FAQs

The scope of the European DORA Regulation (Article 2 (1) DORA):

1. CRR credit institutions,
2. Payment institutions,
3. Account information service providers,
4. Electronic money institutions,
5. Investment firms,
6. Providers of crypto services authorized under the Regulation of the European Parliament and of the Council on markets in crypto assets (MiCAR) and issuers of value-referenced tokens,
7. Central securities depositories,
8. central counterparties,
9. Trading venues,
10. Trade repositories,
11. Alternative investment fund managers,
12. Management companies
13. Data provision services,
14. Insurance and reinsurance companies,
15. Insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries,
16. Institutions for occupational retirement provision,
17. Rating agencies,
18. Administrators of critical benchmarks,
19. Crowd funding service providers,
20. Securitization registers
21. ICT service providers

Exemptions apply to the following entities (Article 2(3) DORA):

1. Alternative investment fund managers as defined in Article 3(2) of Directive 2011/61/EU;
2. Insurance and reinsurance undertakings within the meaning of Article 4 of Directive 2009/138/EC;
3. Institutions for occupational retirement provision operating pension schemes with fewer than 15 members in total;
4. natural or legal persons exempted under Articles 2 and 3 of Directive 2014/65/EU;
5. Insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries that are micro, small or medium-sized enterprises;
6. Post office giro institutions within the meaning of Article 2(5)(3) of Directive 2013/36/EU.

The DORA provides extensive relief for financial undertakings that meet the criteria of a "micro-entity". A microenterprise is a financial intermediary that is not a trading venue, a central counterparty, a trade repository or a central securities depository, that employs fewer than ten persons and whose annual turnover or balance sheet total does not exceed EUR 2 million (or the equivalent value in CHF).

If there are any uncertainties regarding the application of the micro-entrepreneur regulation to your own company, the FMA is available to answer questions at any time.

DORA has been applicable in the European Union since January 17, 2025. In Liechtenstein, applicability requires a decision by the EEA Joint Committee and the associated incorporation into the EEA Agreement. In Liechtenstein, DORA applies directly following its incorporation into the EEA Agreement. Some of the provisions of the Regulation require national implementation, for which the EEA DORA Implementation Act (DORA-DG) is created. The DORA-DG provides for the advance implementation of these EEA legal acts due to the not yet foreseeable legally binding adoption of Regulation (EU) 2022/2554 (DORA) and Directive (EU) 2022/2556 into the EEA Agreement. The Act of December 5, 2024 on the implementation of Regulation (EU) 2022/2554 on digital operational resilience in the financial sector (EEA-DORA-DG) entered into force on February 1, 2025.

IKT-Dienstleistungen sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen , mit Ausnahme herkömmlicher analoger Telefondienste (Art. 3 Absatz 1 Nr. 21 DORA).

Das Informationsregister gemäss Art. 28 Abs. 3 DORA ist ein zu erstellendes bzw. zu befüllendes Register mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen, welches von DORA als wichtiges Werkzeug im Rahmen des IKT-Risikomanagementrahmens gesehen wird. Die Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister beinhaltet nähere Details zum Informationsregister.

With the applicability of DORA in Liechtenstein, those financial intermediaries that fall under the scope of DORA will be exempt from FMA Directive 2021/3 - ICT Security. FMA Directive 2021/3 remains in force for those financial intermediaries that do not fall within the scope of DORA. In view of the applicability of DORA in Liechtenstein from February 1, 2025, adjustments were made to FMA Directive 2021/3, which entered into force on the same date. Financial intermediaries for which DORA is applicable are explicitly exempt from FMA Directive 2021/3 when these amendments enter into force.

Mittlerweile wurde die Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister erlassen. Darin wurde verschriftlicht, dass bei juristischen Personen die LEI und die EUID anerkannte internationale und europäische Kennungen sind, die eine kohärente, eindeutige und zuverlässige Identifizierung von Unternehmen gewährleisten. Folglich sollte eine dieser beiden Kennungen zur Identifizierung der in der Union niedergelassenen IKT-Drittdienstleister für die Zwecke der Anwendung der genannten Verordnung verwendet werden und als Information gelten, die allen vertraglichen Vereinbarungen gemein ist; die Identifizierung von in Drittstaaten niedergelassenen IKT-Drittdienstleistern hingegen sollte lediglich anhand der LEI erfolgen.

Der Legal Entity Identifier («LEI-Code») ist eine zwanzigstellige alphanumerische Unternehmenskennung, die als internationaler Standard für Unternehmen des Finanzmarkts etabliert wurde. Jeder LEI-Code wird einmalig vergeben und ermöglicht eine weltweite Zuordnung zu einem konkreten Unternehmen.

Bei standardisierten Softwarelizenzen handelt es sich üblicherweise um Nutzungsrechte, die keine IKT-Dienstleistung i.S.d. Art. 3 Nr. 21 DORA darstellen. Häufig gibt es aber noch begleitende IKT-Dienstleistungen, z.B. über mit dem Lizenzkauf verbundene Wartungs- und Supportverträge.

IKT-Dienstleistungen, die kritische oder wichtige Funktionen der Finanzunternehmen unterstützen, sind in Art. 3 Nr. 21 bzw. 22 DORA definiert. Die Prüfung, welche Funktionen kritisch oder wichtig sind, wird vom Finanzunternehmen selbst vorgenommen. Davon abzugrenzen sind kritische IKT-Drittdienstleister, die in Art. 3 Nr. 23 DORA definiert werden. Diese werden gemäss Art. 31 DORA nach den Regelungen des Rahmenwerks zur Überwachung kritischer IKT-Drittdienstleister durch die Aufsichtsbehörden als kritisch eingestuft.

Die Vorlage für das Informationsregister wurde durch die ESAs im Rahmen der Publikation des aktuellen EBA Reporting Technical Package am 19. Dezember 2024 bereitgestellt. Die Publikation der Dokumente finden Sie hier. Wesentlich hierfür war die Publikation der Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister, welches nun erfolgt ist. Es wurden nur geringfügige Anpassungen zu den Vorlagen des ESA DORA Dry Runs vorgenommen.

Der Einreichezeitraum für Finanzintermediäre in Liechtenstein erstreckt sich vom 1. April bis einschliesslich 14. April 2025. Bitte beachten Sie, dass das Informationsregister für das Jahr 2025 mit Stichtag 31. März 2025 zu erstellen und einzureichen ist. Die zuständigen Aufsichtsbehörden sollen die Informationsregister an die ESAs bis zum 30. April 2025 weiterleiten. Die Einreichung sowohl für die Meldung schwerwiegender IKT-bezogener Vorfälle als auch für das Informationsregister erfolgt für Finanzintermediäre in Liechtenstein über das e-Service Portal.

Das Informationsregister ist im XBRL-CSV-Format im e-Service Portal der FMA einzureichen. Die Publikation des EBA Reporting Technical Package, welches die notwendigen technischen Informationen zur Einreichung des DORA Informationsregisters enthält, finden Sie hier: EBA Technical Package

No, the information register is submitted in XBRL-CSV format using the specifications of the ESAs in accordance with the EBA Technical Package. As already announced as part of the ESA DORA Dry Run, no Excel template with XBRL converter tool will be made available for reporting in 2025.

Yes, the European Supervisory Authorities (ESAs) provide comprehensive answers to frequently asked questions, which are continuously updated by the ESAs: ESA Information Register FAQs

According to Art. 3 para. 8 DORA, an ICT-related incident is an event not planned by the financial undertaking or a corresponding series of related events that affects the security of the network and information systems and has a detrimental impact on the availability, authenticity, integrity or confidentiality of data or on the services provided by the financial undertaking.

Each ICT-related incident must be classifiedin accordance with Art. 18 para. 1 DORA (based on the relevant classification criteria including the Delegated Regulation (EU) 2024/1772 establishing the criteria for the classification of ICT-related incidents and cyber threats, the materiality thresholds and the details of serious incident reports).

A financial intermediary is obliged to report an ICT-related incident if it is classified as serious on the basis of the above criteria (Art. 19 para. 1).

Sämtliche Finanzintermediäre, welche gemäss Art. 2 Abs. 1 DORA in den Geltungsbereich von DORA fallen, sind dazu verpflichtet, schwerwiegende IKT-bezogene Vorfälle unter Berücksichtigung der Vorgaben der Delegierten Verordnung (EU) 2025/301 bei der FMA einzureichen.

Im e-Service Portal kann eine anlassbezogene Meldung für schwerwiegende IKT-bezogene Vorfälle ausgelöst werden. Zudem melden Finanzintermediäre erhebliche Cyberbedrohungen auf freiwilliger Basis ebenfalls über das e-Service Portal, wenn der Finanzintermediär eine Bedrohung (bspw. für den Finanzsektor, andere Marktteilnehmer oder Kunden) feststellt.

Es sind für die Einreichung der Meldung die Excel-Vorlagen der europäischen Aufsichtsbehörden (ESA) zu verwenden, welche bei der Meldung im e-Service sowie auf der FMA DORA Webseite zur Verfügung stehen. Auch wenn die Vorlage auf Englisch zur Verfügung gestellt wird, ist auch eine Befüllung in deutscher Sprache zulässig. Dabei ist bei der Einreichung der unterschiedlichen Meldungen folgende Vorgehensweise zu berücksichtigen:

1. Erstmeldung: Es ist ausschliesslich das Registerblatt «Initial Notification» zu befüllen.
2. Zwischenmeldung: Es sind die zwei Registerblätter «Initial Notification» und «Intermediate Report» zu befüllen.
3. Abschlussmeldung: Es sind alle drei Registerblätter «Initial Notification», «Intermediate Report» und «Final Report» zu befüllen.

Bei einem geänderten Sachverhalt hinsichtlich einzelner Meldungsinhalte zwischen den Meldungen (bspw. Änderungen zw. der Erstmeldung und Zwischenmeldung) sind die Daten bei der Eingabe der Zwischen- oder Abschlussmeldung anzupassen.

Details zu Inhalt und Fristen der Meldung schwerwiegender IKT-bezogener Vorfälle sind in der Delegierten Verordnung (EU) 2025/301 dargelegt. Dabei sind insbesondere folgende Fristen für die Meldung relevant:

1. Erstmeldung: Einzureichen ist diese Meldung so früh wie möglich, in jedem Fall aber innerhalb von vier Stunden nach Einstufung des IKT-bezogenen Vorfalls als schwerwiegend und spätestens 24 Stunden nach dem Zeitpunkt, zu dem das Finanzunternehmen Kenntnis von dem IKT-bezogenen Vorfall erlangt hat.
2. Zwischenmeldung: Einzureichen ist diese Meldung spätestens 72 Stunden nach Übermittlung der Erstmeldung. Die Finanzintermediäre übermitteln unverzüglich etwaige aktualisierte Zwischenmeldungen, in jedem Fall aber, sobald der reguläre Geschäftsbetrieb wiederaufgenommen wurde.
3. Abschlussmeldung: Einzureichen ist diese Meldung spätestens einen Monat nach Übermittlung der Zwischenmeldung oder gegebenenfalls nach der letzten aktualisierten Zwischenmeldung.