Digital Operational Resilience Act: Eile ist geboten!
Obwohl die DORA-Verordnung bereits Anfang 2023 in Kraft getreten ist, müssen betroffene Unternehmen spätestens ab dem 17. Januar 2025 die strikten Vorschriften befolgen. Ein Rechtsexperte rät zur Eile. Finanzunternehmen sollten jetzt handeln.
Mit der Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act, DORA, Verordnung (EU) 2022/2554) hat der Europäische Gesetzgeber einen umfassenden rechtlichen Rahmen geschaffen, um die digitale operationelle Widerstandsfähigkeit von Finanzunternehmen und betroffenen Drittdienstleistern in der Informations- und Kommunikationstechnologie (IKT) in Europa zu stärken.
„Die DORA-Verordnung setzt neue Maßstäbe für die Sicherheit und Stabilität im europäischen Finanzmarkt. Unternehmen, die sich nicht rechtzeitig mit den Anforderungen auseinandersetzen, riskieren erhebliche Sanktionen und Gefährdung ihrer Geschäftsmodelle“, erklärt Dr. Peter Wagesreiter, Rechtsexperte und Partner bei HSP.law.
Strenge Governance- und Kontrollpflichten sind vorgesehen
Die Verordnung zielt darauf ab, Risiken im Bereich der Informations- und Kommunikationstechnologien (IKT) einzudämmen, um den europäischen Finanzmarkt besser vor Cyberangriffen zu schützen. Dies umfasst nicht nur Banken und Wertpapierfirmen, sondern auch Zahlungs- und E-Geldinstitute sowie Anbieter von Krypto-Dienstleistungen und IKT-Drittdienstleister. Diese Unternehmen unterliegen strengen Governance- und Kontrollpflichten, um die Stabilität ihrer digitalen Systeme zu gewährleisten.
Leitungsorgane in der Pflicht
„Ein zentrales Element der DORA-Verordnung ist das IKT-Risikomanagement, welches eine kontinuierliche Überprüfung und Weiterentwicklung von Strategien, Richtlinien und Tools erfordert. Das Leitungsorgan eines Unternehmens trägt dabei eine erhebliche Verantwortung“, betont Dr. Wagesreiter. „Besonders wichtig ist es, dass regelmäßige Schulungen zu IKT-Risiken durchgeführt werden, damit das Management die Auswirkungen auf die Geschäftsfähigkeit ihres Unternehmens versteht und entsprechend handeln kann.“
Meldeverpflichtung
Neben der Verpflichtung zur Identifikation und Bewertung von IKT-Risiken müssen Finanzunternehmen künftig auch schwerwiegende IKT-bezogene Vorfälle an eine nationale Behörde melden. „Diese Meldepflicht stellt sicher, dass die Behörden über potenziell systemrelevante Störungen informiert sind und entsprechende Maßnahmen ergreifen können“, so Dr. Wagesreiter weiter. „Für Unternehmen bedeutet dies jedoch auch, dass sie bereits jetzt klare Verfahren zur Klassifizierung und Kommunikation solcher Vorfälle entwickeln müssen.“
FMA mischt wahrscheinlich mit
Das nationale DORA-Vollzugsgesetz, das die effektive Anwendung der Verordnung in Österreich sicherstellen soll, wird voraussichtlich die Finanzmarktaufsicht (FMA) als zuständige Behörde festlegen und deren Aufsichts- und Sanktionsbefugnisse erweitern. Zudem wird eine Erweiterung des Anwendungsbereichs der DORA-Verordnung auf nationale Institute, die bislang nicht erfasst waren, angestrebt.
Zuwarten ist die falsche Strategie
„Die Übergangszeit mag lang erscheinen, aber der 17. Januar 2025 kommt schneller, als man denkt. Unternehmen sollten sich so schnell wie möglich mit den Anforderungen der DORA-Verordnung auseinandersetzen und die notwendigen Implementierungsschritte in die Wege leiten. Eine frühzeitige Vorbereitung ist der Schlüssel, um den neuen Herausforderungen erfolgreich zu begegnen“, rät Dr. Wagesreiter abschließend. (kb)
Über HSP.law:
HSP Rechtsanwälte GmbH ist eine Wirtschaftskanzlei im Herzen Wiens mit 25 Jahren Erfahrung. HSP.law bietet mit einem 60-köpfigen Team fachliche Expertise im Bereich des Wirtschaftsrechts. In den Anwaltsrankings von Legal 500 und JUVE ist HSP.law unter den besten Anwaltskanzleien Österreichs gelistet.