29.07.2024 | Datenschutz & IT | ID: 1181721

DORA-Verordnung – die Umsetzungsfrist rückt näher

Alexander Koukal

Die DORA-Verordnung ist Teil des Cybersicherheitspakets der EU und in allen EU-Staaten unmittelbar anwendbar. WEKA-Autor Mag. Alexander Koukal LL.M. rät zu einer rechtzeitigen Auseinandersetzung mit DORA.

Weitere Informationen hat er im Werk Mustersammlung IT-Verträge zusammengestellt.

Die Berichte über weltweite IT-Ausfälle Mitte Juli bei Banken, Flughäfen und Spitälern sind noch gut in Erinnerung. Dass ausgerechnet ein fehlerhaftes Update einer Cybersecurity-Firma dafür verantwortlich gewesen sein soll, ist eine Ironie der Geschichte. Für zahlreiche Unternehmen der Finanzmarktsektoren ist es gerade jetzt an der Zeit, die Umsetzung der europäischen Initiative zur Stärkung der Cybersicherheit zu finalisieren.

Ein Baustein davon ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz: DORA). Sie ist in allen EU-Mitgliedstaaten unmittelbar anwendbar und von den erfassten Unternehmen bis 17.01.2025 zu implementieren.

DORA-Verordnung – Zielsetzung

Ziel von DORA ist die Schaffung eines EU-weit harmonisierten hohen Standards zur Verbesserung so genannter Resilienz, das bedeutet Widerstandsfähigkeit, und Betriebsstabilität digitaler Systeme im Finanzsektor. Dabei geht es unter anderem um die Auslagerung von IT-Dienstleistungen an IKT-Drittanbieter. DORA enthält Vorgaben sowohl für die Finanzunternehmen selbst als auch für IKT-Drittanbieter, die Leistungen für solche Unternehmen erbringen. DORA erfasst nicht nur Outsourcingvorgänge, sondern sämtliche Vertragsbeziehungen mit IKT-Dienstleistern.

Die Verordnung bringt unter anderem neue Regelungen für das IKT-Risikomanagement, die Behandlung von IKT-bezogenen Vorfällen, Sicherheitsaudits, Überwachung von Dienstleistern sowie den Informationsaustausch.

Wichtiger Hinweis:

Es ist notwendig, fristgerecht alle Verträge mit IT-Dienstleistern zu prüfen und die von Art 30 DORA geforderten Mindestinhalte zu ergänzen

Die Europäischen Aufsichtsbehörden (ESA) erarbeiten über den Sommer Regulierungsstandards. Informationen über den aktuellen Stand sind hier nachzulesen: https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora

Mit der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) gibt es zwei weitere Regelungen, die ein Nachjustieren bei der Cybersicherheit im Unternehmen fordern.

Autor

Mag. Alexander Koukal LL.M. ist Rechtsanwalt und Partner von Höhne, In der Maur & Partner, Wien. Nach dem Studium der Rechtswissenschaften in Wien (Mag. iur. 2001) absolvierte er den Universitätslehrgang für Informationsrecht und Rechtsinformation an der Universität Wien (LL.M. 2003). Seine Arbeitsschwerpunkte umfassen Medienrecht, IT-Recht und E-Commerce, Datenschutz, Urheber-, Marken- und Wettbewerbsrecht, Rundfunkrecht und Vereinsrecht.

Er ist regelmäßig Autor für WEKA-Publikationen wie die Mustersammlung IT-Verträge oder das Handbuch Internetrecht und E-Commerce.

Ähnliche Beiträge

  • NIS-2 in der Lieferkette

    Zum Beitrag
  • NIS-2 & NISG 2024: Erhöhte Anforderungen an Datenschutz und IT-Sicherheit

    Zum Beitrag
  • Die neue KI-Verordnung ist seit 01.08.2024 in Kraft

    Zum Beitrag

Produkt-Empfehlungen

Produkt-Empfehlungen