Blog-Übersicht
Die nationale DORA-Vollzugsgesetz
Welche Besonderheiten das österreichische DORA-Vollzugsgesetz mit sich bringt
Am 17. Jänner 2025 tritt die DORA-Verordnung (EU) 2022/2554 in Kraft. In Österreich wurde mit dem Bundesgesetz über das Wirksamwerden der Verordnung EU (2022/2554) über die digitale operationale Resilienz im Finanzsektor (DORA-VG) ein nationaler Rahmen geschaffen, um die Vorgaben der EU umzusetzen. Das Vollzugsgesetz tritt - im Wesentlichen - zeitgleich mit der DORA-Verordnung am 17. Jänner in Kraft. Ein zentraler Bestandteil des Gesetzes sind die klar definierten und spürbaren Sanktionen, die sicherstellen sollen, dass Unternehmen ihre digitale Resilienz ernst nehmen.
Hauptinhalte des DORA-Vollzugsgesetztes
1. Zuständigkeit der FMA: Die Finanzmarktaufsicht (FMA) wird als zuständige Behörde für die Überwachung der Einhaltung der DORA-Verordnung in Österreich festgelegt.
2. Aufsichts- und Sanktionsbefugnisse: Die FMA erhält erweiterte Befugnisse, um die Einhaltung der DORA-Vorgaben durchzusetzen, einschließlich der Möglichkeit, Sanktionen bei Verstößen zu verhängen.
3. Erweiterter Anwendungsbereich: Das Gesetz stellt klar, dass die DORA-Verordnung für eine breite Palette von Finanzunternehmen gilt, einschließlich nationaler Institute, um eine umfassende Abdeckung sicherzustellen.
4. Zusammenarbeit mit der OeNB: Es werden Regelungen zur Zusammenarbeit zwischen der FMA und der Oesterreichischen Nationalbank (OeNB) im Bereich der digitalen Resilienz festgelegt.
5. Anpassung bestehender Rechtsakte: Bestehende Gesetze im Finanzmarktbereich werden angepasst, um die Kohärenz mit den neuen DORA-Vorgaben sicherzustellen.
Sanktionen bei Verstoß gegen DORA
Ein herausragender Aspekt des DORA-Vollzugsgesetzes ist die Einführung eines klaren Sanktionssystems. Die FMA ist befugt, empfindliche Geldstrafen zu verhängen und weitere Anordnungen zu erteilen. Diese zielen darauf ab, Unternehmen und IKT-Drittanbieter zur Einhaltung der Vorgaben zu verpflichten.
Folgende Sanktionsmöglichkeiten sind vorgesehen:
1. Sanktionen gegen juristische Personen:
Wenn eine Person in Führungsposition den Verstoß zu verantworten hat, kann eine Strafe von bis zu 500.000 € oder 1 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden (§ 8 Abs. 3 DORA-VG).
2. Sanktionen gegen verantwortliche Personen:
Wer als Verantwortlicher eines der DORA-VO unterliegenden Rechtsträgers einen Verstoß gegen die Verordnung begeht, ist mit einer Geldstrafe von bis zu 150.000 € zu bestrafen (§ 7 DORA-VG).
3. Maßnahmen gegen den Rechtsträger:
Die FMA kann etwa die Einschränkung oder Aussetzung der Nutzung bestimmter IKT-Systeme oder Dienstleistungen oder die Umsetzung von Maßnahmenplänen, um identifizierte Schwachstellen zu beheben, anordnen (§ 4 Abs 2. DORA-VG).
4. Öffentliche Bekanntmachung:
Verstöße können öffentlich gemacht werden, um Unternehmen zur Einhaltung der Vorschriften zu motivieren und Verbraucher zu informieren (§ 4 Abs. 2 und § 11 DORA-VG).
Beispiele für Verstöße
§ 7 DORA-Vollzugsgesetz regelt, welche Verstöße gegen die DORA-VO als Verwaltungsübertretung zu bestrafen sind. Beispielhaft genannt seien:
● Unzureichendes IKT-Risikomanagement: Wenn ein Unternehmen keine angemessenen Verfahren zur Bewertung und Behandlung von IKT-Risiken und IKT-bezogenen Vorfällen etabliert.
● Fehlende Sicherheitsmaßnahmen: Vernachlässigung grundlegender Cybersicherheitsstandards.
● Nicht (ordnungsgemäße) Durchführung der Testung der digitalen Resilienz.
● Unzureichende Kontrolle über Drittanbieter: Fehlende Vereinbarungen oder Audits zur Sicherstellung der Resilienz von ausgelagerten IKT-Diensten.
Fazit
Die Umsetzung der DORA-VO durch das Vollzugsgesetzt zeigt, dass der österreichische Gesetzgeber die Gewährleistung von digitaler Resilienz im Finanzsektor ernst nimmt. Angesichts der drohenden Sanktionen bei Verstößen sollten Unternehmen das auch tun und die auferlegten Verantwortlichkeiten wahrnehmen. Dabei unterstütze ich Sie kompetent mit meiner Online-Akademie für digitales Recht und in persönlicher Beratung.
Blog-Übersicht