Die Verordnung (EU) 2022/2554, meist als DORA bezeichnet, ist eine EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor. Sie legt einheitliche Anforderungen dafür fest, wie Finanzunternehmen und bestimmte IKT-Drittdienstleister Informations- und Kommunikationstechnologie-Risiken steuern, Vorfälle behandeln, ihre Widerstandsfähigkeit testen und Risiken aus Auslagerungen an digitale Dienstleister beherrschen. Als Verordnung gilt sie in den Mitgliedstaaten grundsätzlich unmittelbar und bedarf nicht erst einer vollständigen nationalen Umsetzung.
Was regelt Verordnung (EU) 2022/2554?
DORA schafft einen unionsweit einheitlichen Rechtsrahmen für den Umgang des Finanzsektors mit digitalen Risiken. Der Kern der Verordnung ist, dass Finanzunternehmen nicht nur klassische IT-Sicherheit betreiben sollen, sondern ihre gesamte digitale Betriebsstabilität organisatorisch, technisch und rechtlich absichern müssen. Gemeint ist die Fähigkeit, IKT-bezogene Störungen, Ausfälle, Cyberangriffe und sonstige digitale Zwischenfälle zu verhindern, abzufedern, zu bewältigen und sich davon rasch zu erholen.
Die Verordnung enthält insbesondere Vorgaben zu mehreren Bereichen: zum IKT-Risikomanagement, zur Meldung und Behandlung schwerwiegender IKT-bezogener Vorfälle, zu Tests der digitalen operationalen Resilienz, zum Management von IKT-Drittrisiken sowie zur Zusammenarbeit beim Informationsaustausch. Unternehmen müssen klare interne Zuständigkeiten festlegen, Risiken laufend erfassen und dokumentieren, Sicherheitsmaßnahmen implementieren und Notfall- sowie Wiederherstellungspläne vorhalten.
Ein zentrales Thema ist die Abhängigkeit des Finanzsektors von externen Technologieanbietern, etwa Cloud-Anbietern, Rechenzentrumsbetreibern, Software- oder Datenservices. DORA verlangt dafür ein strukturiertes Drittparteien-Risikomanagement. Verträge mit IKT-Drittdienstleistern müssen bestimmte Mindestinhalte aufweisen. Zusätzlich sieht die Verordnung auf EU-Ebene einen besonderen Überwachungsrahmen für kritische IKT-Drittdienstleister vor.
DORA ergänzt damit bestehende sektorale Finanzmarktregeln um einen gemeinsamen digitalen Resilienzstandard. Die Verordnung ist Teil des europäischen Digital-Finance-Rahmens und soll sicherstellen, dass der Finanzmarkt auch bei digitalen Störungen funktionsfähig bleibt.
Warum ist der Rechtsakt wichtig?
Der Finanzsektor ist in hohem Maß digitalisiert. Zahlungsverkehr, Wertpapierhandel, Versicherungsbetrieb, Kreditvergabe, Kundenschnittstellen und interne Steuerung hängen von verlässlichen IT-Systemen ab. Schon kurze Ausfälle können erhebliche wirtschaftliche Folgen haben. Cyberangriffe, Softwarefehler, Lieferkettenprobleme oder Ausfälle bei Cloud-Diensten betreffen längst nicht mehr nur einzelne Unternehmen, sondern können wegen der starken Vernetzung systemische Auswirkungen haben.
DORA ist wichtig, weil sie bisher zersplitterte oder unterschiedlich strenge Anforderungen aus den einzelnen Finanzsektoren stärker vereinheitlicht. Das verbessert die Vergleichbarkeit der Aufsicht, erhöht die Rechtssicherheit und setzt einen gemeinsamen Mindeststandard in der gesamten Union. Gerade grenzüberschreitend tätige Finanzunternehmen profitieren davon, dass nicht mehr ausschließlich verschiedene nationale oder sektorale Detailregeln nebeneinanderstehen.
Für den Schutz von Kundinnen und Kunden, Anlegerinnen und Anlegern sowie der Stabilität des Finanzsystems hat die Verordnung ebenfalls große Bedeutung. Ein widerstandsfähiger digitaler Betrieb ist heute ein Kernelement ordnungsgemäßer Unternehmensführung. DORA macht deutlich, dass IKT-Risiken kein bloß technisches Randthema sind, sondern auf Leitungsebene gesteuert werden müssen.
Bedeutung für Österreich
Für Österreich ist DORA vor allem deshalb relevant, weil österreichische Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsdienstleister und weitere beaufsichtigte Unternehmen die unionsrechtlichen Anforderungen unmittelbar beachten müssen. Die Verordnung gilt als EU-Verordnung grundsätzlich direkt. Nationale Regelungen sind aber dort notwendig oder sinnvoll, wo Zuständigkeiten der Aufsicht, Verfahrensfragen, Sanktionen oder Anpassungen im bestehenden Aufsichtsrecht zu regeln sind.
In Österreich betrifft DORA insbesondere die Praxis der Finanzmarktaufsicht und das Zusammenspiel mit bereits bestehenden Pflichten nach dem Bank-, Versicherungs- und Wertpapierrecht. Die FMA ist im österreichischen Finanzmarktaufsichtssystem eine zentrale Anlaufstelle für beaufsichtigte Unternehmen. Soweit österreichische Begleitregelungen erforderlich sind, dienen sie typischerweise dazu, die unionsrechtlichen Vorgaben in das nationale Aufsichts- und Sanktionssystem einzupassen. Welche Detailanpassungen in einzelnen Materiengesetzen vorgenommen wurden oder werden, ist im Einzelfall zu prüfen.
Auch österreichische Unternehmensgruppen mit internationaler Tätigkeit müssen DORA konzernweit beachten. Praktisch relevant ist dabei, dass viele Institute zentrale IT-Funktionen gruppenintern oder an externe Anbieter ausgelagert haben. DORA verlangt hier eine sehr genaue Steuerung, Dokumentation und vertragliche Absicherung. Für österreichische Unternehmen bedeutet das häufig, bestehende Governance-Strukturen, Vorfallsprozesse, Auslagerungsregister und Vertragsmuster zu überarbeiten.
Im unionsrechtlichen Zusammenhang ist außerdem wichtig, dass DORA neben der Verordnung selbst durch technische Regulierungs- und Durchführungsstandards konkretisiert wird. Für österreichische Marktteilnehmer ergibt sich daher die praktische Rechtslage nicht nur aus dem Verordnungstext, sondern auch aus diesen ergänzenden unionsrechtlichen Vorgaben und aus aufsichtlicher Praxis.
Wer ist davon betroffen?
- Kreditinstitute, Zahlungsinstitute, E-Geld-Institute und weitere Unternehmen des Bank- und Zahlungsverkehrssektors
- Versicherungsunternehmen, Rückversicherungsunternehmen und bestimmte Vermittlungs- oder Nebendienstleistungsbereiche, soweit der Anwendungsbereich eröffnet ist
- Wertpapierfirmen, Handelsplätze, zentrale Marktinfrastrukturen und sonstige beaufsichtigte Unternehmen des Kapitalmarkts
- Verwaltungsgesellschaften, alternative Investmentfonds-Manager und andere Akteure der Vermögensverwaltung, soweit sie unter DORA fallen
- IKT-Drittdienstleister, die Leistungen für Finanzunternehmen erbringen, insbesondere bei Auslagerungen von kritischen oder wichtigen Funktionen
- Leitungsorgane, Compliance-, Risikomanagement-, IT-, Sicherheits- und Auslagerungsverantwortliche innerhalb der betroffenen Unternehmen
Praktische Bedeutung
In der Praxis verlangt DORA von betroffenen Unternehmen vor allem ein belastbares IKT-Governance-System. Das beginnt bei der Verantwortung des Leitungsorgans. Die Geschäftsleitung oder das sonst zuständige Leitungsorgan muss Risiken nicht nur formal absegnen, sondern aktiv überwachen. Gefordert sind dokumentierte Strategien, interne Richtlinien, Rollenverteilungen, Eskalationswege und eine nachvollziehbare Kontrolle.
Ein weiterer Schwerpunkt ist das Vorfallsmanagement. Unternehmen müssen IKT-bezogene Vorfälle erkennen, klassifizieren, intern dokumentieren und schwere Vorfälle an die zuständigen Behörden melden. Dafür braucht es klare Prozesse, technische Erkennungsmechanismen und juristisch abgestimmte Meldeabläufe. Gerade in Österreich mit oft komplexen Konzernstrukturen und externen IT-Dienstleistern ist die Abstimmung zwischen Fachabteilungen, IT-Sicherheit, Rechtsabteilung und Aufsichtsrecht besonders wichtig.
Praktisch bedeutsam sind auch die Resilienztests. Je nach Unternehmensart und Risikoprofil können regelmäßige Prüfungen, Szenarioanalysen, Schwachstellenbewertungen und in bestimmten Fällen fortgeschrittene Tests erforderlich sein. Dadurch wird die Widerstandsfähigkeit nicht nur auf dem Papier, sondern unter realitätsnahen Bedingungen überprüft.
Besonders aufwendig ist häufig das Management von Drittparteien-Risiken. Viele Institute nutzen Standardverträge internationaler Anbieter, die nicht ohne Weiteres alle DORA-Anforderungen erfüllen. Unternehmen müssen daher Inventare über IKT-Dienstleistungen führen, kritische Abhängigkeiten identifizieren und Verträge an unionsrechtliche Mindestanforderungen anpassen. Das betrifft etwa Leistungsbeschreibung, Verfügbarkeit, Sicherheitsvorgaben, Prüf- und Zugangsrechte, Unterstützungsleistungen bei Vorfällen, Beendigungsmöglichkeiten und Exit-Strategien.
Für kleinere Unternehmen kann DORA zwar in einzelnen Punkten verhältnismäßig angewendet werden, dennoch bleibt der organisatorische Anpassungsbedarf oft erheblich. Die Verordnung ist damit nicht nur ein Thema für Großbanken oder internationale Versicherer, sondern für weite Teile des regulierten Finanzmarkts in Österreich.
Abgrenzung zu anderen Regelungen
DORA ist nicht mit allgemeinen Datenschutzregeln gleichzusetzen. Die Datenschutz-Grundverordnung regelt vor allem den Schutz personenbezogener Daten. DORA geht darüber hinaus und betrifft die Stabilität, Sicherheit und Wiederherstellungsfähigkeit digitaler Systeme im Finanzsektor insgesamt. Beide Regelwerke können parallel relevant sein, verfolgen aber unterschiedliche Schutzziele.
Auch zur NIS-2-Richtlinie ist eine Abgrenzung wichtig. Die NIS-2-Richtlinie ist eine EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau. Richtlinien bedürfen grundsätzlich der Umsetzung durch die Mitgliedstaaten. DORA hingegen ist eine Verordnung und gilt grundsätzlich unmittelbar. Für Finanzunternehmen schafft DORA einen spezialgesetzlichen Sektorrahmen. Soweit Überschneidungen mit allgemeinen Cybersicherheitsvorgaben bestehen, ist im Einzelfall zu prüfen, welche Regelung vorrangig oder ergänzend anzuwenden ist.
Abzugrenzen ist DORA außerdem von klassischen Auslagerungsregeln des Finanzaufsichtsrechts. Diese bleiben nicht bedeutungslos, werden aber durch DORA im Bereich digitaler Dienstleistungen erheblich verdichtet und unionsweit stärker harmonisiert. DORA ersetzt daher nicht jede andere Aufsichtsanforderung, sondern ergänzt und vereinheitlicht sie in Bezug auf IKT-Risiken.
Schließlich ist zu beachten, dass DORA kein österreichisches Sonderrecht ist, sondern unmittelbar geltendes Unionsrecht. Österreichische Gesetze können die Verordnung nicht inhaltlich verändern, wohl aber flankierende Zuständigkeits-, Verfahrens- und Sanktionsregelungen vorsehen, soweit unionsrechtlich vorgesehen oder erforderlich.
Quellen
- Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011
- EUR-Lex: Verordnung (EU) 2022/2554
- EUR-Lex
- Finanzmarktaufsicht Österreich (FMA)
- Relevante österreichische Begleit- und Anpassungsgesetze im Finanzaufsichtsrecht, soweit im Einzelfall anwendbar
