APA ots news: Nach "Crowdstrike"-Krise: FMA mahnt Finanzdienstleister und...

APA ots news: Nach "Crowdstrike"-Krise: FMA mahnt Finanzdienstleister und IKT-Anbieter sich rechtzeitig auf DORA vorzubereiten

Das neue EU-Aufsichtsregime zur Stärkung der Cyber- und  
IKT-Sicherheit- FMA stellt eigenen DORA-Bereich auf Website 
online 

Wien (APA-ots) - Vor wenigen Wochen hat das fehlerhafte Update der  
"Crowdstrike"- 
Software eine weltweite Krise ausgelöst. So mussten etwa 
Krankenhäuser auf Notbetrieb umstellen, Flugzeuge konnten nicht 
abheben, Lebensmittelläden schlossen oder Bankomaten fielen aus. Ein 
Vorfall, der dramatisch vor Augen geführt hat, dass nicht nur 
bösartige Hackerattacken oder gefährliche Computerviren ein 
gravierendes IT- und System-Risiko darstellen können, sondern sogar 
einfache Produktmängel. Die EU-Verordnung über die digitale 
operationale Resilienz im Finanzsektor ( Digital Operational 
Resilience Act [1] oder kurz DORA), die ab dem 17. Jänner 2025 
anzuwenden ist, adressiert genau derartige Risiken, rückt die 
Informations- und Kommunikationstechnologien (IKT) in den 
regulatorischen Fokus und stärkt die Widerstandsfähigkeit der 
europäischen Finanzunternehmen und des gesamten Finanzmarkts 
gegenüber Cyber-Risiken und IKT-bedingten Betriebsstörungen. Überdies 
bezieht sie erstmals auch IKT-Drittanbieter, die als kritisch 
eingestuft werden, in den neuen Überwachungsrahmen ein. 

"DORA ist ein ambitionierter regulatorischer Rahmen, der 
grundlegende und weitreichende Neuerungen mit sich bringt. Die 
betroffenen Finanzdienstleister und Drittanbieter müssen in den 
nächsten Wochen und Monaten die Vorbereitung auf das neue 
Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in 
vollem Umfang anwendbar", so der Vorstand der FMA, Helmut Ettl und 
Eduard Müller. Die FMA hat daher heute einen eigenen DORA-Bereich auf 
ihrer Website online gestellt, auf dem alle einschlägigen Regularien 
und Anforderungen zusammengefasst und die wesentlichen Informationen 
allgemein verständlich aufbereitet sind. Dort sind etwa auch die 
technischen Regulierungs- und Durchführungsstandards, die 
größtenteils bereits erarbeitet sind, im Detail dargestellt und 
erklärt. Überdies werden häufig gestellte Fragen in einem 
umfangreichen Q&A-Format beantwortet und allgemein verständlich 
erläutert. 

DORA - neue und strenge Regeln, neue überwachte Unternehmen 

Das umfangreiche Regulierungspaket DORA schließt bestehende 
Lücken in der Gesetzgebung für Finanzdienstleister, konsolidiert das 
bislang über verschiedene Bereiche verstreute Regelwerk und 
implementiert weitreichende Berichts-, Informations- und 
Überwachungspflichten. So verpflichtet DORA betroffene 
Finanzunternehmen und Drittanbieter dazu, zahlreiche Maßnahmen zu 
ergreifen und Vorgänge zu beachten: 

- etwa einen IKT-Risikomanagementrahmen sowie ein Business Continuity 
Management zu implementieren; 

- zahlreichen Berichtspflichten, insbesondere zu Verträgen mit 
Drittanbietern von IKT-Dienstleistungen oder auch von IKT-Vorfällen, 
nachzukommen; 

- die digitale Betriebsstabilität regelmäßig zu testen (auch durch 
zentral gesteuerte bedrohungsorientierte Penetrationstests); 

- IKT-Drittdienstleister-Risiken zu steuern und zu überwachen sowie 

- einen regelmäßigen Informationsaustausch zwischen den betroffenen 
Unternehmen zu institutionalisieren. 

Mit dem Stichtag der gesetzlich verpflichtenden Anwendung von 
DORA müssen bereits alle Verträge mit IKT-Drittanbietern den neuen 
regulatorischen Anforderungen entsprechen. Der FMA ist unverzüglich 
ein Informationsregister zu allen Verträgen mit IKT- 
Drittdienstleistern zu übermitteln. Auch schwerwiegende Cyber- 
Vorfälle und IKT-bedingte Betriebsstörungen sind dann innerhalb der 
vorgesehenen Fristen der FMA zu melden. 

DORA betrifft im Wesentlichen alle Finanzmarktsektoren, 
wenngleich bei der Anwendung das jeweilige Risikoprofil zu 
berücksichtigen ist. Um das breite Spektrum der Vernetzungen mit 
Anbietern technologischer Lösungen (Rechenzentren, Cloud- 
Dienstleister, Softwareentwickler, Datenanalysten etc.) in die 
Aufsicht effizient einzubeziehen, wird ein europäisches 
Überwachungsregime für kritische IKT-Dienstleister geschaffen. Dies 
erfordert neue Strukturen in und Kommunikationsschnittstellen 
zwischen den zahlreichen beteiligten Akteuren (z.B. beaufsichtigte 
Unternehmen, nationale und europäische Behörden). 

FMA begleitet die Unternehmen bei der Umsetzung sehr eng 

"Die FMA hat bereits vor geraumer Zeit einen Aufsichtsschwerpunkt 
auf die Herausforderungen dieser neuen Regulierung gelegt und 
begleitet die beaufsichtigten Unternehmen wie auch Drittanbieter hier 
sehr eng," so der FMA-Vorstand weiter. So hat die FMA in den 
vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten 
entwickelt, die in der "FMA Cyber Security Toolbox" zusammengefasst 
sind. In der Analyse zur "Austrian Digital Landscape" evaluiert und 
prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs 
sowie die operationale Resilienz (IT-Infrastruktur, IKT- 
Verflechtungen, Maßnahmen zur Prävention und Detektion von 
Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem 
österreichischen Finanzmarkt. Überdies bietet die FMA in zahlreichen 
Veranstaltungen beaufsichtigten Unternehmen und Stakeholdern laufend 
einen strukturierten Dialog zu allen Fragen betreffend DORA an. 

Den Link zum neuen Bereich der FMA-Website mit umfassenden 
Informationen zu DORA finden Sie hier: https://www.fma.gv.at/dora 

[1] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des 
Rates vom 14. Dezember 2022 über die digitale operationale Resilienz 
im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, 
(EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 201 
6/1011 

Rückfragehinweis: 
   Finanzmarktaufsicht (FMA) 
   Boris Gröndahl 
   Telefon: +43 676 8824 9995 
   E-Mail: boris.groendahl@fma.gv.at 

Digitale Pressemappe: http://www.ots.at/pressemappe/694/aom 

*** OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER 
INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.OTS.AT *** 

OTS0038    2024-08-26/10:30