FMA warnt: Vorbereitung auf neues EU-Cybersicherheitsregime DORA dringend erforderlich

Vor wenigen Wochen hat das fehlerhafte Update der „Crowdstrike“-Software eine weltweite Krise ausgelöst. So mussten etwa Krankenhäuser auf Notbetrieb umstellen, Flugzeuge konnten nicht abheben, Lebensmittelläden schlossen oder Bankomaten fielen aus. Ein Vorfall, der dramatisch vor Augen geführt hat, dass nicht nur bösartige Hackerattacken oder gefährliche Computerviren ein gravierendes IT- und System-Risiko darstellen können, sondern sogar einfache Produktmängel. Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act – DORA), die ab dem 17. Jänner 2025 anzuwenden ist, adressiert genau derartige Risiken, rückt die Informations- und Kommunikationstechnologien (IKT) in den regulatorischen Fokus und stärkt die Widerstandsfähigkeit der europäischen Finanzunternehmen und des gesamten Finanzmarkts gegenüber Cyber-Risiken und IKT-bedingten Betriebsstörungen. Überdies bezieht sie erstmals auch IKT-Drittanbieter, die als kritisch eingestuft werden, in den neuen Überwachungsrahmen ein.

„DORA ist ein ambitionierter regulatorischer Rahmen, der grundlegende und weitreichende Neuerungen mit sich bringt. Die betroffenen Finanzdienstleister und Drittanbieter müssen in den nächsten Wochen und Monaten die Vorbereitung auf das neue Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in vollem Umfang anwendbar“, so der Vorstand der FMA, Helmut Ettl und Eduard Müller. Die FMA hat daher einen eigenen DORA-Bereich auf ihrer Website online gestellt, auf dem alle einschlägigen Regularien und Anforderungen zusammengefasst sind. Dort sind etwa auch die technischen Regulierungs- und Durchführungsstandards im Detail dargestellt und erklärt. Überdies werden häufig gestellte Fragen in einem Q&A-Format beantwortet.