APA ots news: Nach "Crowdstrike"-Krise: FMA mahnt Finanzdienstleister und...

APA ots news: Nach "Crowdstrike"-Krise: FMA mahnt Finanzdienstleister und IKT-Anbieter sich rechtzeitig auf DORA vorzubereiten

Das neue EU-Aufsichtsregime zur Stärkung der Cyber- und
IKT-Sicherheit- FMA stellt eigenen DORA-Bereich auf Website
online

Wien (APA-ots) - Vor wenigen Wochen hat das fehlerhafte Update der
"Crowdstrike"-
Software eine weltweite Krise ausgelöst. So mussten etwa
Krankenhäuser auf Notbetrieb umstellen, Flugzeuge konnten nicht
abheben, Lebensmittelläden schlossen oder Bankomaten fielen aus. Ein
Vorfall, der dramatisch vor Augen geführt hat, dass nicht nur
bösartige Hackerattacken oder gefährliche Computerviren ein
gravierendes IT- und System-Risiko darstellen können, sondern sogar
einfache Produktmängel. Die EU-Verordnung über die digitale
operationale Resilienz im Finanzsektor ( Digital Operational
Resilience Act [1] oder kurz DORA), die ab dem 17. Jänner 2025
anzuwenden ist, adressiert genau derartige Risiken, rückt die
Informations- und Kommunikationstechnologien (IKT) in den
regulatorischen Fokus und stärkt die Widerstandsfähigkeit der
europäischen Finanzunternehmen und des gesamten Finanzmarkts
gegenüber Cyber-Risiken und IKT-bedingten Betriebsstörungen. Überdies
bezieht sie erstmals auch IKT-Drittanbieter, die als kritisch
eingestuft werden, in den neuen Überwachungsrahmen ein.

"DORA ist ein ambitionierter regulatorischer Rahmen, der
grundlegende und weitreichende Neuerungen mit sich bringt. Die
betroffenen Finanzdienstleister und Drittanbieter müssen in den
nächsten Wochen und Monaten die Vorbereitung auf das neue
Aufsichtsregime abschließen, denn DORA ist ohne Übergangsfristen in
vollem Umfang anwendbar", so der Vorstand der FMA, Helmut Ettl und
Eduard Müller. Die FMA hat daher heute einen eigenen DORA-Bereich auf
ihrer Website online gestellt, auf dem alle einschlägigen Regularien
und Anforderungen zusammengefasst und die wesentlichen Informationen
allgemein verständlich aufbereitet sind. Dort sind etwa auch die
technischen Regulierungs- und Durchführungsstandards, die
größtenteils bereits erarbeitet sind, im Detail dargestellt und
erklärt. Überdies werden häufig gestellte Fragen in einem
umfangreichen Q&A-Format beantwortet und allgemein verständlich
erläutert.

DORA - neue und strenge Regeln, neue überwachte Unternehmen

Das umfangreiche Regulierungspaket DORA schließt bestehende
Lücken in der Gesetzgebung für Finanzdienstleister, konsolidiert das
bislang über verschiedene Bereiche verstreute Regelwerk und
implementiert weitreichende Berichts-, Informations- und
Überwachungspflichten. So verpflichtet DORA betroffene
Finanzunternehmen und Drittanbieter dazu, zahlreiche Maßnahmen zu
ergreifen und Vorgänge zu beachten:

- etwa einen IKT-Risikomanagementrahmen sowie ein Business Continuity
Management zu implementieren;

- zahlreichen Berichtspflichten, insbesondere zu Verträgen mit
Drittanbietern von IKT-Dienstleistungen oder auch von IKT-Vorfällen,
nachzukommen;

- die digitale Betriebsstabilität regelmäßig zu testen (auch durch
zentral gesteuerte bedrohungsorientierte Penetrationstests);

- IKT-Drittdienstleister-Risiken zu steuern und zu überwachen sowie

- einen regelmäßigen Informationsaustausch zwischen den betroffenen
Unternehmen zu institutionalisieren.

Mit dem Stichtag der gesetzlich verpflichtenden Anwendung von
DORA müssen bereits alle Verträge mit IKT-Drittanbietern den neuen
regulatorischen Anforderungen entsprechen. Der FMA ist unverzüglich
ein Informationsregister zu allen Verträgen mit IKT-
Drittdienstleistern zu übermitteln. Auch schwerwiegende Cyber-
Vorfälle und IKT-bedingte Betriebsstörungen sind dann innerhalb der
vorgesehenen Fristen der FMA zu melden.

DORA betrifft im Wesentlichen alle Finanzmarktsektoren,
wenngleich bei der Anwendung das jeweilige Risikoprofil zu
berücksichtigen ist. Um das breite Spektrum der Vernetzungen mit
Anbietern technologischer Lösungen (Rechenzentren, Cloud-
Dienstleister, Softwareentwickler, Datenanalysten etc.) in die
Aufsicht effizient einzubeziehen, wird ein europäisches
Überwachungsregime für kritische IKT-Dienstleister geschaffen. Dies
erfordert neue Strukturen in und Kommunikationsschnittstellen
zwischen den zahlreichen beteiligten Akteuren (z.B. beaufsichtigte
Unternehmen, nationale und europäische Behörden).

FMA begleitet die Unternehmen bei der Umsetzung sehr eng

"Die FMA hat bereits vor geraumer Zeit einen Aufsichtsschwerpunkt
auf die Herausforderungen dieser neuen Regulierung gelegt und
begleitet die beaufsichtigten Unternehmen wie auch Drittanbieter hier
sehr eng," so der FMA-Vorstand weiter. So hat die FMA in den
vergangenen Jahren eine Vielzahl an innovativen Aufsichtsinstrumenten
entwickelt, die in der "FMA Cyber Security Toolbox" zusammengefasst
sind. In der Analyse zur "Austrian Digital Landscape" evaluiert und
prüft die FMA den Grad der Digitalisierung des Geschäftsbetriebs
sowie die operationale Resilienz (IT-Infrastruktur, IKT-
Verflechtungen, Maßnahmen zur Prävention und Detektion von
Cybervorfällen und Betriebsstörungen) der Unternehmen auf dem
österreichischen Finanzmarkt. Überdies bietet die FMA in zahlreichen
Veranstaltungen beaufsichtigten Unternehmen und Stakeholdern laufend
einen strukturierten Dialog zu allen Fragen betreffend DORA an.

Den Link zum neuen Bereich der FMA-Website mit umfassenden
Informationen zu DORA finden Sie hier: https://www.fma.gv.at/dora

[1] Verordnung (EU) 2022/2554 des Europäischen Parlaments und des
Rates vom 14. Dezember 2022 über die digitale operationale Resilienz
im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009,
(EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 201
6/1011

Rückfragehinweis:
Finanzmarktaufsicht (FMA)
Boris Gröndahl
Telefon: +43 676 8824 9995
E-Mail: boris.groendahl@fma.gv.at

Digitale Pressemappe: http://www.ots.at/pressemappe/694/aom

*** OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER
INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.OTS.AT ***

OTS0038 2024-08-26/10:30