Ein Jahr nach Inkrafttreten des Digital Operational Resilience Act zeigt sich: DORA hat Transparenz, Meldequalität und Sicherheitskultur im österreichischen Finanzsektor spürbar gestärkt. FMA und OeNB sehen erste messbare Effekte bei Cyberresilienz und Aufsicht.
Mehr Transparenz mit digitalen Risiken
Mit dem Digital Operational Resilience Act hat die EU am 17. Jänner 2025 einen einheitlichen Aufsichtsrahmen für digitale operationelle Resilienz geschaffen. In Österreich setzen die Finanzmarktaufsicht und die Oesterreichische Nationalbank diesen gemeinsam um. Finanzunternehmen sind seither verpflichtet, schwerwiegende IKT-Vorfälle zu melden, kritische Dienstleister systematisch zu erfassen und regelmäßig Sicherheitstests durchzuführen. FMA-Vorstand Helmut Ettl erklärt dazu: „DORA war ein zentraler Schritt, um die Stabilität des europäischen Finanzmarktes im digitalen Zeitalter nachhaltig zu stärken. Wir sehen nach einem Jahr bereits deutlich mehr Transparenz über digitale Risiken.“ Auch FMA-Vorständin Mariana Kühnel verweist auf die sich verändernde Bedrohungslage: „Die Bedrohungslage entwickelt sich dynamisch, auch durch KI-gestützte Cyberangriffe. Mit DORA schaffen wir den notwendigen Fokus, um auch morgen resilient zu sein.“
Resilienztests, Dienstleisteraufsicht und Kulturwandel
Im Jahr 2025 meldeten österreichische Finanzunternehmen 103 schwerwiegende IKT-Vorfälle an die FMA, fast zwei Drittel davon standen im Zusammenhang mit externen IKT-Dienstleistern. Das neu geschaffene Informationsregister ermöglicht eine raschere Einschätzung möglicher systemischer Auswirkungen und eine bessere europaweite Koordination. Parallel dazu wurden systemrelevante Institute zur Durchführung bedrohungsorientierter Penetrationstests verpflichtet, die vom TIBER Cyber Team der OeNB gemeinsam mit der FMA begleitet werden. OeNB-Direktor Thomas Steiner hält fest: „Ein Jahr nach Einführung von DORA zeigt sich deren größter Erfolg in der Förderung eines grundlegenden Kulturwandels der Finanzunternehmen im Bereich IT-Sicherheit: Es ist das gemeinsame Verständnis, dass strukturierte Vorbereitung, klar definierte Verantwortlichkeiten, enge Zusammenarbeit und regelmäßiges Testen unabdingbare Voraussetzungen für einen resilienten digitalen Finanzmarkt sind.“
