DORA (Digital Operational Resilience Act) ist eine Verordnung der Europäischen Union (Verordnung (EU) 2022/2554), die darauf abzielt, einen umfassenden und harmonisierten Rechtsrahmen für die digitale operationale Resilienz des europäischen Finanzsektors zu schaffen. Die Verordnung wurde am 17. Jänner 2023 im Amtsblatt der Europäischen Union veröffentlicht und trat mit einer Übergangsfrist am 17. Jänner 2025 vollständig in Kraft.
Im Kern schafft DORA einen einheitlichen Rahmen für das Management von Informations‑ und Kommunikationstechnologie‑Risiken (IKT‑Risiken) und erlegt Finanzinstituten sowie ihren IKT‑Dienstleistern verbindliche Anforderungen auf. Anders als bisherige Regelwerke, die teilweise nur Empfehlungs-Charakter hatten, ist DORA direkt anwendbar und verlangt von den betroffenen Unternehmen eine umfassende Systematisierung ihrer IKT‑Governance.
Ein wesentlicher Aspekt der Verordnung ist zudem, dass auch konkrete Anforderungen an jene IKT-Drittdienstleister gestellt werden, die Finanzunternehmen bedienen (z.B. Cloud-Computing-Dienstanbieter, Software-Anbieter, Anbieter von Datenanalysediensten). Dies soll der wachsenden Abhängigkeit des Finanzsektors von externen Technologieanbietern Rechnung tragen. Durch diese breite Einbeziehung von Lieferketten stellt DORA sicher, dass nicht nur interne IT‑Abteilungen, sondern auch externe Cloud‑ und Softwareanbieter strikten Resilienz‑ und Meldepflichten unterliegen. In den DORA-Anwendungsbereich fallen mehr als 20 verschiedene Finanz‑ und Versicherungsunternehmen – von Banken und Zahlungsdienstleistern über Wertpapierfirmen bis hin zu Krypto‑Dienstleistern.
Unternehmen müssen ein umfassendes IKT‑Risikomanagement etablieren, das systematisch Risiken identifiziert, bewertet und mit abgestuften Maßnahmen adressiert. Darüber hinaus schreibt DORA die Einrichtung eines internen Meldesystems für IKT‑Zwischenfälle vor, eine klar definierte Klassifizierung von Störungsfällen und eine regelmäßige, unabhängige Überprüfung der digitalen Betriebsresilienz (etwa durch Penetrationstests externer Stellen).
In Österreich ist die Finanzmarktaufsichtsbehörde (FMA) die zuständige nationale Behörde für die Umsetzung und Durchsetzung der Digital Operational Resilience Act. Dabei arbeiten die FMA und die Oesterreichische Nationalbank zusammen, wobei die FMA als Hauptansprechpartner für meldepflichtige Zwischenfälle, Risiko‑Management‑Anforderungen und die Durchführung von Penetrationstests fungiert. Darüber hinaus koordiniert die FMA den Informationsaustausch mit den europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) und sorgt dafür, dass österreichische Institute einheitlich und im Einklang mit der europäischen Aufsichtspraxis agieren.
