Alles über NIS 2 & DORA

Die Maßnahmen, die Sie ergreifen müssen, wenn Sie von der NIS2 betroffen sind, variieren und hängen von den Risiken ab. Nachfolgend finden Sie einen Überblick über Anforderungen und Verfahren gemäß der NIS2-Richtlinie. Es geht nur um die Gruppe wesentlicher und wichtiger Unternehmen.

NIS2 Hauptanforderungen für wesentliche und wichtige Unternehmen, wie im Gesetz beschrieben:

1. Erstellen Sie Risikoanalysen und Sicherheitsrichtlinien für Informationssysteme.
2. Stellen sie sicher, dass sie Sicherheitsvorfälle bewältigen können.
3. Treffen sie Maßnahmen zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, sowie Krisenmanagement
4. Gewährleisten sie die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen ihrem Unternehmen und ihren Dienstleistern und Lieferanten.
5. Treffen sie Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen.
6. Erstellen sie Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit.
7. Etablieren sie grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
8. Verwenden sie Kryptografie und Verschlüsselung.
9. Setzen sie Konzepte für die Zugriffskontrolle zu Systemen und Anlagen um.
10. Verwendung sie Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Dabei zu berücksichtigen sind:

• der Stand der Technik 
• europäische und internationalen Normen 
• Kosten der Umsetzung 
• bestehendes Risiko

Achtung: Lieferkette

Als wesentliches oder wichtiges Unternehmen müssen Sie nicht nur die eigene digitale Sicherheit stärken, sondern auch sicherstellen, dass die Sicherheit in der Lieferkette gewährleistet ist. Das bedeutet, robuste Sicherheitsmaßnahmen umzusetzen und eng mit Lieferanten zusammenzuarbeiten, um potenzielle Cyberbedrohungen zu minimieren. So ist es zum Beispiel wichtig, dass die NIS2-Anforderungen vertraglich festgelegt sind. (Idealerweise in Ihren Einkaufsbedingungen, kann aber auch in einem separaten Vertrag erfolgen)

NIS2 Maßnahmen für Lieferanten (KMU)

Auch KMUs, die wesentliche und/oder wichtige Unternehmen beliefern, müssen Maßnahmen ergreifen:

1. Weisen sie ihren Auftraggebern nach, dass sie Basissicherheit in ihrem Unternehmen erfolgreich umgesetzt haben. Dazu eignen sich die Cyber Trust Gütesiegel.
2. Anleitung dazu bietet unter anderem das Cyber Risk Rating Schema des KSÖ.

Was sind die Risiken für NIS2-Unternehmen?

• Lieferantenausfall: Risiko einer Unterbrechung der Lieferkette, wenn Lieferanten die NIS2-Normen nicht erfüllen: Wenn Lieferanten unzureichende Sicherheitsmaßnahmen haben, können sie Opfer einer Cyberattacke werden und fallen aus. Dies kann negative Folgen für die Wertschöpfungskette des NIS2-Unternehmens haben.
• Unzureichende Sicherheit: Erhöhte Gefahr von Datenschutzverletzungen und Cyberangriffen aufgrund fehlender Sicherheitsmaßnahmen.
• Unversichert sein: Finanzielle Ausfälle im Falle von Cyber-Incidents aufgrund fehlender Cyber-Versicherungen. Versicherungen lehnen auch die Deckung ab bei unzureichenden Sicherheitsmaßnahmen.
• Eingeschränktes Geschäftswachstum: Nichteinhaltung der Mindestvorgaben kann zu Entgang von Geschäftsbeziehungen führen, weil Kunden dies zukünftig voraussetzen und einfordern.
• Persönliche Haftung von Direktoren/Management: Rechtliche und finanzielle Folgen für die Geschäftsführung bei Nichteinhaltung inklusive persönlicher Haftung. Geschäftsführer können bei groben Verstößen sogar ihrer Funktion enthoben werden.
• Geldbußen: Signifikante Geldstrafen bei Verstößen gegen die NIS2-Vorschriften (bis zu 10 Millionen Euro oder 2% des Jahresumsatzes).
• Umsatzverlust: Umsatzrückgang aufgrund der geringeren Nachfrage oder Unterbrechung des Geschäftsbetriebs.
• Reputationsschaden: Negative Wahrnehmung bei Kunden und Partnern, was in Folge zum Vertrauensverlust bei Kunden und Geschäftsentgang führt.

Als Lieferant großer NIS2-Unternehmen ist es auch wichtig, dass Sie die geforderten Sicherheitsstandards erfüllen und so Ihre Geschäftsbeziehungen und Lieferketten sicher pflegen können. Als Lieferant ist es sehr wahrscheinlich, dass Ihre Großkunden verlangen, dass Sie die NIS2-Normen erfüllen.

Was sind die direkten Risiken für KMUs?

• Verlust großer Kunden: Die Nichterhaltung von NIS2 kann zum Verlust von Verträgen mit Großkunden führen.
• Sicherheitsverletzungen: Ein Mangel an angemessener Cybersicherheit kann zu Cyber-Vorfällen führen und sensible Informationen offenlegen.
• Finanzschaden: Die Kosten für die Reparatur eines Cyberangriffs können erheblich sein, vor allem ohne ausreichende Versicherung.
• Reputationsschaden: Ein Cyber-Vorfall kann dem Kundenvertrauen schaden, was grundsätzlich schwer wiederherzustellen ist.
• Operationelle Störungen: Cyber-Angriffe oder Nichteinhaltung können zu erheblichen Störungen im Geschäftsbetrieb führen.

Überprüfen Sie sofort, ob Ihr Unternehmen NIS2 erfüllen muss.

Betroffen sind große und mittlere Unternehmen aus folgenden Sektoren:

Eine Einrichtung gilt als „mittleres Unternehmen“, wenn sie zumindest 50 Mitarbeiter beschäftigt, ODER wenn sie einen Jahresumsatz von über zehn Millionen Euro erzielt UND sich die Jahresbilanzsumme auf über zehn Millionen Euro beläuft, sofern sie nicht bereits als großes Unternehmen gilt. Kleine Unternehmen, d.h. Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und die entweder einen Jahresumsatz von höchstens 10 Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 10 Mio. Euro beläuft, fallen nicht unter NIS2.

Dabei gibt es jedoch Ausnahmen − folgende Unternehmen fallen unabhängig von ihrer Größe in den Anwendungsbereich:

• Vertrauensdiensteanbieter
• Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
• TLD-Namenregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern
• Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essenziell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Zusätzlich müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen einhalten. Unter Basismaßnahmen für Informationssicherheit im Unternehmen finden Sie eine Hilfestellung und Musterdokumente zu wichtigen Sicherheitsmaßnahmen, die bereits einen Großteil der Cyberangriffe abwehren können.

Die Wirtschaftskammer Österreich hat einen Online-Ratgeber erstellt, der sie dabei unterstützt festzustellen, ob Ihr Unternehmen betroffen ist.

Eine viel größere Anzahl von Unternehmen ist jedoch als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen!

Die NIS2-Richtlinie legt besonderen Wert auf die Sicherheit der Lieferkette, weil die Sicherheit eines Unternehmens stark von seinen Lieferanten und Dienstleistern abhängen kann. Die Kette ist so stark wie das schwächste Glied. Das bedeutet, dass eine Sicherheitsverletzung bei einem Lieferanten nicht nur diesem Lieferanten schaden kann, sondern auch allen Unternehmen, mit denen er digital und physisch verbunden ist.

Zum Beispiel:

• Ein Lieferant muss die Versorgung wegen eines Cyber-Angriffs einstellen. Dies kann den normalen Geschäftsbetrieb ernsthaft stören. Hier geht es auch um Produkte, Rohstoffe und Dienstleistungen.
• Wenn ein IT-Dienstleister gehackt wird, können die Hacker auch auf die Systeme anderer Unternehmen in der Lieferkette zugreifen.
• Manchmal findet sich eine ernsthafte Sicherheitslücke in einem Dienst, den Sie jeden Tag nutzen, wie z. B. Ihr CRM-System.

Für NIS2-Unternehmen: Schutz vor Risiken in der Kette

Wenn Sie eine sichere Lieferkette gegen Cyberbedrohungen sicherstellen möchten, ist es wichtig, eine Richtlinie für Lieferantenrisikomanagement zu entwickeln. In dieser Richtlinie beschreiben sie, wie abhängig Ihr Unternehmen von Lieferanten oder Dienstleistern ist, mit besonderem Augenmerk auf die IT-Komponenten. Auf diese Weise können Sie Risiken, die diese Abhängigkeiten mit sich bringen, besser managen.

Als Unternehmen, das unter die NIS2-Richtlinie fällt, müssen Sie die Risiken für Ihr eigenes Unternehmen und diese durch Ihre Lieferanten aktiv erkennen und adressieren. Es ist wichtig, klare Vereinbarungen mit Ihren Lieferanten zu treffen, damit Sie diese Risiken gut einhalten und sie auf ein akzeptables Niveau reduzieren können.

Das Cyber Risk Rating Schema des KSÖ und die Cyber Trust Gütesiegel können ihnen dabei helfen, die entsprechenden Nachweise ihrer Lieferanten einzufordern. Beides sind von der NIS Behörde akzeptierte Nachweise.

Weiterführende Informationen

Weiterführende Informationen zum Thema Sicherheit in der Lieferkette finden sie auch auf einer eigenen Seite der Wirtschaftskammer Österreich zum Thema Lieferkette und NIS 2.

Das europäische Datum für NIS2 ist der 17. Oktober 2024.

Das Österreichische Umsetzungsgesetz war bis 1. Mai 2024 in Begutachtung.

In Österreich wird das Bundesministerium für Inneres für den Vollzug des NIS 2 Gesetzes zuständig sein. Dafür wurde eigens ein Nationales Cybersicherheitszentrum (NCSZ) eingerichtet.

Das Gesetz sieht eine Reihe von Sanktionsmöglichkeiten vor. Die NIS2-Organisationen müssen ihre direkten Lieferanten vertraglich zur sicheren Arbeit verpflichten. Zuliefernde Unternehmen, oftmals KMUs, können daher ihre großen Kunden verlieren wenn sie diese Standards nicht nachweisen können.

Die NIS2-Organisationen selbst werden von der Aufsichtsbehörde (in Österreich: BMI) kontrolliert. In einigen Sektoren wird dies regelmäßig geschehen, in anderen nach Zwischenfällen.

Sanktionen für Unternehmen

Die NIS2-Richtlinie hat den zuständigen Behörden die Befugnis gegeben, Bußgelder im Falle einer Nichteinhaltung zu verhängen: Um die Einhaltung der NIS2 zu gewährleisten, wurden strenge Geldbußen festgelegt. Wesentliche Unternehmen riskieren eine Geldstrafe von 10 Millionen Euro oder 2% ihres weltweiten Umsatzes, während wichtige Unternehmen mit einer Geldstrafe von mindestens 7 Millionen Euro oder auch 2% ihres weltweiten Umsatzes belegt werden können. Diese Informationen finden Sie in Kapitel VII, Artikel 34 der NIS2-Richtlinie.

Weiters sieht das NIS 2 Gesetz eine persönliche Haftung für Führungskräfte vor und ermöglicht der Aufsichtsbehörde, diese bei schweren Verstößen ihrer Funktion zu entheben, ihnen einen Überwachungsbeauftragten beizustellen oder die Genehmigung für einen Teil oder alle von der wesentlichen Einrichtung erbrachten einschlägigen Dienste oder Tätigkeiten vorübergehend auszusetzen.

Es gibt mehrere Cybersicherheitsstandards, die Sie verwenden können. Cyber Trust kann hierbei helfen.

Internationale Standards wie ISO 27001 oder NIST 800 sind international anerkannte Standards zur Einführung von Informationssicherheitsmanagementsystemen. Ein solches ist jedenfalls ein sinnvoller Weg zur Erreichung von NIS 2 Compliance. Die Erlangung einer ISO 27001 Zertifizierung ist jedoch ein aufwändiger und zeitintensiver Weg, der zwar für die meisten wesentlichen und wichtigen Einrichtungen sinnvoll ist, für deren Lieferanten jedoch nicht immer zweckmäßig ist, da dies für viele KMUs zu aufwändig und teuer ist.

Spezifische Standards wie das KSÖ Cyber Risk Rating Schema (auf dem die Cyber Trust Labels basieren) zielen hingegen auf den Nachweis von Basissicherheitsmaßnahmen ab. Der Begriff Basissicherheit oder auch Baseline Security bezeichnet das grundlegende Mindestmaß an Cybersicherheit, das ein Unternehmen unbedingt aufweisen sollte. In diesem Zusammenhang spricht man manchmal auch von "Cyberhygiene". Naheliegenderweise ist im Rahmen des Drittparteien-Risikomanagements darauf zu achten, dass kein Lieferant und Dienstleister dieses Mindestmaß unterschreitet. Gängige Standards für Basissicherheit finden sich unter anderem in:

• KSÖ Cyber Risk Rating Schema (Basis für die Cyber Trust Labels)
• CIS Top 18
• ENISA Essential Baseline Security Standards
• UK Cyber Essentials

Zusammenfassend lässt sich sagen, dass die Einhaltung von Cybersicherheitsstandards ein wesentliches Instrument für Organisationen ist, die die NIS2-Richtlinie einhalten müssen, da sie bei der Strukturierung ihrer Cybersicherheitsbemühungen hilft, ihr Engagement für die Sicherheit unter Beweis stellt und die Einhaltung des Gesetzes gewährleistet.

Die NIS2-Richtlinie bringt neue Herausforderungen für das Beschaffungs- und Supply-Chain-Management mit sich, wo Unternehmen ihre Lieferanten in die Stärkung der Cybersicherheit einbeziehen müssen. Cyber Trust kann hierbei helfen.

Die NIS2-Richtlinie bringt große Herausforderungen für die Lieferkette. Die Richtlinie verlangt von wesentlichen und wichtigen Unternehmen, die Sicherheit in ihrer Lieferkette zu gewährleisten, die direkte Auswirkungen auf die Beziehungen zu den Lieferanten, einschließlich KMU, hat. Die Auswirkungen sind vielfältig und berühren mehrere Facetten des Geschäftsbetriebs.

Häufige Schwachstellen in der Lieferkette

• Unsicherer Zugang und unzureichende Datensicherheit: Externe Parteien und Partner mit schlechter Sicherheit können eine offene Tür für Hacker sein.
• Malware: Kann sich über die Lieferkette ausbreiten und dabei Systeme und Daten kompromittieren.
• Angriffe auf die Logistik: Störung von Prozessen, was zu Verzögerungen und Ausfällen führen kann, was wiederum die betriebliche Effizienz beeinträchtigt.

Finanz- und operative Auswirkungen
Die Umsetzung von Cybersicherheitsmaßnahmen kann eine hohe finanzielle und operative Belastung für Lieferanten sein. Investitionen in Technologie und Know-how können kostspielig sein und zeitaufwändig.

Eine effiziente Lösung zur Einhaltung der NIS2-Richtlinien in Bezug auf Lieferantenrisikomanagement sind die Cyber Trust Labels. Diese helfen, die notwendigen Standards mit Lieferanten auf jeder Ebene des Risikos zu erfüllen und dadurch das Risiko von Störungen in der Lieferkette zu minimieren, womit die gesetzlichen Anforderungen erfüllt werden.

Wichtig zu beachten:

1. Kosten: Die finanzielle Belastung durch Cybersicherheit kann zu höheren Preisen oder zum Ausscheiden von Lieferanten führen.
2. Zeit und Ressourcen: Effektive Cybersicherheit erfordert Investitionen in Zeit und Personal, was auf Kosten anderer Geschäftsvorgänge gehen kann.
3. Komplexität: Nicht alle Lieferanten verfügen über das nötige Know-how, was zu zusätzlichen Kosten für die Gewinnung spezialisierter Mitarbeiter führen kann.
4. Compliance: Kontinuierliche Updates von Systemen und Prozessen zur Erfüllung wechselnder Termine sind eine ständige Herausforderung.
5. Verträge: Kunden können innerhalb von Verträgen strenge Cybersicherheitsstandards einführen, die zu rechtlichen Komplikationen bei Sicherheitsverletzungen führen können.

Es ist nicht unbedingt negativ zu sehen: Unternehmen, die NIS2-Standards erfüllen, können ihre Geschäftsbeziehungen stärken und ihre Wettbewerbsposition verbessern, indem sie Prozesse innovativ gestalten und laufend verbessern.

Der Weg nach vorn
Für wesentliche und wichtige Unternehmen ist es entscheidend, ein Gleichgewicht bei der Einführung von Standards zu finden, welche die Auswirkungen auf ihre Lieferanten berücksichtigen. Unterstützung und Flexibilität können dazu beitragen, die Herausforderungen zu meistern, und ein kollaborativer Ansatz kann zu mehr Sicherheit und gesunden Geschäftsbeziehungen führen. Cyber Trust liefert dazu einen pragmatischen, machbaren und kosteneffizienten Weg, der etabliert und anerkannt ist.

Das Cyber Trust Standard Label wurde speziell für kleiner KMU entwickelt. Es erlaubt somit den Nachweis der Compliance mit den Basissicherheitsanforderungen. Größere Lieferanten oder solche in sensibleren Bereichen setzen auf das Silber Label oder das Gold Label.

Das KSÖ Cyber Risk Rating Schema und das darauf basierende Cyber Trust Label ist ein praktischer und zugänglicher Standard für KMUs, insbesondere für die Verbesserung ihrer Cybersicherheit auf effiziente und machbare Art und Weise. Für die NIS2 wurde dieser Standard als Werkzeug zum Cyberrisikomanagement in der Lieferkette entwickelt. Eine einzigartige Zusammenarbeit von namhaften Experten aus verschiedenen NIS-Sektoren unter Einbeziehung der Aufsichtsbehörden bietet einen Rahmen, in dem Unternehmen die NIS2-Richtlinien erfüllen können, ohne ihre Geschäftstätigkeit oder Geschäftsbeziehungen zu beeinträchtigen. Dieser Standard ist ein praktisches und effizientes Instrument zur Unterstützung des Cyberrisikomanagements ganz speziell für kleinere und mittlere Unternehmen.

Die Wirtschaftskammer Österreich bietet auf einer eigenen Seite weiterführende Informationen zu NIS 2.

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) ist eine EU-Regulierung, die darauf abzielt, die digitale Sicherheit und Widerstandsfähigkeit von Finanzunternehmen zu stärken. Sie soll sicherstellen, dass Finanzinstitute angemessene Vorkehrungen treffen, um sich gegen Cyberangriffe und andere IT-bezogene Risiken zu schützen. DORA legt Anforderungen an das Risikomanagement, die Überwachung und das Melden von IT-Störungen fest. Zudem fordert sie von Finanzunternehmen, Drittanbieter von IT-Dienstleistungen sorgfältig zu überwachen und zu kontrollieren. Ziel ist es, die Stabilität und Integrität des europäischen Finanzsystems in der zunehmend digitalen Welt zu gewährleisten.

Die wichtigsten Erfordernisse von DORA zusammengefasst

• Umfassender, dokumentierter Rahmen für IKT-Risikomanagement
• ISMS gemäß internationaler Standards
• Strategie für Informationssicherheit und digitale Resilienz
• Beschreibung einer IKT-Referenzarchitektur zur Erreichung spezifischer Geschäftsziele
• Betonung der Verantwortung des Leitungsorgans für Steuerung und Kontrolle des IKT-Risikomanagements
• Rechenschaftspflicht über angemessene Zuweisung von IKT-Investitionen und –Schulungen
• Verstärkter Test von IKT-Systemen inklusive bedrohungsorientierter Penetrationstests (TLPT, Threat Lead Penetration Tests)
• Automatisierte Mechanismen zur Erkennung, Verhinderung und Eindämmung von Cyberattacken
• Effiziente Pläne für die Geschäftskontinuität und die Wiederherstellung
• Kohärente Mechanismen zur Meldung von Sicherheitsvorfällen
• Situational Awareness & Information Sharing
• Vollständige Überwachung des Risikos durch IKT-Drittanbieter
• Vertragliche Anforderungen an IKT-Drittanbietern
• Intensivierung der Befugnisse von Finanzaufsichtsbehörden
• Verwaltungsrechtliche Sanktionen die abschreckend sein müssen, ggf. strafrechtliche Sanktionen
• Eigener Aufsichtsrahmen zur kontinuierlichen direkten Überwachung wichtiger IKT-Drittanbieter

Die Verordnung adressiert ein breites Spektrum von Unternehmen im Finanzdienstleistungsbereich inklusive unterstützender Sektoren:

• Ban­ken
• Ver­si­che­rungen
• Zah­lungs­dienst­lei­ster
• Anbie­ter von Kryp­to-Asset-Dien­sten
• zen­tra­le Gegen­par­tei­en
• Han­dels­plät­ze
• Mana­ger von alter­na­ti­ven Invest­ment­fonds
• Anbie­ter von Daten­über­mitt­lungs­dien­sten
• Ver­si­che­rer
• Ver­si­che­rungs­ver­mitt­ler
• Rating-Agen­tu­ren
• Prüf­ge­sell­schaf­ten
• IT-Dienst­lei­ster wie z.B. Cloud-Dienst­lei­ster, Soft­ware­an­bie­ter oder Betreiber

Im Gegensatz zur NIS Directive trifft diese Verordnung alle Unternehmen im Finanzdienstleistungsumfeld, nicht nur wesentliche oder wichtige Betreiber. Es gibt keine Größen-Untergrenze!

Eine viel größere Anzahl von Unternehmen ist zudem als Lieferant bzw. IKT-Dienstleister dieser Finanzdienstleistungsunternehmen indirekt betroffen!

Die Maßnahmen, die Unternehmen ergreifen müssen, wenn sie von DORA betroffen sind, müssen grundsätzlich einem risikobasierten All-Gefahren-Ansatz folgen:

• Angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen
• Berücksichtigung des Stands der Technik und der Kosten der Umsetzung
• Berücksichtigung des Ausmaßes der Risikoexposition und der Größe des Unternehmens 
• Berücksichtigung der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere (inkl. gesellschaftlichen und wirtschaftlichen Auswirkungen) 

Wesentliche Anforderungen umfassen unter anderem:

1. Finanzunternehmen identifizieren, klassifizieren und dokumentieren angemessen alle IKT-bezogenen Unternehmensfunktionen, die Informationsressourcen, die diese Funktionen unterstützen, sowie die Konfigurationen von IKT-Ressourcen, die Verbindungen und Interdependenzen zwischen den verschiedenen internen und externen IKT-Ressourcen sowie Vernetzungen mit IKT-Drittanbietern. Dazu sind einschlägige Verzeichnisse zu führen.
2. Vorhandensein von Mechanismen, um anomale Aktivitäten, darunter auch Probleme bei der Leistung von IKT-Netzen und IKT-bezogene Vorfälle, umgehend zu erkennen
3. Erkennungsmechanismen ermöglichen mehrere Kontrollebenen und die Festlegung von Alarmschwellen und -kriterien, um die Erkennung IKT-bezogener Vorfälle und Abläufe für Gegenmaßnahmen bei IKT-bezogenen Vorfällen einzuleiten, und richten automatische Warnmechanismen ein.
4. Ausreichende Ressourcen und Kapazitäten, um Nutzeraktivitäten, das Auftreten von IKT-Anomalien und IKT-bezogenen Vorfällen, darunter insbesondere Cyberangriffe, zu überwachen.
5. Finanzunternehmen konzipieren die Infrastruktur für die Netzwerkanbindung so, dass sie (auch unter Umsetzung automatisierter Mechanismen) sofort getrennt werden kann, und sorgen für ihre Abschottung und Segmentierung, damit eine Ansteckung, insbesondere bei miteinander verbundenen Finanzprozessen, minimiert und verhindert wird.
6. Spezielle und umfassende IKT-Strategie zur Fortführung des Geschäftsbetriebs als integralen Bestandteil der operativen Strategie zur Fortführung des Geschäftsbetriebs des Finanzunternehmens mittels spezieller, geeigneter und dokumentierter Regelungen, Pläne, Verfahren und Mechanismen.
7. Bei der Wiederherstellung gesicherter Daten mithilfe eigener Systeme verwenden Finanzunternehmen IKT-Systeme mit einer nicht mit der Hauptumgebung zusammenhängenden Betriebsumgebung, die nicht unmittelbar mit der Hauptumgebung vernetzt und sicher vor unbefugtem Zugriff oder Manipulationen im IKT-Bereich geschützt ist.
8. IKT-Drittanbieter müssen mindestens einen sekundären Bearbeitungsstandort unterhalten, dessen Ressourcen, Kapazitäten, Funktionen und Personalressourcen ausreichend und angemessen sind, um den Geschäftsbedarf zu decken, in geografischer Entfernung vom primären Bearbeitungsstandort, damit er ein eigenes Risikoprofil aufweist.
9. Bei der Festlegung der Zeitvorgaben für die Wiederherstellung und die Wiederherstellungspunkte jeder Funktion berücksichtigen Finanzunternehmen die potenziellen Gesamtauswirkungen auf die Markteffizienz. Mit diesen Zeitvorgaben ist sichergestellt, dass die vereinbarten Leistungsniveaus in Extremszenarien erreicht werden.
10. Finanzunternehmen verfügen über Kommunikationspläne, die je nach Sachlage eine verantwortungsbewusste Offenlegung IKT-bezogener Vorfälle oder erheblicher Anfälligkeiten gegenüber Kunden und anderen Finanzunternehmen sowie der Öffentlichkeit ermöglichen.
11. Finanzunternehmen legen eine Vorgehensweise für die Bewältigung IKT-bezogener Vorfälle fest und richten Frühwarnindikatoren als Warnmeldungen ein.
12. Finanzunternehmen klassifizieren IKT-bezogene Vorfälle und bestimmen deren Auswirkungen anhand definierter Kriterien.
13. Solides und umfassendes Programm zur Prüfung der digitalen Betriebsstabilität als integraler Bestandteil des IKT-Risikomanagementrahmens wendet einen risikobasierten Ansatz an und berücksichtigt die sich verändernden Szenarien für IKT-Risiken.
14. Prüfung aller kritischen IKT-Systeme und -Anwendungen mindestens einmal jährlich.
15. Das Programm beinhaltet die Durchführung eines vollständigen Spektrums geeigneter Tests, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von Open-Source-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.
16. Finanzunternehmen führen mindestens alle 3 Jahre anhand bedrohungsorientierter Penetrationstests (Threat Led Penetration Tests, TLPT) erweiterte Prüfungen durch.
17. Prüfungen anhand bedrohungsorientierter Penetrationstests schließen mindestens die kritischen Funktionen und Dienstleistungen ein und werden an Live-Produktionssystemen durchgeführt, die solche Funktionen unterstützen. Der genaue Umfang bedrohungsorientierter Penetrationstests, die auf Basis der Bewertung kritischer Funktionen und Dienste durchgeführt werden, wird von Finanzunternehmen festgelegt und von den zuständigen Behörden genehmigt.
18. Finanzunternehmen richten Ausstiegsstrategien ein, um Risiken Rechnung zu tragen, die auf Ebene des IKT-Drittanbieters entstehen können, darunter insbesondere ein möglicher Ausfall des IKT-Drittanbieters, eine Verschlechterung der Qualität der bereitgestellten Funktionen, Unterbrechungen der Geschäftstätigkeit aufgrund unangemessener oder unterlassener Dienstleistungen oder ein erhebliches Risiko im Zusammenhang mit der angemessenen und kontinuierlichen Bereitstellung der Funktion.
19. Ausstiegsstrategien müssen umfassend, dokumentiert und gegebenenfalls ausreichend erprobt sein.
20. Vertragliche Vereinbarungen über die Nutzung von IKT-Diensten umfassen mindestens Folgendes:

• eine klare und vollständige Beschreibung aller Funktionen und Dienstleistungen
• Bestimmungen über Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz von Daten
• vollständige Leistungsbeschreibungen, einschließlich Aktualisierungen und Überarbeitungen, sowie präzise quantitative und qualitative Leistungsziele
• Kündigungsfristen und Berichtspflichten des IKT-Drittanbieters
• Anforderungen, Notfallpläne zu implementieren und zu erproben und über Maßnahmen, Instrumente und Strategien für IKT-Sicherheit zu verfügen, die eine sichere Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen angemessen gewährleisten
• das Recht, die Leistung des IKT-Drittanbieters fortlaufend zu überwachen
• das Recht, alternative Sicherheitsniveaus zu vereinbaren, wenn die Rechte anderer Kunden beeinträchtigt werden
• Ausstiegsstrategien, insbesondere die Festlegung eines verbindlichen angemessenen Übergangszeitraums

Spezialanforderung: Lieferkette

Finanzinstitute müssen zukünftig im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das Risiko durch IKT-Drittanbieter verabschieden und diese regelmäßig überprüfen. Diese Strategie umfasst eine Politik für die Nutzung von IKT-Diensten, die von IKT-Drittanbietern erbracht werden.   Dies inkludiert das Führung eines Informationsregisters, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten durch IKT-Drittanbieter bezieht.

Vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Diensten müssen Finanzunternehmen daher:

• alle relevanten Risiken im Zusammenhang mit der vertraglichen Vereinbarung ermitteln und bewerten, einschließlich der Möglichkeit, dass solche vertraglichen Vereinbarungen dazu beitragen können, das IKT-Konzentrationsrisiko zu erhöhen
• bei potenziellen IKT-Drittanbietern alle gebotene Sorgfalt walten lassen und während der gesamten Auswahl- und Bewertungsprozesse sicherstellen, dass der IKT-Drittanbieter geeignet ist

Finanzunternehmen dürfen nur vertragliche Vereinbarungen mit IKT-Drittanbietern schließen, die hohe, angemessene und aktuelle Standards für Informationssicherheit einhalten.

Das bedeutet, robuste Sicherheitsmaßnahmen umzusetzen und eng mit Lieferanten zusammenzuarbeiten, um auch deren potenzielle Cyberbedrohungen zu minimieren. So ist es zum Beispiel wichtig, dass die Sicherheitsanforderungen vertraglich festgelegt sind. (Idealerweise in den Einkaufsbedingungen, kann aber auch in einem separaten Vertrag erfolgen). Diese Nachweise können beispielsweise durch entsprechende Cyber Trust Label erfolgen.

DORA Maßnahmen für Lieferanten (KMU)

Auch KMUs, die Finanzdienstleistungsunternehmen beliefern, müssen Maßnahmen ergreifen:

1. Weisen sie ihren Auftraggebern nach, dass sie Basissicherheit in ihrem Unternehmen erfolgreich umgesetzt haben.
2. Anleitung dazu bietet unter anderem das Cyber Risk Rating Schema des KSÖ

Die DORA Verordnung legt besonderen Wert auf die Sicherheit der Lieferkette, weil die Sicherheit eines Unternehmens stark von seinen Lieferanten und Dienstleistern abhängen kann. Die Kette ist so stark wie das schwächste Glied. Das bedeutet, dass eine Sicherheitsverletzung bei einem Lieferanten nicht nur diesem Lieferanten schaden kann, sondern auch allen Unternehmen, mit denen er digital und physisch verbunden ist.

DORA geht dabei sogar noch einen Schritt weiter als NIS 2: Finanzdienstleistungsunternehmen müssen die Risiken über die gesamte Lieferkette hinweg identifizieren und dokumentieren. Dazu sind auch geeignete Verzeichnisse zu führen. Umfang und Struktur sind in entsprechenden regulatorischen & technischen Standards geregelt.

Finanzunternehmen dürfen nur vertragliche Vereinbarungen mit IKT-Drittanbietern schließen, die hohe, angemessene und aktuelle Standards für Informationssicherheit einhalten.

Vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Diensten müssen Finanzunternehmen daher:

• alle relevanten Risiken im Zusammenhang mit der vertraglichen Vereinbarung ermitteln und bewerten, einschließlich der Möglichkeit, dass solche vertraglichen Vereinbarungen dazu beitragen können, das IKT-Konzentrationsrisiko zu erhöhen
• bei potenziellen IKT-Drittanbietern alle gebotene Sorgfalt walten lassen und während der gesamten Auswahl- und Bewertungsprozesse sicherstellen, dass der IKT-Drittanbieter geeignet ist

Das bedeutet, dass Lieferanten ihre angemessene Cybersicherheit zukünftig nachweisen können. Diese Nachweise können beispielsweise durch entsprechende Cyber Trust Label erfolgen; beides sind vom Regulator akzeptierte Nachweise.

Als Verordnung tritt DORA am 17. Jänner 2025 unmittelbar in allen EU-Ländern in Kraft. Es gibt keine Übergangsfristen.

In Österreich ist die Finanzmarktaufsicht (FMA) für den Vollzug von DORA zuständig.

Auch gegenüber den Finanzunternehmen selbst stellt die Verordnung angemessene verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen für Verstöße gegen die Verordnung fest, welche wirksam, verhältnismäßig und abschreckend sein sollen. 

Mit DORA wird erstmals ein strenger Aufsichtsrahmen operationaler Risiken gesteckt, der europaweit einheitlich ist. Neben der strikten Maßnahmen, die DORA definiert und die zu einer weiteren Verbesserung der Widerstandsfähigkeit europäischer Finanzdienstleister führen soll, bringt dies gerade für international tätige Finanzdienstleister eine Harmonisierung mit sich, welche zu verbesserter Rechtssicherheit im europäischen Rahmen führt.

• Unser DORA Whitepaper.
• Der offizielle Text der DORA Verordnung ist auf der Website der Europäischen Union verfügbar.