Die jüngsten Störungen bei Informations- und Kommunikationstechnologien (IKT) in Unternehmen weltweit haben auch im vergangenen Jahr verdeutlicht, wie sehr sich die Wirtschaft auf zuverlässige IKT für einen reibungslosen Geschäftsbetrieb verlässt. Im Juli 2024 führte ein fehlerhaftes Update der Sicherheitssoftware Crowdstrike Falcon auf der ganzen Welt zu IKT-Ausfällen in Unternehmen aus den Bereichen Infrastruktur, Gesundheitswesen, Transport und Finanzdienstleistungen. In Österreich sind in den letzten Monaten Ausfälle oder Störungen in der IKT-Infrastruktur von einzelnen Banken aufgetreten, die etwa zu falschen Kontoinformationen oder ausgefallenen Bankomaten geführt haben. Damit das besonders stark IKT-abhängige Finanzsystem sich gegen solche Risiken wappnet, hat die Europäische Union (EU) einen Rechtsrahmen geschaffen.
Stärkung der digitalen Resilienz des Finanzsektors
Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act oder kurz DORA) ist ein bedeutender Schritt zur Stärkung der digitalen Widerstandskraft von Banken, Versicherungen und Märkten. Die Verordnung ist am 16. Jänner 2023 in Kraft getreten und wird ab dem morgigen 17. Jänner 2025 in der gesamten Union angewendet. Die wesentlichen Regelungsbereiche von DORA sind das IKT-Risikomanagement; die Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle; das Testen der Fähigkeit, Cyber-Angriffe abzuwehren – auch durch simulierte Angriffe durch sogenannte White-Hat-Hacker oder Red Teams (Threat-led penetration testing); das Management des IKT-Drittparteienrisikos; der Überwachungsrahmen für kritische IKT-Drittdienstleister sowie die Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen.
FMA als zuständige DORA-Behörde
DORA stellt auch vielfältige Anforderungen an die Aufsichtsbehörden im Finanzsektor. In Österreich ist die FMA (Österreichische Finanzmarktaufsicht) die zuständige Behörde für die Überwachung der Einhaltung der DORA-Vorgaben; sie arbeitet dabei mit der Oesterreichischen Nationalbank (OeNB) eng zusammen. Für die FMA bedeutet dies, Prozesse zur effizienten Erfüllung der DORA-Vorgaben zu implementieren und kontinuierlich zu verbessern. Insbesondere neue IKT-Systeme zur Verarbeitung von Meldungen zu schwerwiegenden IKT-bezogenen Vorfällen und zu von Finanzunternehmen zu übermittelnden Informationsregistern über die eingesetzten IKT- Drittdienstleister sind eingerichtet worden.
Neuer Überwachungsrahmen für kritische IKT-Drittdienstleister
Mit DORA wird auch ein europäischer Überwachungsrahmen eingerichtet, der darauf abzielt, die Risiken, die von der Konzentration der Abhängigkeiten von IKT-Drittdienstleistern ausgehen, effektiv zu überwachen und zu minimieren. Im Fokus stehen hier für den europäischen Finanzsektor besonders wichtige kritische IKT-Drittdienstleister wie große, global tätige Cloud-Service Provider. Die drei europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA) übernehmen hier die operative Überwachungstätigkeit.
DORA ist kein Selbstzweck, sondern dient der Finanzstabilität
„Diese umfassenden Regelungen sollen sicherstellen, dass Finanzunternehmen auch bei schwerwiegenden Störungen der Cybersicherheit oder der IKT-Systeme ihren Betrieb aufrechterhalten können“, so die FMA-Vorstände Helmut Ettl und Eduard Müller. „Die Einführung von DORA ist ein entscheidender Schritt, um Stabilität und Sicherheit des europäischen Finanzmarkts zu gewährleisten und das Vertrauen der Verbraucherinnen und Verbraucher in die digitalen Finanzdienstleistungen zu stärken. Mit DORA wird ein neuer Standard für die Cybersicherheit im Finanzsektor gesetzt.“
Weitere Informationen:
Antworten zu DORA finden Sie auf unserer Website: DORA – Digitale operationale Resilienz im Finanzsektor – FMA Österreich.
OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS. www.ots.at
(C) Copyright APA-OTS Originaltext-Service GmbH und der jeweilige Aussender. Finanzmarktaufsicht