeit.
Liliana Simon
Partnerin
M. +43 676 439 2072
lsimon@efs.at
Jürgen Leitner
Partner
M. +43 676 439 2038
jleitner@efs.at