FAQs

In den Geltungsbereich der europäischen Verordnung DORA fallen (Artikel 2 Absatz 1 DORA):

1. CRR-Kreditinstitute,
2. Zahlungsinstitute,
3. Kontoinformationsdienstleister,
4. E-Geld-Institute,
5. Wertpapierfirmen,
6. Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
7. Zentralverwahrer,
8. zentrale Gegenparteien,
9. Handelsplätze,
10. Transaktionsregister,
11. Verwalter alternativer Investmentfonds,
12. Verwaltungsgesellschaften
13. Datenbereitstellungsdienste,
14. Versicherungs- und Rückversicherungsunternehmen,
15. Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
16. Einrichtungen der betrieblichen Altersversorgung,
17. Ratingagenturen,
18. Administratoren kritischer Referenzwerte,
19. Schwarmfinanzierungsdienstleister,
20. Verbriefungsregister
21. IKT-Dienstleister

Ausnahmen gelten für die folgenden Unternehmen (Artikel 2 Absatz 3 DORA):

1. Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
2. Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
3. Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
4. gemäss den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
5. Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
6. Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

In der DORA gibt es umfassende Erleichterungen für Finanzunternehmen, die die Kriterien als „Kleinstunternehmen“ erfüllen. Ein Kleinstunternehmen ist ein Finanzintermediär, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, der weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR (oder den entsprechenden Wert in CHF) nicht überschreitet. 

Bestehen Unsicherheiten hinsichtlich der Anwendung der Kleinstunternehmerregelung auf das eigene Unternehmen, steht die FMA für Fragen jederzeit zur Verfügung. 

In der Europäischen Union ist DORA seit 17. Januar 2025 anwendbar. In Liechtenstein bedarf es für die Anwendbarkeit einen Beschluss des Gemeinsamen EWR-Ausschusses und die damit verbundene Übernahme in das EWR-Abkommen. In Liechtenstein gilt die DORA nach der Übernahme in das EWR-Abkommen unmittelbar. Einige der Bestimmungen der Verordnung bedürfen einer nationalen Durchführung, wozu das EWR-DORA-Durchführungsgesetzes (DORA-DG) geschaffen wird. Das DORA-DG sieht vor, dass aufgrund der noch nicht absehbaren rechtskräftigen Übernahme der Verordnung (EU) 2022/2554 (DORA) und der Richtlinie (EU) 2022/2556 in das EWR-Abkommen eine Vorabumsetzung dieser EWR-Rechtsakte  erfolgt. Das Gesetz vom 5. Dezember 2024 zur Durchführung der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (EWR-DORA-DG) trat am 1. Februar 2025 in Kraft.

IKT-Dienstleistungen sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen , mit Ausnahme herkömmlicher analoger Telefondienste (Art. 3 Absatz 1 Nr. 21 DORA).

Das Informationsregister gemäss Art. 28 Abs. 3 DORA ist ein zu erstellendes bzw. zu befüllendes Register mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen, welches von DORA als wichtiges Werkzeug im Rahmen des IKT-Risikomanagementrahmens gesehen wird. Die Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister beinhaltet nähere Details zum Informationsregister.

Mit Anwendbarkeit von DORA in Liechtenstein werden jene Finanzintermediäre, welche unter den Geltungsbereich von DORA fallen, von der FMA Richtlinie 2021/3 - IKT-Sicherheit ausgenommen. Die FMA Richtlinie 2021/3 bleibt für jene Finanzintermediäre, welche nicht in den Geltungsbereich von DORA fallen, weiterhin bestehen. Angesichts der Anwendbarkeit von DORA in Liechtenstein ab dem 1. Februar 2025, wurden Anpassungen an der FMA-Richtlinie 2021/3 vorgenommen, welche mit selbigem Datum in Kraft getreten sind. Finanzintermediäre, für die DORA anwendbar ist, sind mit Inkrafttreten dieser Änderungen explizit von der FMA-Richtlinie 2021/3 ausgenommen.

Mittlerweile wurde die Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister erlassen. Darin wurde verschriftlicht, dass bei juristischen Personen die LEI und die EUID anerkannte internationale und europäische Kennungen sind, die eine kohärente, eindeutige und zuverlässige Identifizierung von Unternehmen gewährleisten. Folglich sollte eine dieser beiden Kennungen zur Identifizierung der in der Union niedergelassenen IKT-Drittdienstleister für die Zwecke der Anwendung der genannten Verordnung verwendet werden und als Information gelten, die allen vertraglichen Vereinbarungen gemein ist; die Identifizierung von in Drittstaaten niedergelassenen IKT-Drittdienstleistern hingegen sollte lediglich anhand der LEI erfolgen.

Der Legal Entity Identifier («LEI-Code») ist eine zwanzigstellige alphanumerische Unternehmenskennung, die als internationaler Standard für Unternehmen des Finanzmarkts etabliert wurde. Jeder LEI-Code wird einmalig vergeben und ermöglicht eine weltweite Zuordnung zu einem konkreten Unternehmen.

Bei standardisierten Softwarelizenzen handelt es sich üblicherweise um Nutzungsrechte, die keine IKT-Dienstleistung i.S.d. Art. 3 Nr. 21 DORA darstellen. Häufig gibt es aber noch begleitende IKT-Dienstleistungen, z.B. über mit dem Lizenzkauf verbundene Wartungs- und Supportverträge.

IKT-Dienstleistungen, die kritische oder wichtige Funktionen der Finanzunternehmen unterstützen, sind in Art. 3 Nr. 21 bzw. 22 DORA definiert. Die Prüfung, welche Funktionen kritisch oder wichtig sind, wird vom Finanzunternehmen selbst vorgenommen. Davon abzugrenzen sind kritische IKT-Drittdienstleister, die in Art. 3 Nr. 23 DORA definiert werden. Diese werden gemäss Art. 31 DORA nach den Regelungen des Rahmenwerks zur Überwachung kritischer IKT-Drittdienstleister durch die Aufsichtsbehörden als kritisch eingestuft.

Die Vorlage für das Informationsregister wurde durch die ESAs im Rahmen der Publikation des aktuellen EBA Reporting Technical Package am 19. Dezember 2024 bereitgestellt. Die Publikation der Dokumente finden Sie hier. Wesentlich hierfür war die Publikation der Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister, welches nun erfolgt ist. Es wurden nur geringfügige Anpassungen zu den Vorlagen des ESA DORA Dry Runs vorgenommen.

Der Einreichezeitraum für Finanzintermediäre in Liechtenstein erstreckt sich vom 1. April bis einschliesslich 14. April 2025. Bitte beachten Sie, dass das Informationsregister für das Jahr 2025 mit Stichtag 31. März 2025 zu erstellen und einzureichen ist. Die zuständigen Aufsichtsbehörden sollen die Informationsregister an die ESAs bis zum 30. April 2025 weiterleiten. Die Einreichung sowohl für die Meldung schwerwiegender IKT-bezogener Vorfälle als auch für das Informationsregister erfolgt für Finanzintermediäre in Liechtenstein über das e-Service Portal.

Das Informationsregister ist im XBRL-CSV-Format im e-Service Portal der FMA einzureichen. Die Publikation des EBA Reporting Technical Package, welches die notwendigen technischen Informationen zur Einreichung des DORA Informationsregisters enthält, finden Sie hier: EBA Technical Package

Nein, die Einreichung des Informationsregisters erfolgt im XBRL-CSV-Format unter Verwendung der Spezifikationen der ESAs gemäss EBA Technical Package. Wie bereits im Rahmen des ESA DORA Dry Runs angekündigt wurde, wird für die Meldung im Jahr 2025 keine Excel-Vorlage mit XBRL-ConverterTool zur Verfügung gestellt werden.

Ja, die europäischen Aufsichtsbehörden (ESAs) stellen umfangreiche Antworten zu häufig gestellten Fragen zur Verfügung, welche laufend durch die ESAs aktualisiert werden: ESA Informationsregister FAQs

Ein IKT-bezogener Vorfall ist gemäss Art. 3 Ziff. 8 DORA ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.

Jeder IKT-bezogene Vorfall ist gemäss Art. 18 Abs. 1 DORA (anhand der entsprechenden Klassifizierungskriterien samt der Delegierten Verordnung (EU) 2024/1772 zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle) zu klassifizieren.

Ein Finanzintermediär ist hinsichtlich eines IKT-bezogener Vorfalls dann meldepflichtig, wenn dieser anhand der genannten Kriterien als schwerwiegend einzustufen ist (Art. 19 Abs. 1).

Sämtliche Finanzintermediäre, welche gemäss Art. 2 Abs. 1 DORA in den Geltungsbereich von DORA fallen, sind dazu verpflichtet, schwerwiegende IKT-bezogene Vorfälle unter Berücksichtigung der Vorgaben der Delegierten Verordnung (EU) 2025/301 bei der FMA einzureichen.

Im e-Service Portal kann eine anlassbezogene Meldung für schwerwiegende IKT-bezogene Vorfälle ausgelöst werden. Zudem melden Finanzintermediäre erhebliche Cyberbedrohungen auf freiwilliger Basis ebenfalls über das e-Service Portal, wenn der Finanzintermediär eine Bedrohung (bspw. für den Finanzsektor, andere Marktteilnehmer oder Kunden) feststellt.

Es sind für die Einreichung der Meldung die Excel-Vorlagen der europäischen Aufsichtsbehörden (ESA) zu verwenden, welche bei der Meldung im e-Service sowie auf der FMA DORA Webseite zur Verfügung stehen. Auch wenn die Vorlage auf Englisch zur Verfügung gestellt wird, ist auch eine Befüllung in deutscher Sprache zulässig. Dabei ist bei der Einreichung der unterschiedlichen Meldungen folgende Vorgehensweise zu berücksichtigen:

1. Erstmeldung: Es ist ausschliesslich das Registerblatt «Initial Notification» zu befüllen.
2. Zwischenmeldung: Es sind die zwei Registerblätter «Initial Notification» und «Intermediate Report» zu befüllen.
3. Abschlussmeldung: Es sind alle drei Registerblätter «Initial Notification», «Intermediate Report» und «Final Report» zu befüllen.

Bei einem geänderten Sachverhalt hinsichtlich einzelner Meldungsinhalte zwischen den Meldungen (bspw. Änderungen zw. der Erstmeldung und Zwischenmeldung) sind die Daten bei der Eingabe der Zwischen- oder Abschlussmeldung anzupassen.

Details zu Inhalt und Fristen der Meldung schwerwiegender IKT-bezogener Vorfälle sind in der Delegierten Verordnung (EU) 2025/301 dargelegt. Dabei sind insbesondere folgende Fristen für die Meldung relevant:

1. Erstmeldung: Einzureichen ist diese Meldung so früh wie möglich, in jedem Fall aber innerhalb von vier Stunden nach Einstufung des IKT-bezogenen Vorfalls als schwerwiegend und spätestens 24 Stunden nach dem Zeitpunkt, zu dem das Finanzunternehmen Kenntnis von dem IKT-bezogenen Vorfall erlangt hat.
2. Zwischenmeldung: Einzureichen ist diese Meldung spätestens 72 Stunden nach Übermittlung der Erstmeldung. Die Finanzintermediäre übermitteln unverzüglich etwaige aktualisierte Zwischenmeldungen, in jedem Fall aber, sobald der reguläre Geschäftsbetrieb wiederaufgenommen wurde.
3. Abschlussmeldung: Einzureichen ist diese Meldung spätestens einen Monat nach Übermittlung der Zwischenmeldung oder gegebenenfalls nach der letzten aktualisierten Zwischenmeldung.