„Die DORA-Verordnung setzt neue Maßstäbe für die Sicherheit und Stabilität im europäischen Finanzmarkt. Unternehmen, die sich nicht rechtzeitig mit den Anforderungen auseinandersetzen, riskieren erhebliche Sanktionen und Gefährdung ihrer Geschäftsmodelle“, erklärt Dr. Peter Wagesreiter, Rechtsexperte und Partner bei HSP.law. Die Verordnung zielt darauf ab, Risiken im Bereich der Informations- und Kommunikationstechnologien (IKT) einzudämmen, um den europäischen Finanzmarkt besser vor Cyberangriffen zu schützen. Dadurch soll der Schutz von Anlegern sowie Verbrauchern gefestigt werden. Dies umfasst nicht nur Banken und Wertpapierfirmen, sondern auch Zahlungs- und E-Geldinstitute sowie Anbieter von Krypto-Dienstleistungen und IKT-Drittdienstleister. Diese Unternehmen unterliegen strengen Governance- und Kontrollpflichten, um die Stabilität ihrer digitalen Systeme zu gewährleisten. Obwohl die meisten Verordnungsvorschriften für diese Unternehmen unabhängig ihrer Größe geltend werden, gibt es Ausnahmen. Aufgrund des Verhältnismäßigkeitsprinzips sieht der Europäische Gesetzgeber für Kleinstunternehmen einige Erleichterungen vor. „Ein zentrales Element der DORA-Verordnung ist das IKT-Risikomanagement, welches eine kontinuierliche Überprüfung und Weiterentwicklung von Strategien, Richtlinien und Tools erfordert. Das Leitungsorgan eines Unternehmens trägt dabei eine erhebliche Verantwortung“, betont Dr. Wagesreiter. „Besonders wichtig ist es, dass regelmäßige Schulungen zu IKT-Risiken durchgeführt werden, damit das Management die Auswirkungen auf die Geschäftsfähigkeit seines Unternehmens versteht und entsprechend handeln kann.“

Neben der Verpflichtung zur Identifikation und Bewertung von IKT-Risiken müssen Finanzunternehmen künftig auch schwerwiegende IKT-bezogene Vorfälle an eine nationale Behörde melden. „Diese Meldepflicht stellt sicher, dass die Behörden über potenziell systemrelevante Störungen informiert sind und entsprechende Maßnahmen ergreifen können“, so Dr. Wagesreiter weiter. „Für Unternehmen bedeutet dies jedoch auch, dass sie bereits jetzt klare Verfahren zur Klassifizierung und Kommunikation solcher Vorfälle entwickeln müssen.“ Bei solchen Vorfällen, die Auswirkungen auf finanzielle Kundeninteressen haben, müssen außerdem die betroffenen Kunden rasch über den Zwischenfall und die gesetzten Maßnahmen informiert werden.

Herausforderungen und Handlungsempfehlungen für Unternehmen

Das nationale DORA-Vollzugsgesetz, das die effektive Anwendung der Verordnung in Österreich sicherstellen soll, wird voraussichtlich die Finanzmarktaufsicht (FMA) als zuständige Behörde festlegen und deren Aufsichts- und Sanktionsbefugnisse erweitern. Zudem wird eine Erweiterung des Anwendungsbereichs der DORA-Verordnung auf nationale Institute, die bislang nicht erfasst waren, angestrebt. „Die Übergangszeit mag lang erscheinen, aber der 17. Januar 2025 kommt schneller, als man denkt. Unternehmen sollten sich so schnell wie möglich mit den Anforderungen der DORA-Verordnung auseinandersetzen und die notwendigen Implementierungsschritte in die Wege leiten. Eine frühzeitige Vorbereitung ist der Schlüssel, um den neuen Herausforderungen erfolgreich zu begegnen“, rät Dr. Wagesreiter abschließend.