DORA fit bis Jänner 2025?

Ein Überblick über die größten Herausforderungen für Finanzunternehmen, Zuständigkeiten und Strafen

Die Zeit läuft und die Frist für die Erfüllung der Anforderungen nach der Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) nähert sich. Stichtag ist der 17.1.2025! Wer denkt, nur die großen Banken sind betroffen, irrt sich. Gerade für kleinere, weniger komplexe Finanzinstitute ist es eine große Herausforderung, auch wenn „nur“ der vereinfachte Risikomanagementrahmen zu erfüllen ist. Die gesamte Breite rund um das Management der Informationssicherheit ist für viele noch nicht greifbar. Die Veröffentlichung des Entwurfs des nationalen DORA-Vollzugsgesetzes legt nahe, sofort mit den Vorbereitungsmaßnahmen zu starten! Die im Gesetzesentwurf formulierten Maßnahmen sind vielseitig und komplex. Zu erwähnen sei auch, dass bereits heuer, im Jahr 2024, die Prüfschwerpunkte der FMA im Bereich „Digitaler Wandel“ bei der Cybersicherheit und damit bei den Vorbereitungen hinsichtlich DORA lagen.

1. Kleinere Finanzinstitute in DORA-Pflicht

Der vereinfachte IKT-Risikomanagementrahmen (Artikel 16) sieht Erleichterungen für kleinere, weniger komplexe Finanzinstitute vor. Hier gibt es keine Ausnahmen.

In welchem Umfang sich kleine Finanzinstitute in der Praxis damit befassen müssen und welche Prioritäten zu diesem bereits fortgeschrittenen Zeitpunkt konkret für Ihr Unternehmen gesetzt werden solltenkönnen wir schnell und unverbindlich bei einem Online-Infogespräch zwischen Ihnen/Ihren Informationssicherheitsverantwortlichen und unseren BDO Expert:innen besprechen. 

Jetzt Termin vereinbaren

Artikel 5 bis 15 gelten nicht für

    • kleine und nicht verflochtene Wertpapierfirmen,
    • nach Richtlinie (EU)2015/2366 ausgenommene Zahlungsinstitute,
    • nach Richtlinie 2013/36/EU ausgenommene Institute und
    • nach der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute und kleine Einrichtungen der betrieblichen Altersversorgung (siehe Grafik „IKT-Risikorahmenwerk nach DORA“ in Kapitel 4).

2. Erste Schritte zur DORA-Compliance 

Zur Sicherstellung Ihrer DORA-Compliance empfehlen wir Ihnen die Gründung einer eigenen „Informationssicherheits- oder DORA-Task-Force“ mit der notwendigen Entscheidungskompetenz und ausreichend Ressourcen. Auch die Einbindung des Topmanagements ist dabei essenziell. Gutes Management Commitment zeichnet sich durch die Bereitschaft des Vorstands aus, die notwendigen Mittel zur Verfügung zu stellen. Damit sind personelle, zeitliche und finanzielle Ressourcen gemeint. Management Commitment ist der erste Erfolgsfaktor und wesentlich für den gesamten IS-Bereich. Vernachlässigen Sie Management Commitment, müssen Sie mit Qualitätseinbußen, einer längeren Umsetzungsdauer und höheren Kosten rechnen.

Im Pool der DORA-Task-Force befinden sich neben dem Informationssicherheits- oder DORA-Leitungsausschuss (verantwortliche Vorstände und Führungskräfte) auch sämtliche internen sowie externen Expert:innen, die laufend informiert werden sollen. Fallbezogen werden sie bei Behandlung ihrer Fachthemen zu den regelmäßigen (wöchentlichen) Jour fixes zugezogen. 

Diese gebündelten Kompetenzen, das Know-how aus den unterschiedlichen Abteilungen, Bereichen oder von Drittdienstleister:innen sowie die kurzen Wege bei notwendigen Entscheidungen sind wesentliche Erfolgsfaktoren. Durch die Gründung einer Task-Force und den damit verbundenen Kommunikationsmaßnahmen (u.a. Managementstatement mit persönlich verfasster Erklärung vom Vorstand, interner Newsletter mit den Zielen und möglichen Änderungen und den Aufruf an die Belegschaft „Cyber Security funktioniert nur miteinander“) entstehen viele neue Möglichkeiten. Zuständigkeiten, Rollen und Aufgaben können überdacht, Prozesse optimiert oder die IT-Infrastruktur erneuert/ausgelagert werden. Die nun wesentlich größere Bedeutung und Notwendigkeit von Informationssicherheit wird bald in der gesamten Belegschaft bekannt sein. Die Awareness der Belegschaft, also die Bereitschaft, die Entscheidungen und Maßnahmen der Task-Force mitzutragen, auch wenn es nicht immer einfacher wird, ist ein weiterer Erfolgsfaktor am Weg zur DORA-Compliance.

„IT-Sicherheit ist immer ein Prozess, kein Zustand. IT-Sicherheit ist Unternehmensziel und erfordert die Bereitschaft der gesamten Belegschaft, notwendige Maßnahmen gemeinsam umzusetzen.“ Das sollte die Message des Managementstatements in der Informationssicherheitsrichtlinie sein.

3. Durch Einsatz von Know-how und Best Practices effizient zur DORA-Compliance

Viele Unternehmen sind bereits damit beschäftigt, ihre Prozesse rund um Informationssicherheit zu verbessern und inhaltliche Adaptierungen vorhandener Dokumente, Richtlinien oder Verträge nach DORA vorzunehmen. In dieser Phase kommen oft viele, teils unerwartete Themen und Herausforderungen ans Tageslicht. Dies könnten zum Beispiel sein: 

    • Bestehende Dokumente wie Strategien, Richtlinien, Handbücher und Arbeitsanweisungen sind nicht mehr „up to date“oder unzureichend, da sie nicht alle von DORA geforderten Regelungen beinhalten.
    • Wichtige Dokumente wie Richtlinien oder Prozessefehlen.
    • (Sicherheits-)Überprüfungen sind ausständig.
    • Risikoeinschätzungen haben sich verändert.
    • Vertragsvereinbarungen mit bestehenden Drittdienstleistern gehören aktualisiert oder neu verhandelt.
    • Es gibt neue Drittdienstleister:innen, deren Risikoeinschätzung nicht ins Risikomanagement integriert ist.
    • Die Lieferketten von Dienstleistern:innen, die kritische Unternehmensprozesse und Funktionen beeinflussen können, müssen überprüft werden.

Wird die Umsetzung der DORA-Vorgaben ernst genommen, entstehen in kurzer Zeit sehr viele zeitintensive Aufgaben, die oft zusätzliche interne Ressourcen, aber auch die Expertise und Best Practices von extern verlangen. Gerade dabei können Finanzunternehmen von dem durch langjährige Begleitung unterschiedlicher Finanzinstitute entstandenen Know-how sowie den Best Practices bei der Erfüllung anderer Informationssicherheitsnormative wie NIS 2, ISO/IEC27001, TISAX etc. enorm profitieren

Die Effizienz hinsichtlich Kosten kann hier durch das Hinzuziehen von externen Expert:innen wesentlich gesteigert werden, während die Dauer bis zur Erfüllung der DORA-Anforderungen durch den Einsatz von qualitativ hochwertigen Vorlagen und Templates und das Auslagern von Aufgaben deutlich verkürzt werden kann.

4. Herausforderungen im IKT-Risikomanagementrahmen nach Dora 

Folgende Darstellung der BaFin (Deutsche Bundesbank Eurosystem) zeigt den Prozess vom IKT-Risikorahmenwerk nach DORA mit den wesentlichen thematischen Blöcken samt Verweis auf die Dora-Artikel §5 bis §15 und §16 „Vereinfachter IKT-Risikomanagementrahmen“.

Governance Organisation

Quelle: IKT-Risikorahmenwerk nach DORA, zuletzt besucht am 18.6.2024: 


Je nach Ausprägung der Informationssicherheit im Unternehmen variieren die Herausforderungen stark. Natürlich spielen bereits vorhandene Richtlinien, dokumentierte Prozesse sowie kürzlich umgesetzte IT-Sicherheitsprüfungen auch eine große Rolle und entscheiden letztendlich über die Größe des Gesamtaufwands. 

Für viele Finanzinstitute sind wesentliche Herausforderungen im IKT-Risikomanagementrahmen unter anderem die Folgenden: 

    • Fokus des Rahmenwerks 
    • Strategie zur kontinuierlichen Überwachung der Risiken
    • Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen
    • Informations- und IKT-Assets als wesentliche Elemente; eigene Maßnahmen für Assets mit Einfluss auf kritische Funktionen
    • Überwachung, Protokollierung sowie Vorfallsmanagement 
    • Zeitnahe Erkennung und Behandlung von Schwachstellen
    • Business-Continuity-Richtlinie, Notfall- und Wiederherstellungspläne inkl. jährlicher Tests der Pläne
    • Verschlüsselung von Daten auch während der Verarbeitung, Kryptografie-Richtlinie
    • Belastbare IKT-Systeme und -Werkzeuge zur Stärkung der Netzwerksicherheit
    • Prozess und Mechanismen zur kontinuierlichen Weiterentwicklung, Lessons Learned dokumentieren und kommunizieren.
    • Regelmäßige Awareness-Schulungen mit aktuellen Inhalten


5. Zuständige Behörden in Österreich

Grundsätzlich ist die Finanzmarktaufsicht (FMA) die für Finanzunternehmen zuständige Behörde. Jedoch kümmert sich die Europäische Zentralbank (EZB) für als bedeutend eingestufte Kreditinstitute. Die FMA arbeitet dabei mit den europäischen Aufsichtsbehörden EBA (European Banking Authority), ESMA (Europäische Wertpapier- und Marktaufsichtsbehörde), EIOPA (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung) sowie mit zuständigen Behörden aus Drittstaaten zusammen. Diese spielen bei der Überwachung noch eine weitere Rolle und übernehmen künftig die direkte Aufsicht kritischer IKT-Drittdienstleister:innen.

6. Strafen und Sanktionen bei Verstößen

Es existiert eine Vielzahl an möglichen Verstößen, die nicht nur zu beträchtlichen finanziellen Strafen, sondern auch zur Veröffentlichung auf Behördenwebsites führen könnten. Nichtmeldung von Vorfällen, kein Nachweis von regelmäßigen Tests, fehlende Inhalte in Richtlinien, die Nichteinhaltung von Fristen oder unzureichende Verträge mit IT-Dienstleister:innen sind nur wenige Beispiele, die zu Strafen führen können.

Bei den finanziellen Sanktionen wird zwischen natürlichen Personen (laut § 9 Verwaltungsstrafgesetz) und juristischen Personen unterschieden. Während bei natürlichen Personen Verwaltungsstrafen von bis zu EUR 150.000 vorgesehen sind, kann die Höhe für juristische Personen mit EUR 500.000 oder 1% des jährlichen Umsatzes (siehe §6/7 im Entwurf des DORA-Vollzugsgesetzes) weitaus höher ausfallen.