DORA

Angesichts der zunehmenden Digitalisierung und Vernetzung im Finanzsektor und die damit zusammenhängenden Risiken im Bereich der Informations- und Kommunikationstechnologien (IKT), wurde die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor, der Digital Operational Resilience Act (DORA), geschaffen, um die digitale operationelle Resilienz im Finanzsektor des EWR durch die Einführung eines harmonisierten Rechtsrahmens weiter zu stärken. DORA enthält nicht nur umfassende Vorschriften für das IKT-Risikomanagement, die Behandlung IKT-bezogener Vorfälle, das Testen der digitalen operationalen Resilienz sowie das Management des IKT-Drittparteienrisikos, sondern erweitert auch den bisherigen Anwendungsbereich (bspw. im Vergleich zur FMA-Richtlinie 2021/3).

Ziel dieser Webseite ist es, DORA vorzustellen, über die neuesten Entwicklungen zu informieren und häufig gestellte Fragen (FAQs) zu beantworten. DORA wird ab dem 17. Januar 2025 für Finanzintermediäre in der EU anwendbar sein. Der genaue EWR-Übernahmezeitpunkt ist derzeit noch offen.

Fünf Säulen

Das DORA Rahmenwerk basiert auf fünf Säulen, welche für umfassende Anforderungen hinsichtlich der Stärkung der digitalen operationalen Resilienz sorgen.

2024-05-02-16-35-37-window

IKT-Risikomanagement

Der Abschnitt über das Risikomanagement in DORA enthält die wichtigsten Grundsätze und Anforderungen an den Risikomanagementrahmen der Finanzintermediäre. In Kapitel II Abschnitt I werden die Anforderungen an die Governance und die Organisation des IKT- Risikomanagementrahmens behandelt. Abschnitt II enthält die Vorgaben in Bezug auf den IKT-Risikomanagementrahmen als Teil des Gesamtrisikomanagementsystems.

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Mit den in Kapitel III aufgeführten Anforderungen an Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle zielt DORA darauf ab, die Meldung von IKT-bezogenen Vorfällen im gesamten Finanzsektor zu harmonisieren. Neben der obligatorischen Meldung schwerwiegender IKT-bezogener Vorfälle sieht DORA auch die Möglichkeit der freiwilligen Meldung erheblicher Cyber-Bedrohungen vor. Darüber hinaus enthält Kapitel III auch Anforderungen an den Prozess für die Behandlung IKT-bezogener Vorfälle.

Testen der digitalen operationalen Resilienz

Kapitel IV schreibt die Einführung eines umfassenden Testprogramms als integraler Bestandteil des IKT-Risikomanagementrahmens vor, um die Bereitschaft für den Umgang mit IKT-bezogenen Vorfällen zu bewerten, und Schwächen, Mängel und Lücken in Bezug auf die digitale operationelle Resilienz zu ermitteln. Neben den grundlegenden Testanforderungen verlangt DORA auch fortgeschrittene Tests auf der Grundlage von bedrohungsorientierten Penetrationstests (TLPT) für ausgewählte Finanzunternehmen, die in den Anwendungsbereich der TLPT-Regelung fallen.

Management des IKT-Drittparteienrisikos

Im ersten Abschnitt von Kapitel V legt DORA Schlüsselprinzipien für das Management des IKT-Drittparteienrisikos innerhalb des IKT-Risikomanagementrahmens sowie wichtige vertragliche Bestimmungen fest, die beim Umgang mit IKT-Drittdienstleistern zu berücksichtigen sind. Darüber hinaus wird in Kapitel V Abschnitt II ein Überwachungsrahmenwerk für kritische IKT-Drittdienstleister eingeführt. Dabei stehen im Fokus dieses Überwachungsrahmens jene IKT-Drittdienstleister, die auf Grundlage eines Einstufungsprozesses von den europäischen Aufsichtsbehörden als kritische und damit überwachungsbedürftige IKT-Drittdienstleister eingestuft wurden.

Vereinbarungen über den Austausch von Informationen

In Kapitel VI zielt DORA darauf ab, die digitale operationelle Resilienz von Finanzunternehmen zu verbessern, indem es den freiwilligen Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zwischen Finanzintermediären vorsieht.

Adressatenkreis

Gemäss Art. 2 Abs. 1 DORA fallen folgende Finanzintermediäre in den Geltungsbereich der Verordnung:

  • a) Kreditinstitute,
  • b) Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,
  • c) Kontoinformationsdienstleister,
  • d) E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,
  • e) Wertpapierfirmen,
  • f) Anbieter von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,
  • g) Zentralverwahrer,
  • h) zentrale Gegenparteien,
  • i) Handelsplätze,
  • j) Transaktionsregister,
  • k) Verwalter alternativer Investmentfonds,
  • l) Verwaltungsgesellschaften,
  • m) Datenbereitstellungsdienste,
  • n) Versicherungs- und Rückversicherungsunternehmen,
  • o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
  • p) Einrichtungen der betrieblichen Altersversorgung,
  • q) Ratingagenturen,
  • r) Administratoren kritischer Referenzwerte,
  • s) Schwarmfinanzierungsdienstleister,
  • t) Verbriefungsregister,
  • u) IKT-Drittdienstleister.

Auswirkungen für Liechtenstein

Um IKT-Risiken mithilfe eines adäquaten IT-Risikomanagements entgegenzuwirken, werden die erforderlichen Massnahmen im Umgang mit diesen Risiken in der FMA-Richtlinie 2021/3 konkretisiert. Es muss nicht nur ein der Bedrohungslage angemessenes Sicherheitsniveau gewährleistet werden, sondern auch ein entsprechendes Notfallmanagement bestehen, um nach einem Angriff schnellstmöglich den normalen Geschäftsbetrieb wieder aufnehmen zu können. Seit Inkraftsetzung am 1. Januar 2022 legt die FMA-Richtlinie 2021/3 einen entsprechenden Mindeststandard fest.

FMA-Richtlinie 2021/3: IKT-Sicherheit

Mit Anwendbarkeit von DORA wird die FMA-Richtlinie 2021/3 entsprechend angepasst oder durch DORA ersetzt, um Widersprüche in den Vorgaben auszuschliessen.

Mit der Einführung der FMA-Richtlinie 2021/3 wurde in Liechtenstein bereits eine Harmonisierung der Vorgaben hinsichtlich IKT-Risiken angestrebt. Neben einer Harmonisierung der Vorgaben für Finanzinstitute im gesamten EWR hinsichtlich die Stärkung der operationalen digitalen Resilienz, bringt DORA auch für Liechtenstein neue Vorgaben, welche vor allem mit einem höheren Detailgrad in den Anforderungen aufwarten. Als Grundlage für DORA in Liechtenstein gilt das Digitale operationale Resilienz-Durchführungsgesetz (DORA-DG).

DORA-bezogene delegierte Verordnungen und Richtlinien

Im Rahmen der DORA Mandate zur Erarbeitung von technischen Regulierungsstandards (Regulatory Technical Standards, RTS) und technischen Implementierungsstandards (Implementing Technical Standards, ITS) haben die drei Europäischen Aufsichtsbehörden (ESAs), Europäische Bankenaufsichtsbehörde (EBA), Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA), Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) die nachfolgenden Dokumente erarbeitet. Die Verabschiedung der Dokumente durch das Europäische Parlament und Veröffentlichung im Amtsblatt der EU steht zum aktuellen Zeitpunkt noch aus.

Finale Entwürfe zu den DORA ITS und Durchführungs- und delegierte Rechtsakte (von der Europäische Kommission übernommen)

  • RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen;
  • RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen;
  • RTS zur Festlegung der Leitlinie für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern (TPP) erbracht werden; und
  • ITS zur Erstellung der Vorlagen für das Informationsregister.

ESMA News: ESAs publish first set of rules under DORA for ICT and third-party risk management and incident classification

European Commission: Implementing and delegated acts - DORA

DORA Leitlinien, RTS und ITS in Konsultation/Überarbeitung

  • RTS und ITS zu Inhalt, Fristen und Vorlagen für die Meldung von IKT-bezogenen Vorfällen
  • Leitlinien zu den aggregierten Kosten und Verlusten bei größeren IKT-bezogenen Vorfällen
  • RTS über die Untervergabe von kritischen oder wichtigen Funktionen
  • RTS zur Harmonisierung der Überwachung
  • Leitlinien für die Zusammenarbeit zwischen den ESAs und den zuständigen Behörden bei der Überwachung
  • RTS zu bedrohungsorientierten Penetrationstests (Threat-led Penetration Testing, TLPT)
  • RTS on Joint Examination Teams - JETs

ESMA News: ESAs launch joint consultation on second batch of policy mandates under the Digital Operational Resilience Act

DORA Meldewesen

Meldung schwerwiegender IKT-bezogener Vorfälle (Art. 19 DORA)

Seit 1. April 2022 erfolgt die Meldung von schwerwiegenden oder betriebsstörenden Cyber-Attacken gemäss Ziffer 140 der FMA-Richtlinie 2021/3 über das FMA e-Service Portal. Hierfür steht das Meldeformular Cyber-Attacken zur Verfügung. Mit Anwendbarkeit von DORA im EWR wird diese Meldung durch die Meldung nach Art. 19 DORA ersetzt werden.

Sobald weitere Details betreffend die zukünftige Meldung schwerwiegender IKT-bezogener Vorfälle sowie der Meldung erheblicher Cyberbedrohungen zur Verfügung stehen, wird an dieser Stelle darüber informiert werden.

Meldung des Informationsregisters (Art. 28 Abs. 3 DORA)

Gemäss Art. 28 Abs. 3 DORA wird zukünftig eine jährliche Meldung des Informationsregister notwendig sein, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht. Neben den ITS zur Erstellung der Vorlagen für das Informationsregister stellen die ESAs bereits eine Vorlage zu Illustrationszwecken zur Verfügung. Das Informationsregister wird voraussichtlich zeitnah nach Anwendbarkeit von DORA erstmalig einverlangt werden.

Zudem unterrichten Finanzintermediäre die FMA zukünftig zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist (ex ante Meldeverpflichtung).

Sobald weitere Details zur zukünftigen Meldung des Informationsregisters sowie die tatsächlich zu verwendende Vorlage zur Verfügung stehen, wird an dieser Stelle darüber informiert werden.

FAQs

Die FMA stellt Antworten zu den am häufigsten aufkommenden Fragen bereit. Die folgende Auflistung von FAQs wird fortlaufend erweitert. Fragen in Zusammenhang mit DORA zur Berücksichtigung in den FMA FAQs können an die E-Mail-Adresse DORA@fma-li.li übermittelt werden. Häufig gestellte, inhaltlich gleiche Fragen werde in den FAQs aufgenommen.

Für welche Finanzintermediäre gilt DORA?

In den Geltungsbereich der europäischen Verordnung DORA fallen (Artikel 2 Absatz 1 DORA):

a) CRR-Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds,
l) Verwaltungsgesellschaften
m) Datenbereitstellungsdienste,
n) Versicherungs- und Rückversicherungsunternehmen,
o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
p) Einrichtungen der betrieblichen Altersversorgung,
q) Ratingagenturen,
r) Administratoren kritischer Referenzwerte,
s) Schwarmfinanzierungsdienstleister,
t) Verbriefungsregister
u) IKT-Dienstleister

Ausnahmen gelten für die folgenden Unternehmen (Artikel 2 Absatz 3 DORA):

a) Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
f) Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Was ist die Kleinstunternehmerregelung?

In der DORA gibt es umfassende Erleichterungen für Finanzunternehmen, die die Kriterien als „Kleinstunternehmen“ erfüllen. Ein Kleinstunternehmen ist ein Finanzintermediär, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, der weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR (oder den entsprechenden Wert in CHF) nicht überschreitet. 
Bestehen Unsicherheiten hinsichtlich der Anwendung der Kleinstunternehmerregelung auf das eigene Unternehmen, steht die FMA für Fragen jederzeit zur Verfügung. 

Ab wann wird DORA in Liechtenstein anwendbar sein?

In der Europäischen Union ist DORA ab 17. Januar 2025 anwendbar. In Liechtenstein bedarf es für die Anwendbarkeit einen Beschluss des Gemeinsamen EWR-Ausschusses und die damit verbundene Übernahme in das EWR-Abkommen. Die DORA ist noch nicht in das EWR-Abkommen übernommen worden. Auf Basis der geführten Gespräche und Diskussionen geht die FMA dennoch derzeit von dem gleichzeitigen Inkrafttreten mit der EU aus. 

Was sind IKT-Dienstleistungen im Sinne von DORA?

IKT-Dienstleistungen sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen , mit Ausnahme herkömmlicher analoger Telefondienste (Art. 3 Absatz 1 Nr. 21 DORA).

Was ist das Informationsregister?

Das Informationsregister gemäss Art. 28 Abs. 3 DORA ist ein zu erstellendes bzw. zu befüllendes Register mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen, welches von DORA als wichtiges Werkzeug im Rahmen des IKT-Risikomanagementrahmens gesehen wird. Gemäss Art. 28 Abs. 9 DORA wurden die ESA mandatiert, Standardvorlagen zu entwickeln. Diese findet sich derzeit im Final Report on Draft Implementing Technical Standards on the standard templates for the puposes of the register of information [..], JC 2023 85.

 

Kontakt

Neben Fragen zur Berücksichtigung in den FAQs können auch sonstige Anliegen in Zusammenhang mit DORA an folgende die E-Mail-Adresse gerichtet werden:

DORA@fma-li.li