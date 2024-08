APA ots news: Nach "Crowdstrike"-Krise: FMA mahnt Finanzdienstleister und IKT-Anbieter sich rechtzeitig auf DORA vorzubereiten

Das neue EU-Aufsichtsregime zur Stärkung der Cyber- und IKT-Sicherheit- FMA stellt eigenen DORA-Bereich auf Website online



Wien (APA-ots) - Vor wenigen Wochen hat das fehlerhafte Update der "Crowdstrike"-

Software eine weltweite Krise ausgelöst. So mussten etwa Krankenhäuser auf Notbetrieb umstellen, Flugzeuge konnten nicht abheben, Lebensmittelläden schlossen oder Bankomaten fielen aus. Ein Vorfall, der dramatisch vor Augen geführt hat, dass nicht nur bösartige Hackerattacken oder gefährliche Computerviren ein gravierendes IT- und System-Risiko darstellen können, sondern sogar einfache Produktmängel. Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor ( Digital Operational Resilience Act [1] oder kurz DORA), die ab dem 17. Jänner 2025 anzuwenden ist, adressiert genau derartige Risiken, rückt die Informations- und Kommunikationstechnologien (IKT) in den regulatorischen Fokus und stärkt die Widerstandsfähigkeit der europäischen Finanzunternehmen und des gesamten Finanzmarkts gegenüber Cyber-Risiken und IKT-bedingten Betriebsstörungen. Überdies bezieht sie erstmals auch IKT-Drittanbieter, die als kritisch eingestuft werden, in den neuen Überwachungsrahmen ein.

"DORA ist ein ambitionierter regulatorischer Rahmen, der grundlegende und weitreichende Neuerungen mit sich bringt. Die betroffenen Finanzdienstleister und Drittanbieter müssen in den nächsten Wochen und Monaten die Vorbereitung auf das neue Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in vollem Umfang anwendbar", so der Vorstand der FMA, Helmut Ettl und Eduard Müller. Die FMA hat daher heute einen eigenen DORA-Bereich auf ihrer Website online gestellt, auf dem alle einschlägigen Regularien und Anforderungen zusammengefasst und die wesentlichen Informationen allgemein verständlich aufbereitet sind. Dort sind etwa auch die technischen Regulierungs- und Durchführungsstandards, die größtenteils bereits erarbeitet sind, im Detail dargestellt und erklärt. Überdies werden häufig gestellte Fragen in einem umfangreichen Q&A-Format beantwortet und allgemein verständlich erläutert.



DORA - neue und strenge Regeln, neue überwachte Unternehmen

Das umfangreiche Regulierungspaket DORA schließt bestehende Lücken in der Gesetzgebung für Finanzdienstleister, konsolidiert das bislang über verschiedene Bereiche verstreute Regelwerk und implementiert weitreichende Berichts-, Informations- und Überwachungspflichten. So verpflichtet DORA betroffene Finanzunternehmen und Drittanbieter dazu, zahlreiche Maßnahmen zu ergreifen und Vorgänge zu beachten:



- etwa einen IKT-Risikomanagementrahmen sowie ein Business Continuity Management zu implementieren;



- zahlreichen Berichtspflichten, insbesondere zu Verträgen mit Drittanbietern von IKT-Dienstleistungen oder auch von IKT-Vorfällen, nachzukommen;



- die digitale Betriebsstabilität regelmäßig zu testen (auch durch zentral gesteuerte bedrohungsorientierte Penetrationstests);

- IKT-Drittdienstleister-Risiken zu steuern und zu überwachen sowie

- einen regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen zu institutionalisieren.



Mit dem Stichtag der gesetzlich verpflichtenden Anwendung von DORA müssen bereits alle Verträge mit IKT-Drittanbietern den neuen regulatorischen Anforderungen entsprechen. Der FMA ist unverzüglich ein Informationsregister zu allen Verträgen mit IKT-

Drittdienstleistern zu übermitteln. Auch schwerwiegende Cyber- Vorfälle und IKT-bedingte Betriebsstörungen sind dann innerhalb der vorgesehenen Fristen der FMA zu melden.



DORA betrifft im Wesentlichen alle Finanzmarktsektoren, wenngleich bei der Anwendung das jeweilige Risikoprofil zu berücksichtigen ist. Um das breite Spektrum der Vernetzungen mit Anbietern technologischer Lösungen (Rechenzentren, Cloud- Dienstleister, Softwareentwickler, Datenanalysten etc.) in die Aufsicht effizient einzubeziehen, wird ein europäisches Überwachungsregime für kritische IKT-Dienstleister geschaffen. Dies erfordert neue Strukturen in und Kommunikationsschnittstellen zwischen den zahlreichen beteiligten Akteuren (z.B. beaufsichtigte Unternehmen, nationale und europäische Behörden).



FMA begleitet die Unternehmen bei der Umsetzung sehr eng

"Die FMA hat bereits vor geraumer Zeit einen Aufsichtsschwerpunkt auf die Herausforderungen dieser neuen Regulierung gelegt und begleitet die beaufsichtigten Unternehmen wie auch Drittanbieter hier sehr eng," so der FMA-Vorstand weiter. So hat die FMA in den vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten entwickelt, die in der "FMA Cyber Security Toolbox" zusammengefasst sind. In der Analyse zur "Austrian Digital Landscape" evaluiert und prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Infrastruktur, IKT- Verflechtungen, Maßnahmen zur Prävention und Detektion von Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem österreichischen Finanzmarkt. Überdies bietet die FMA in zahlreichen Veranstaltungen beaufsichtigten Unternehmen und Stakeholdern laufend einen strukturierten Dialog zu allen Fragen betreffend DORA an.

Den Link zum neuen Bereich der FMA-Website mit umfassenden Informationen zu DORA finden Sie hier: https://www.fma.gv.at/dora

[1] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 201 6/1011



