Es ist unbestritten, dass IT‑Risiken in den vergangenen Jahren deutlich zugenommen haben. Die fortschreitende Digitalisierung, der rasche technologische Wandel sowie die angespannte geopolitische Lage zählen zu wesentlichen Treibern dieser Entwicklung. Wir alle sind daher gefordert, IT‑Risiken angemessen zu adressieren. Der Finanzsektor steht dabei aufgrund seiner hohen Attraktivität für Cyberangriffe in besonderem Maße im Fokus.
Die Antwort des europäischen Regulators darauf ist der Digital Operational Resilience Act (DORA), der seit dem 17.01.2025 im gesamten Finanzsektor anzuwenden ist.
Als Lex specialis zu NIS2 ist DORA seit über einem Jahr bereits anwendbar, während sich alle anderen NIS2 Sektoren aktuell noch unter Hochdruck auf die neuen Anforderungen vorbereiten.
DORA macht umfassende Vorgaben im Bereich IT-Governance und IT-Risikomanagement, Vorfallsmeldungen, Prüfung der digitalen Betriebsstabilität (inkl. der behördlich begleiteten TIBER-Tests) sowie Anforderungen an das Management von IKT‑Drittdienstleisterrisiken. Der neue europäische Überwachungsrahmen für kritische IKT-Drittdienstleister ist eine der signifikantesten Neuerungen: die bisher in Vertragsverhandlungen übermächtigen und nicht regulierten BigTechs werden künftig regulatorisch erfasst und direkt durch Teams der europäischen Finanzaufsicht geprüft.
IKT‑DRITTDIENSTLEISTER IM FOKUS
Einige IKT‑Drittdienstleister, die indirekt von DORA betroffen sind, wurden von den neuen Anforderungen überrascht, da sie die Auswirkungen dieses Finanz-Spezialgesetzes auf ihre Arbeit erst zeitverzögert wahrgenommen haben. Zudem hat sich die Lieferkette in den letzten Jahren als eine der größten Schwachstellen der Cybersecurity herauskristallisiert – ein Bereich, der jetzt verstärkt regulatorisch im Mittelpunkt steht.
Eine Auswertung aller seit Inkrafttreten von DORA an die FMA gemeldeten Vorfälle zeigt, dass über 50 % ihren Ursprung bei einem IKT‑Drittdienstleister hatten. Je mehr Finanzunternehmen ihre IT an externe Dienstleister auslagern und je besser sie sich selbst absichern, desto stärker richtet sich die Aufmerksamkeit von Angreifern auf die IT‑Dienstleister.
DORA adressiert das IKT-Drittdienstleisterrisiko auf zwei Arten
Kapitel V und die zugehörigen technischen Regulierungsstandards[1] enthalten detaillierte Anforderungen an die Steuerung der Risiken, die von Finanzunternehmen für alle IKT‑Drittdienstleister beachtet werden müssen. Diese Pflichten wirken in Form von vertraglichen Mindestinhalten, Auditrechten und Zugriffskontrollen – in vielen Fällen sogar für Subdienstleister, unabhängig davon, wie viele in der Dienstleistungskette arbeiten.
Darüber hinaus schafft DORA einen europäischen Überwachungsrahmen für kritische IKT‑Drittdienstleister. Aktuell gelten ausschließlich jene 19 Unternehmen, die im November 2025 von den europäischen Aufsichtsbehörden designiert wurden, als „kritisch“. Diese werden künftig von einer federführenden europäischen Aufsichtsbehörde überwacht, die über umfassende Befugnisse verfügt – einschließlich Untersuchungen, Vor‑Ort‑Prüfungen und verbindlicher Empfehlungen, die mittels Zwangsgelder durchgesetzt werden können.
Alle übrigen Dienstleister können zwar aus Sicht einzelner Finanzunternehmen kritisch sein oder kritische Services unterstützen, unterliegen jedoch nicht dieser zentralen europäischen DORA‑Aufsicht. Sie könnten aber – falls die Kriterien erfüllt sind – unter NIS2 fallen.
Das Management von IKT‑Drittdienstleisterrisiken sticht auch in einer aktuellen FMA-Umfrage an Finanzdienstleistern als risikoreich heraus: 70 % von 176 Befragten nannten diesen Bereich als die zentrale Herausforderung im IT‑Risikomanagement[2].
Dies zeigt sowohl für die Aufsicht als auch für die Finanzunternehmen die Notwendigkeit, den Fokus auf diesem Bereich weiter zu stärken.
Fokus der FMA
Die FMA plant demnächst eine Untersuchung bei ausgewählten beaufsichtigten Unternehmen zu ihren Strategien zum IKT Drittparteienrisiko einschließlich Ausstiegsplanung. Nähere Infos werden zeitnah bekanntgegeben.[3]
Aktive Unterstützung für Unternehmen
DORA ist aber mehr als nur Regulierung: Das Gesetz gibt der FMA die Möglichkeit, mehr Informationen zu IT-Sicherheitsbedrohungen zu publizieren und damit den gezielten Austausch mit dem Finanz- und IT-Sektor vorantreiben. Damit können wir einen aktiven Beitrag zu mehr Cybersicherheit in Österreich leisten - zum Beispiel beim IT-Security & Risk Management Kongress vom 20. bis 22. April 2026. Wir freuen uns auf den Austausch!
Jetzt noch Resttickets für den IT-Security & Risk Management Kongress sichern!
Quellen:
[1] https://www.fma.gv.at/querschnittsthemen/dora/
Sektion: Delegierte Rechtsakte & Technische Durchführungs- und Regulierungsstandards & Leitlinien.
[2] „Ein Jahr DORA – Highlights, Herausforderungen & Way Forward“ in DORA – FMA Österreich.
[3] Siehe auch hier: https://www.fma.gv.at/querschnittsthemen/dora/
Sektion: Vorankündigung: Einforderung von Strategie für das Drittparteienrisiko und Ausstiegspläne.
