Site Search

Loading Results

Digital Operational Resilience Act (DORA)

Der neue Rechtsrahmen ist seit 17. Jänner 2025 vollständig auf Finanzinstitute anzuwenden, die DORA unterliegen.

Haben Sie bereits einen einschlägigen Plan zur laufenden Verbesserung Ihrer Sicherheit und Resilienz und zur Einhaltung der gesamten DORA-Verordnung erstellt?

Der Digital Operational Resilience Act (DORA) ist das Rahmenwerk der Europäischen Union (EU) für ein effektives und umfassendes Management digitaler Risiken auf Finanzmärkten. DORA gilt für mehr als 22.000 Finanzunternehmen und IKT-Dienstleister in der EU.

Mit DORA wird ein durchgängiges und ganzheitliches Rahmenwerk zur Sicherstellung einer einheitlichen Leistungserbringung über die gesamte Wertschöpfungskette hinweg eingeführt. Das Rahmenwerk umfasst effektives Risikomanagement, operative Fähigkeiten von IKT und Cybersicherheit, IKT-Vorfallsmanagement und Management von Drittdienstleistern.

DORA zielt durch einen einheitlichen sektorübergreifenden Überwachungsansatz darauf ab, sicherzustellen, dass Finanzdienstleister während eines Cybersicherheits- oder IKT-Vorfalls mit schwerwiegenden Betriebsstörungen einen resilienten Betrieb aufrechterhalten können. In Österreich ist die Finanzmarktaufsicht (FMA) die zuständige Regulierungsbehörde.

Obwohl DORA seit 17. Jänner 2025 für Finanzinstitute gilt, wird erwartet, dass digitale Transformation, Initiativen zur Technologieimplementierung sowie zusätzliche Managed Services, Automatisierung und der Einsatz von KI weiterhin eine hohe Priorität zur Steigerung der Resilienz und der Unterstützung der regulatorischen Compliance einnehmen.

Pflichtfelder sind mit Sternchen markiert(*)

Mit dem Klick auf „Senden“ bestätige ich, die Datenschutzerklärung und die vertrauliche Verwendung meiner Daten zur Kenntnis genommen zu haben. Ich habe jederzeit die Möglichkeit, die zugesandten Informationen durch eine E-Mail über die Kontaktseite abzubestellen.

 

Welche Organisationen fallen in den Anwendungsbereich der Verordnung?

  • DORA verfolgt einen ganzheitlichen Ansatz und richtet sich an eine breite Gruppe von Finanzinstituten. Die Verordnung erfasst nicht nur Banken und Versicherungsunternehmen, die bereits mit entsprechenden Vorgaben wie den EBA-/EIOPA-Leitlinien zu IKT-Sicherheit und Auslagerung vertraut sind. Sie erfasst auch zentrale Marktinfrastrukturen, Kreditrisikoagenturen, Anbieter von Krypto-Vermögensdienstleistungen, Wertpapierunternehmen und Verwaltungsgesellschaften, Pensionskassen sowie Zahlungsdienstleister, Transaktionsregister und Handelsplätze.
  • FinTech und Startups sind aufgrund ihrer geringen Größe nicht grundsätzlich ausgenommen, sofern sie unter eine der in DORA genannten Kategorien fallen. Unternehmen mit weniger als 10 Beschäftigten und unterhalb eines bestimmten Jahresumsatzes unterliegen jedoch einem reduzierten Anforderungskatalog.

    IKT-Dienstleister – einschließlich Cloud-Anbieter – die Dienstleistungen für Finanzinstitute erbringen, fallen nun unter den Überwachungsrahmen, wenn sie als „kritischer IKT-Dienstleister“ gelten. Obwohl die Kriterien zur Einstufung als kritischer IKT-Dienstleister bereits von den ESA entwickelt wurden, wird die tatsächliche Bestimmung dieser IKT-Dienstleister zunächst von den „Informationsregistern“ abhängen, die von den Finanzunternehmen in ganz Europa im April 2025 eingereicht werden.

 

DORA - Digital Operational Resilience Act | Which organisations are in scope? ICT Risk Management, Incident Reporting, Oversight Framework of critical ICT providers

Was fällt in den Anwendungsbereich? Welche speziellen Themengebiete müssen behandelt werden?

IKT Risikomanagement

Finanzunternehmen sind verpflichtet, einen umfassenden IKT-Risikomanagementrahmen einzuführen, einschließlich: 

  • Einrichtung und Aufrechterhaltung resilienter IKT-Systeme und -Tools zur Minimierung der Auswirkungen von IKT-Risiken,
  • Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen und Assets,
  • laufender Überwachung aller IKT-Risikoquellen zur Einrichtung von Schutz- und Vorbeugemaßnahmen,
  • umgehender Erkennung anomaler Aktivitäten, 
  • Einrichtung spezifischer und umfassender Geschäftsfortführungsleitlinien und Notfallwiederherstellungspläne einschließlich jährlicher Tests der Pläne, die alle unterstützenden Funktionen umfassen,
  • Einrichtung von Mechanismen, damit Unternehmen sowohl aus externen Vorfällen als auch aus unternehmensinternen IKT-Vorfällen lernen und sich weiterentwickeln können.
Risk identification

Meldung IKT-bezogener Vorfälle

Finanzunternehmen sind verpflichtet:

  • einen gestrafften Prozess zur Protokollierung/Klassifizierung aller IKT-bezogener Vorfälle zu entwickeln und schwerwiegende Vorfälle gemäß den in der Verordnung angeführten Kriterien, die von den Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) genauer präzisiert werden, zu bestimmen,
  • eine Erst-, Zwischen- und Abschlussmeldung zu IKT-bezogenen Vorfällen vorzulegen,
  • die Meldung IKT-bezogener Vorfälle mit von den ESA entwickelten Standardvorlagen zu harmonisieren
Incident Reporting

Testen der digitalen operationalen Resilienz

Die Verordnung verpflichtet alle Unternehmen zur:

  • jährlichen Durchführung grundlegender IKT-Tests von IKT-Tools und -Systemen,
  • Identifikation, Abmilderung und umgehenden Eliminierung jeglicher Schwächen, Mängel und Lücken durch die Umsetzung von Korrekturmaßnahmen,
  • regelmäßigen Durchführung von bedrohungsorientierten Penetrationstests (TLPT) für IKT-Dienstleistungen mit Auswirkungen auf kritische Funktionen. IKT-Drittdienstleister sind dazu verpflichtet, sich an den Testaktivitäten zu beteiligen und uneingeschränkt daran mitzuwirken.
Resilience Testing

IKT-Drittparteienrisikomanagement

Finanzunternehmen sind verpflichtet: 

  • eine solide Überwachung der Risiken, die von der Abhängigkeit von IKT-Drittdienstleistern ausgeht, zu gewährleisten,
  • ihr vollständiges Register ausgelagerter Aktivitäten einschließlich gruppeninterner Dienstleistungen und jeglicher Änderungen der Auslagerung kritischer Dienstleistungen an IKT-Drittdienstleister zu melden,
  • IT-Konzentrationsrisiken und Risiken aus der Unterauftragsvergabe zu berücksichtigen,
  • Schlüsselaspekte der Dienstleistungen von und Beziehungen zu IKT-Drittdienstleister zur Ermöglichung „vollständiger“ Überwachung zu harmonisieren,
  • zu gewährleisten, dass die Verträge mit IKT-Drittdienstleistern alle erforderlichen Spezifikationen bezüglich Überwachung und Zugänglichkeit wie eine vollständige Beschreibung der Dienstleistungsgüte, Angabe der Standorte, an denen Daten verarbeitet werden, usw.,
  • kritische IKT-Drittdienstleister werden einem Überwachungsrahmen der Union unterliegen, der es den zuständige Behörden ermöglicht, Empfehlungen zur Abmilderung identifizierter IKT-Risiken abzugeben. Finanzunternehmen müssen das IKT-Drittparteienrisiko ihrer Drittdienstleister berücksichtigen, die an der definierten Empfehlung nicht festhalten.
third party reporting

Teilen von Informationen

  • Die Verordnung ermöglicht es Finanzunternehmen, untereinander Vereinbarungen zum Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen einzugehen.
  • Die Aufsichtsbehörde wird Finanzunternehmen einschlägige anonymisierte Informationen und Erkenntnisse zu Cyberbedrohungen zur Verfügung stellen. Daher sollten Unternehmen Mechanismen zur Prüfung der von den Aufsichtsbehörden zur Verfügung gestellten Informationen und zur Ergreifung von entsprechenden Maßnahmen einführen.
Information sharing

Weitere technische Regulierungsstandards von Level 2 des Rechtsrahmens

entwickelt von den Europäischen Aufsichtsbehörden

DORA beauftragt die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA), weitere technische Regulierungsstandards und Leitlinien als Vorschriften von Level 2 festzulegen, die Finanzinstitute weiterführende Orientierungshilfe bieten. Bitte beachten Sie, dass die Liste die im Überwachungsrahmen für kritische IKT-Dienstleister enthaltenen technischen Regulierungsstandards nicht umfasst.

Technischer Regulierungsstandard Level 2 DORA Artikel EUC Geltungsdatum Link

Tools, Methoden, Prozesse und Richtlinien für IKT-Risikomanagement und der vereinfachte IKT-Risikomanagementrahmen

 Art. 15(4), Art. 16(3)(4)​ März 2024​ Legal Text

Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden

 Art. 28(10)(3)​ März 2024​ Legal Text

Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle

 Art. 18(4)(3)​ März 2024​ Legal Text

Standardvorlagen für das Informationsregister betreffend vertragliche Vereinbarungen über IKT-Dienstleistungen

 Article 29(9)​ November 2024​ Legal Text

Genau umrissene Inhalte und Fristen für die Erstmeldung, Zwischenmeldung und Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie Inhalt der freiwilligen Meldung erheblicher Cyberbedrohungen

 Art. 20(3)​   Legal Text

Festlegung der Aspekte, die ein Finanzunternehmen bei der Unterauftragsvergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, bestimmten und beurteilen muss

 Art. 30(5)​   Legal Text

Festlegung der Aspekte für bedrohungsorientierte Penetrationstests

 Art. 26(11)​   Legal Text

Gemeinsame Leitlinien zur Schätzung der von schwerwiegenden IKT-bezogenen Vorfällen verursachten aggregierten jährlichen Kosten und Verluste

 Art. 11(11)​   Legal Text
DORA - Digital Operational Resilience Act | Level 2 Regulatory Technical Standard

Unsere PwC-Dienstleistungen unterstützen Sie dabei, Ihre DORA-Compliance zu verbessern und gleichzeitig Ihre Initiativen zur digitalen Transformation zu stärken, um Ihre Resilienz zu erhöhen.

Regelmäßige verpflichtende Schulungen

DORA fordert:

Die Einführung von Schulungsprogrammen zur IKT-Sicherheitsbewusstseinsbildung, zur digitalen operativen Resilienz, zur Weiterbildung im IKT-Bereich sowie verpflichtende Schulungen für Leitungs- und Aufsichtsorgane zu IKT-Risiken im Finanzsektor – mit dem Ziel kontinuierlicher Lernprozesse und Vorbereitung auf die sich entwickelnde Bedrohungslage.

Unsere Leistungen:

  • Schulungen zur Sensibilisierung für IKT-Sicherheit für Ihr Unternehmen
  • Technische IK-Weiterbildung – maßgeschneidert für die Anforderungen Ihrer IKT-Teams und der internen Revision – zur Stärkung der Kompetenzen für IKT-Audits gemäß DORA Rahmenwerk für IKT-Risikomanagement
  • Fit & Proper Schulungen für Ihre Management-Teams
  • Schulungen zur digitalen operationalen Resilienz für Ihr Schlüsselpersonal
  • Überprüfung Ihres HR-Schulungs- und Kompetenzmanagementrahmenwerks für Mitarbeitende und Drittdienstleister auf Übereinstimmung mit den Anforderungen von DORA

IKT-Prüfungen für Sie und Ihre IKT-Dienstleister

DORA fordert:

Regelmäßige IKT-Prüfungen des IKT-Risikomanagementrahmens einschließlich solcher, die IKT-Drittdienstleister betreffen, die kritische oder wichtige Funktionen unterstützen, wenn ein Finanzunternehmen IKT-Dienste auslagert. Diese Prüfungen müssen durch Personal mit ausreichender IKT-Kompetenz und -Erfahrung durchgeführt werden.

Unsere Leistungen:

  • Wir unterstützen Sie und Ihre Teams der internen Revision bei der Entwicklung eines mehrjährigen IKT-Prüfprogramms, das jährlich umgesetzt wird
  • Durchführung von IKT-Prüfungen auf Basis des IKT-Risikomanagementrahmens gemäß DORA, durchgeführt von unseren erfahrensten IKT- und DORA-Expert:innen
  • Spezialisierte DORA IKT-Prüfungen für Ihre kritischen IKT-Drittdienstleister zur Sicherstellung, dass deren Kontrollen den DORA Anforderungen entsprechen

Eine Strategie für die digitale operationale Resilienz

DORA fordert:

Entwicklung eines Strategierahmens für die digitale operationale Resilienz (im Einklang mit der Geschäftsstrategie), um eine kontinuierliche Weiterentwicklung der Resilienz im Unternehmen zu fördern, basierend auf Erkenntnissen aus Erfahrungen, Risiken und eingetretenen Vorfällen.

Unsere Leistungen:

  • Entwicklung eines strategischen Rahmens für die digitale operationale Resilienz im Rahmen gezielter Workshops
  • Unterstützung bei der Erstellung einer strategischen und taktischen Roadmap für Ihre Resilienzstrategie

DORA GAP-Analyse und Konformitätsprüfung

DORA fordert:

Wir empfehlen die Durchführung einer Überprüfung der Einhaltung von DORA nach der Einführung, dabei mindestens einmal im ersten Jahr der Einführung und anschließend alle paar Jahre als Teils Ihres Testprogramms der digitalen operationalen Resilienz.

Unser Angebot:

  • Gezielte und verhältnismäßige FIT/GAP-Analysen Ihres Richtlinienrahmens und der implementierten Kontrollen zur Sicherstellung, dass alle DORA-Anforderungen erfüllt werden
  • Ein Konformitätsprüfung-Dashboard, das Sie bei der Priorisierung, Nachverfolgung und Schließung identifizierter Lücken unterstützt

IKT-Drittparteienrisikomanagement & Informationsregister

DORA fordert:

Entwicklung und Umsetzung eines Rahmens zur Verwaltung des gesamten Lebenszyklus von IKT-Drittdienstleisters, von der Bedarfsermittlung bis zur Vertragsbeendigung. Zusätzlich müssen diese Vereinbarungen sowie relevante Zusatzinformationen in einem Informationsregister dokumentiert und mindestens einmal jährlich an die Aufsichtsbehörden gemeldet werden.

Unsere Leistungen:

  • Entwicklung eines Risikomanagementrahmens für Drittdienstleister, angepasst an Ihr Unternehmen, inklusive Klassifizierung der Anbieter nach Kritikalität, relevanten Vertragsklauseln sowie Maßnahmen zur regelmäßigen Bewertung anhand von Kritikalität, Substituierbarkeit und Komplexität der Leistungen
  • Unterstützung bei der Pflege, Prüfung und Aktualisierung Ihres DORA-konformen Informationsregisters, unter Einbeziehung relevanter Risikoindikatoren zur Erkennung potenzieller Schwachstellen und Definition konkreter Gegenmaßnahmen
  • Juristische Beratung bei der Erstellung, Prüfung und Verhandlung DORA-konformer Verträge mit IKT-Drittdienstleistern (sowie anderer Fragestellungen zu DORA), durch unsere Jurist:innen mit tiefgehender Expertise im DORA-Rahmenwerk
  • KI-gestützte automatisierte Analyse Ihrer Verträge mit IKT-Drittdienstleistern (einschließlich solcher mit kritischen oder wichtigen Funktionen), um die Einhaltung vertraglicher DORA-Vorgaben zu bestätigen

Incident management

DORA fordert:

Bis zum 17. Jänner 2025 müssen Finanzinstitute IKT-Vorfälle gemäß dem DORA-Klassifizierungsschema einordnen und diese unverzüglich an die Aufsichtsbehörden melden. Erforderlich ist ein durchgängiger Ansatz, der die Integration mit Plänen zur Geschäftskontinuität sowie IKT-Reaktions- und Wiederherstellungsplänen sicherstellt, abgestimmt auf Ihre Anforderungen für Geschäftsfortführung und Notfallwiederherstellung.

Unser Angebot:

  • Der PwC Early Warnung Service (EWaS) verschafft Ihnen einen Vorsprung bei der frühzeitigen Erkennung potenzieller IKT-Vorfälle
  • Der PwC Incident Response Retainer stellt sicher, dass Ihnen im Ernstfall sofortige Reaktions- und Wiederherstellungsmaßnahmen zur Verfügung stehen
  • Testen Sie Ihrer organisatorische Einsatzbereitschaft durch Tabletop-Übungen, inklusive Klassifizierung und Meldung gemäß DORA, auf Basis realistischen Szenarios aus Ihrer Risikobewertung

Threat-led penetration testing (TLPT)

DORA fordert:

Finanzinstitute sind verpflichtet, mindestens alle drei Jahre gezielte, bedrohungsorientierte Penetrationstests (TLPT) für alle kritischen oder wichtigen Funktionen zu planen und durchzuführen.

Unsere Leistungen:

  • Umfassende End-to-End-Penetrationstests (TLPT), durchgeführt durch unsere lokalen und globalen Sicherheitsexpert:innen, inklusive zertifizierter Offensive-Security-Expert:innen, die Sie während Vorbereitung, Red-Team-Phase und Abschluss unterstützen
  • Bereitstellung gezielter Unterstützung durch unser lokales Red Team
  • Stärkung Ihrer Fähigkeiten durch spezialisierte Threat-Intelligence-Dienste – unter Einbindung unseres globalen Bedrohungsanalyse-Netzwerks
  • Unterstützung für Ihr Control-Team durch Expert:innen im Rahmen von TLPT-Aktivitäten

Resilience testing framework and program

DORA fordert:

Einrichtung und Pflege eines umfassenden Programms zur Durchführung von Tests zur digitalen operativen Resilienz, inklusive jährlicher Testpläne, deren Dokumentation und Berichterstattung.

Unsere Leistungen:

  • Gemeinsame Entwicklung eines Test-Rahmens für Resilienzprüfungen – abgestimmt auf Größe, Komplexität und Marktrisiko Ihres Unternehmens
  • Bereitstellung praxiserprobter Vorlagen für Testpläne zur Etablierung einer verlässlichen Testgrundlage
  • Unterstützung bei der Umsetzung unterschiedlicher Resilienz-Testarten – darunter Penetrationstests, Architektur-Reviews sowie Exit- und Übergangspläne für kritische Drittdienstleister

Geschäfts- und IKT-Kontinuität

DORA fordert:

Einführung eines umfassenden Rahmens für die IKT-Geschäftskontinuität, gestützt auf Fortführungs-, Reaktions- und Wiederherstellungspläne. Die IKT-Kontinuitätsplanung muss Bestandteil der gesamten Geschäftsfortführungsstrategie sein und sich an der Kritikalität geschäftlicher Funktionen orientieren, wie sie durch BIA und entsprechende Kritikalitätsbewertungen ermittelt wurde.

Unsere Leistungen:

  • Steigerung der Reife Ihrer BIA- und Kritikalitätsbewertungsprozesse anhand bewährter Methoden – für eine konforme, objektive und dokumentierte Kritikalitätsbewertung gemäß DORA
  • Planung und Durchführung gezielter Kontinuitäts- und Tabletop-Tests, inklusive realistischer Krisenszenarien zur Sensibilisierung der Organisation und Identifikation von Verbesserungspotenzialen
  • Unterstützung bei der Erstellung Ihrer IKT-Kontinuitäts-, Reaktions- und Wiederherstellungspläne

A long road ahead

One that is by no means a one-shot compliance initiative. Given its complexity and further Level 2 regulatory standards to be set-up, DORA requires regular steering and alignment in the coming years.

Let us be the reliable partner that will keep you on the compliance path with clear guidance and regular steering for DORA over years to come.​

Folgen Sie uns

Required fields are marked with an asterisk(*)

By submitting your email address, you acknowledge that you have read the Privacy Statement and that you consent to our processing data in accordance with the Privacy Statement (including international transfers). If you change your mind at any time about wishing to receive the information from us, you can send us an email message using the Contact Us page.

Contact us

Georg Beham

Georg Beham

Partner, Cybersecurity & Privacy Leader, PwC Austria

Tel: +43 732 611750

Linkedin Follow X Follow Email
Peter Kleebauer

Peter Kleebauer

Senior Manager, Cybersecurity & Privacy, PwC Austria

Tel: +43 699 16305907

Linkedin Follow Email
Serhat Ada

Serhat Ada

Manager, Cybersecurity & Privacy, PwC Austria

Tel: +43 676 833 771 114

Linkedin Follow Email
Hide