© WEKA Business Solutions GmbH
A-1200 Wien, Dresdner Straße 45
E-Mail: kundenservice@weka.at
DORA-Verordnung – die Umsetzungsfrist rückt näher
Die DORA-Verordnung ist Teil des Cybersicherheitspakets der EU und in allen EU-Staaten unmittelbar anwendbar. WEKA-Autor Mag. Alexander Koukal LL.M. rät zu einer rechtzeitigen Auseinandersetzung mit DORA.
Weitere Informationen hat er im Werk Mustersammlung IT-Verträge zusammengestellt.
Die Berichte über weltweite IT-Ausfälle Mitte Juli bei Banken, Flughäfen und Spitälern sind noch gut in Erinnerung. Dass ausgerechnet ein fehlerhaftes Update einer Cybersecurity-Firma dafür verantwortlich gewesen sein soll, ist eine Ironie der Geschichte. Für zahlreiche Unternehmen der Finanzmarktsektoren ist es gerade jetzt an der Zeit, die Umsetzung der europäischen Initiative zur Stärkung der Cybersicherheit zu finalisieren.
Ein Baustein davon ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz: DORA). Sie ist in allen EU-Mitgliedstaaten unmittelbar anwendbar und von den erfassten Unternehmen bis 17.01.2025 zu implementieren.
DORA-Verordnung – Zielsetzung
Ziel von DORA ist die Schaffung eines EU-weit harmonisierten hohen Standards zur Verbesserung so genannter Resilienz, das bedeutet Widerstandsfähigkeit, und Betriebsstabilität digitaler Systeme im Finanzsektor. Dabei geht es unter anderem um die Auslagerung von IT-Dienstleistungen an IKT-Drittanbieter. DORA enthält Vorgaben sowohl für die Finanzunternehmen selbst als auch für IKT-Drittanbieter, die Leistungen für solche Unternehmen erbringen. DORA erfasst nicht nur Outsourcingvorgänge, sondern sämtliche Vertragsbeziehungen mit IKT-Dienstleistern.
Die Verordnung bringt unter anderem neue Regelungen für das IKT-Risikomanagement, die Behandlung von IKT-bezogenen Vorfällen, Sicherheitsaudits, Überwachung von Dienstleistern sowie den Informationsaustausch.
Wichtiger Hinweis:
Es ist notwendig, fristgerecht alle Verträge mit IT-Dienstleistern zu prüfen und die von Art 30 DORA geforderten Mindestinhalte zu ergänzen
Die Europäischen Aufsichtsbehörden (ESA) erarbeiten über den Sommer Regulierungsstandards. Informationen über den aktuellen Stand sind hier nachzulesen: https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora
Mit der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) gibt es zwei weitere Regelungen, die ein Nachjustieren bei der Cybersicherheit im Unternehmen fordern.
Autor
Mag. Alexander Koukal LL.M. ist Rechtsanwalt und Partner von Höhne, In der Maur & Partner, Wien. Nach dem Studium der Rechtswissenschaften in Wien (Mag. iur. 2001) absolvierte er den Universitätslehrgang für Informationsrecht und Rechtsinformation an der Universität Wien (LL.M. 2003). Seine Arbeitsschwerpunkte umfassen Medienrecht, IT-Recht und E-Commerce, Datenschutz, Urheber-, Marken- und Wettbewerbsrecht, Rundfunkrecht und Vereinsrecht.
Er ist regelmäßig Autor für WEKA-Publikationen wie die Mustersammlung IT-Verträge oder das Handbuch Internetrecht und E-Commerce.
Zum Beitrag