BGBl I 112/2024

112. Bundesgesetz, mit dem ein DORA-Vollzugsgesetz erlassen und das Alternative Investmentfonds Manager-Gesetz, das Bankwesengesetz, das Börsegesetz 2018, das Finanzmarktaufsichtsbehördengesetz, das Investmentfondsgesetz 2011, das Pensionskassengesetz, das Sanierungs- und Abwicklungsgesetz, das Versicherungsaufsichtsgesetz 2016, das Wertpapieraufsichtsgesetz 2018 und das Zahlungsdienstegesetz 2018 geändert werden

Der Nationalrat hat beschlossen:

Inhaltsverzeichnis

​

Artikel 1

Bundesgesetz über das Wirksamwerden der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA-Vollzugsgesetz – DORA-VG)

Inhaltsverzeichnis

​

Zweck dieses Gesetzes

§ 1. Dieses Bundesgesetz dient dem Wirksamwerden der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.

Zuständige Behörde

§ 2. Die FMA ist entsprechend Art. 46 der Verordnung (EU) 2022/2554 die zuständige Behörde für die Überwachung der Einhaltung dieses Bundesgesetzes und der Verordnung (EU) 2022/2554 durch folgende Rechtsträger:

1. 1. Kreditinstitute gemäß § 1 Abs. 1 des Bankwesengesetzes – BWG, BGBl. Nr. 532/1993, sofern die Ausübung der Überwachung nicht gemäß Art. 46 Buchstabe a der Verordnung (EU) 2022/2554 der Europäischen Zentralbank vorbehalten ist;
2. 2. Zahlungsinstitute gemäß § 4 Z 4 lit. a des Zahlungsdienstegesetzes 2018 – ZaDiG 2018, BGBl. I Nr. 17/2018 und Kontoinformationsdienstleister gemäß § 4 Z 19 ZaDiG 2018, die jeweils ihren Sitz in Österreich haben;
3. 3. E-Geld-Institute gemäß § 3 Abs. 2 des E-Geldgesetzes 2010, BGBl. I Nr. 107/2010;
4. 4. Wertpapierfirmen gemäß § 1 Z 1 des Wertpapieraufsichtsgesetzes 2018 – WAG 2018, BGBl. I Nr. 107/2017, mit Sitz in Österreich, die über eine Konzession gemäß § 3 WAG 2018 verfügen;
5. 5. Anbieter von Kryptowerte-Dienstleistungen gemäß Art. 3 Abs. 1 Z 15 der Verordnung (EU) Nr. 2023/1114 über Märkte für Kryptowerte und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937, ABl. Nr. L 150 vom 9.6.2023 S. 40, zuletzt berichtigt durch ABl. L, 2024/90275, 2.5.2024, und Emittenten von vermögenswertreferenzierten Token gemäß Art. 3 Abs. 1 Z 6 der Verordnung (EU) Nr. 2023/1114 ;
6. 6. Zentralverwahrer gemäß Art. 2 Abs. 1 Z 1 der Verordnung (EU) Nr. 909/2014 zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012, ABl. Nr. L 257 vom 28.8.2014 S. 1, zuletzt geändert durch die Verordnung (EU) 2023/2845, ABl. L, 2023/2845, 27.12.2023, die ihren Sitz gemäß Art. 10 der Verordnung (EU) Nr. 909/2014 in Österreich haben;
7. 7. zentrale Gegenparteien gemäß Art. 2 Z 1 der Verordnung (EU) Nr. 648/2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister, ABl. Nr. L 201 vom 27.7.2012 S. 1, zuletzt geändert durch die Verordnung (EU) 2022/2554, ABl. Nr. L 333 vom 27.12.2022 S. 1, die in Österreich gemäß Art. 14 der Verordnung (EU) Nr. 648/2012 niedergelassen sind;
8. 8. Handelsplätze gemäß § 1 Z 26 des Wertpapieraufsichtsgesetzes 2018 – WAG 2018, BGBl. I Nr. 107/2017, die von einer Wertpapierfirma aufgrund einer Konzession gemäß § 3 Abs. 2 Z 4 und 5 WAG 2018 oder von einem Marktbetreiber aufgrund einer Konzession gemäß § 3 des Börsegesetzes 2018 – BörseG 2018, BGBl. I Nr. 107/2017, betrieben werden;
9. 9. Datenbereitstellungsdienste gemäß Art. 2 Abs. 1 Z 36a der Verordnung (EU) Nr. 600/2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012, ABl. Nr. L 173 vom 12.6.2014 S. 84, zuletzt geändert durch die Verordnung (EU) 2024/791, ABl. L, 2024/791, 8.3.2024, bei denen die FMA gemäß Art. 27a in Verbindung mit Art. 2 Abs. 3 der Verordnung (EU) Nr. 600/2014 zuständige Behörde ist;
10. 10. AIFM gemäß § 2 Abs. 1 Z 2 des Alternative Investmentfonds Manager-Gesetzes – AIFMG, BGBl. I Nr. 135/2013, mit Sitz in Österreich, die über eine Konzession gemäß § 4 Abs. 1 AIFMG verfügen;
11. 11. Verwaltungsgesellschaften gemäß § 3 Abs. 2 Z 1 des Investmentfondsgesetzes 2011 – InvFG 2011, BGBl. I Nr. 77/2011, die über eine Konzession gemäß § 5 Abs. 1 InvFG 2011 verfügen;
12. 12. Unternehmen gemäß § 1 Abs. 1 Z 1 des Versicherungsaufsichtsgesetzes 2016 – VAG 2016, BGBl. I Nr. 34/2015;
13. 13. Pensionskassen gemäß § 1 Abs. 1 des Pensionskassengesetzes – PKG, BGBl. Nr. 281/1990, die über eine Konzession gemäß § 8 Abs. 1 PKG verfügen;
14. 14. Administratoren kritischer Referenzwerte gemäß Art. 3 Abs. 1 Nr. 6 und Art. 20 Abs. 1 Buchstabe b der Verordnung (EU) 2016/1011 über Indizes, die bei Finanzinstrumenten und Finanzkontrakten als Referenzwert oder zur Messung der Wertentwicklung eines Investmentfonds verwendet werden, und zur Änderung der Richtlinien 2008/48/EG und 2014/17/EU sowie der Verordnung (EU) Nr. 596/2014, ABl. Nr. L 171 vom 29.6.2016 S. 1, zuletzt geändert durch die Verordnung (EU) 2023/2869, ABl. L, 2023/2869, 20.12.2023, bei denen die FMA gemäß Art. 40 Abs. 2 der Verordnung (EU) 2016/1011 zuständige Behörde ist;
15. 15. Schwarmfinanzierungsdienstleister gemäß Art. 2 Abs. 1 lit. e der Verordnung (EU) 2020/1503 über Europäische Schwarmfinanzierungsdienstleister für Unternehmen und zur Änderung der Verordnung (EU) 2017/1129 und der Richtlinie (EU) 2019/1937 , ABl. Nr. L 347 vom 20.10.2020 S. 1.

Ergänzende Regelungen zum Anwendungsbereich

§ 3. (1) Auf Kreditinstitute gemäß § 1 Abs. 1 BWG, die keine der in Art. 2 Abs. 1 Buchstabe a bis t der Verordnung (EU) 2022/2554 genannten Rechtsträger sind, sind die Vorgaben dieses Bundesgesetzes, der Verordnung (EU) 2022/2554 sowie der aufgrund dieser Verordnung erlassenen delegierten Rechtsakte und Durchführungsrechtsakte anzuwenden, als ob diese Kreditinstitute gemäß Art. 2 Abs. 1 Buchstabe a der Verordnung (EU) 2022/2554 wären.

(2) Auf Unternehmen, die als gemeinnützige Bauvereine anerkannt sind, sind die Verordnung (EU) 2022/2554 und dieses Bundesgesetz insoweit nicht anzuwenden, als sie in § 1 Abs. 1 BWG genannte Geschäfte betreiben, die zu den ihnen eigentümlichen Geschäften gehören.

Aufsichtsmaßnahmen und -befugnisse

§ 4. (1) Der FMA stehen unbeschadet Art. 46 und Art. 50 Abs. 2 der Verordnung (EU) 2022/2554 in ihrem Zuständigkeitsbereich gemäß Art. 46 der Verordnung (EU) 2022/2554 in gleicher Art und in gleichem Umfang die Aufsichtsbefugnisse und -mittel aus den jeweils einschlägigen Aufsichtsgesetzen zur Verfügung, derer sie sich bei der Durchsetzung sonstiger Pflichten nach diesen Aufsichtsgesetzen bedienen kann. Die FMA kann Überprüfungen oder Ermittlungen auch durch geeignete Sachverständige vornehmen lassen.

(2) Bei Verstößen gegen die Verordnung (EU) 2022/2554 oder dieses Bundesgesetz ist die FMA in ihrem Zuständigkeitsbereich gemäß Art. 46 der Verordnung (EU) 2022/2554 berechtigt:

1. 1. eine Anordnung zu erteilen, wonach die natürliche oder juristische Person das verstoßende Verhalten vorübergehend oder dauerhaft einzustellen und von einer Wiederholung abzusehen hat;
2. 2. Auskunft über Daten einer Nachrichtenübermittlung gemäß § 134 Z 2 der Strafprozessordnung 1975 – StPO, BGBl. Nr. 631/1975, auf Antrag zu verlangen und bereits zum Akt genommene Ergebnisse solcher Ermittlungshandlungen einzusehen und Kopien von ihnen zu erhalten, wenn ein begründeter Verdacht eines Verstoßes gegen Bestimmungen der Verordnung (EU) 2022/2554 und dieses Bundesgesetzes besteht und diese Aufzeichnungen für eine Ermittlung in Zusammenhang mit diesen Verstößen von Belang sein könnten; auf die Auskunft über Daten der Nachrichtenübermittlung und die Überwachung von Nachrichten sind die Verfahrensvorschriften gemäß § 153 Abs. 4 bis 6 und 8 BörseG 2018 anzuwenden, wobei an die Stelle des Landesgerichts für Strafsachen Wien das Bundesverwaltungsgericht, an die Stelle des Verweises auf §§ 154, 155 Abs. 1 Z 2, 163 und 164 BörseG 2018 ein Verweis auf § 7 oder § 8 tritt;
3. 3. öffentliche Bekanntmachungen abzugeben, einschließlich solcher, in denen die Identität der natürlichen oder juristischen Person und die Art des Verstoßes angegeben sind. § 9 sowie Art. 54 der Verordnung (EU) 2022/2554 sind sinngemäß anzuwenden.

(3) Die FMA kann mit zuständigen Behörden von anderen Mitgliedstaaten, der Europäischen Bankaufsichtsbehörde (EBA), der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) und der Europäischen Zentralbank zusammenarbeiten, wenn dies zur Wahrnehmung von in diesem Bundesgesetz und in der Verordnung (EU) 2022/2554 festgelegten Aufgaben erforderlich ist und soweit die an diese Behörden übermittelten Informationen bei diesen einem § 14 des Finanzmarktaufsichtsbehördengesetzes – FMABG, BGBl. I Nr. 97/2001, entsprechenden Berufsgeheimnis unterliegen. Die FMA kann für die Zwecke der Zusammenarbeit von ihren Befugnissen Gebrauch machen, auch wenn die Verhaltensweise, die Gegenstand der Ermittlung ist, keinen Verstoß gegen eine in Österreich geltende Vorschrift darstellt.

(4) Die FMA kann mit Behörden aus Drittstaaten zusammenarbeiten, die eine Aufgabe wahrnehmen, die derjenigen einer zuständigen Behörde gemäß Art. 46 der Verordnung (EU) 2022/2554 entspricht. Diese Zusammenarbeit einschließlich des Austausches von allen Informationen ist zulässig, soweit sie Pflichten und Aufgaben einer zuständigen Behörde gemäß diesem Bundesgesetz oder der Verordnung (EU) 2022/2554 oder entsprechende Aufgaben einer Behörde aus einem Drittstaat betrifft. Die Übermittlung ist nur zulässig, soweit die übermittelten Daten bei diesen Behörden einem § 14 FMABG entsprechenden Berufsgeheimnis unterliegen. Die FMA kann ausschließlich für die Zwecke der Zusammenarbeit nach diesem Absatz von ihren Befugnissen Gebrauch machen; dies gilt auch dann, wenn der Zusammenarbeit ein Ermittlungsverfahren im Drittstaat wegen eines Verhaltens zugrunde liegt, das keinen Verstoß gegen eine in Österreich geltende Vorschrift darstellt.

Zusammenarbeit zwischen FMA und Oesterreichischer Nationalbank

§ 5. (1) Im Fall der Rechtsträger gemäß § 2 Z 1, 2, 3, 6 und 7 haben die FMA und die Oesterreichische Nationalbank zur wirksamen Erfüllung ihrer jeweiligen Aufgaben nach Maßgabe dieses Bundesgesetzes und der jeweiligen sektoralen Bundesgesetze eng zusammenzuarbeiten. Die Bestimmungen der jeweiligen sektoralen Bundesgesetze über die Aufgaben der Oesterreichischen Nationalbank und die Zusammenarbeit mit der FMA finden dabei mit der Maßgabe Anwendung, dass die dort geregelten Aufgaben der Oesterreichischen Nationalbank für die Zwecke der Aufsicht über dieses Bundesgesetz und über die Verordnung (EU) 2022/2554 für den Bereich der Beaufsichtigung dieses Bundesgesetzes sowie der Verordnung (EU) 2022/2554 gelten.

(2) Hinsichtlich des Überwachungsrahmens für kritische IKT-Drittdienstleister ist die FMA die zuständige Behörde, deren hochrangiger Vertreter gemäß Art. 32 Abs. 5 der Verordnung (EU) 2022/2554 Mitglied im Überwachungsforum ist.

(3) Ein auf bundesgesetzlicher Regelung beruhender Ersatzanspruch aus Handlungen der FMA, ihrer Bediensteten oder ihrer Organe, sowie aus Handlungen der Oesterreichischen Nationalbank, ihrer Bediensteten oder ihrer Organe, die im Rahmen dieses Bundegesetzes oder der Verordnung (EU) 2022/2554 tätig werden, ist in folgenden Fällen ausgeschlossen:

1. 1. Bei Handlungen im Rahmen des gemeinsamen Untersuchungsteams gemäß Art. 40 Abs. 1 der Verordnung (EU) 2022/2554 und
2. 2. bei Zusammenarbeit, Informationsaustausch oder sonstiger Unterstützung der federführenden Aufsichtsbehörde gemäß Art. 3 Nr. 61 der Verordnung (EU) 2022/2554 .

Erweiterte Tests

§ 6. (1) Vor Ausstellung einer Bescheinigung gemäß Art. 26 Abs. 7 der Verordnung (EU) 2022/2554 hat die FMA eine gutachterliche Äußerung der Oesterreichischen Nationalbank einzuholen. Die Oesterreichische Nationalbank hat dabei zu beurteilen, ob ein erweiterter Test im Einklang mit den Anforderungen von Art. 26 und 27 der Verordnung (EU) 2022/2554 durchgeführt wurde. Der Gutachtensauftrag ist von der FMA in Abstimmung mit der OeNB auf Teilaspekte von Art. 26 und 27 der Verordnung (EU) 2022/2554 einzuschränken, soweit dies angesichts des Umfangs der Einbindung der OeNB in die Beaufsichtigung des getesteten Finanzunternehmens angezeigt ist.

(2) Die Oesterreichische Nationalbank hat gutachtliche Äußerungen gemäß Abs. 1 in eigener Verantwortung und im eigenen Namen abzugeben. Die FMA hat sich weitestmöglich auf die Gutachten der Oesterreichischen Nationalbank zu stützen und kann sich auf deren Richtigkeit und Vollständigkeit verlassen, es sei denn, sie hat begründete Zweifel an deren Richtigkeit oder Vollständigkeit. Die Oesterreichische Nationalbank hat Stellungnahmen des betroffenen Rechtsträgers gemäß Art. 2 Abs. 1 Buchstabe a bis t der Verordnung (EU) 2022/2554 der FMA unverzüglich zu übermitteln.

(3) Im Fall von gutachterlichen Äußerungen gemäß Abs. 1 in Bezug auf Rechtsträger gemäß § 2 Z 4, 5 und 8 bis 15, die gemäß Art. 26 Abs. 1 der Verordnung (EU) 2022/2554 erweiterte Tests durchführen müssen, hat die Oesterreichische Nationalbank

1. 1. eine Aufstellung der ihr im jeweiligen Geschäftsjahr aus Aufgaben und Tätigkeiten in Zusammenhang mit gutachtlichen Äußerungen gemäß Abs. 1 erwachsenden Kosten nebst Aufschlüsselung nach den einzelnen Kategorien von Rechtsträgern gemäß § 2 Z 4, 5 und 8 bis 15 zu erstellen und vom Rechnungsprüfer gemäß § 37 des Nationalbankgesetzes 1984 – NBG, BGBl. Nr. 50/1984, prüfen zu lassen,
2. 2. die geprüfte Aufstellung dem Bundesminister für Finanzen und der FMA bis zum 30. April des jeweils folgenden Geschäftsjahres zu übermitteln,
3. 3. die geprüfte Aufstellung nach der Übermittlung gemäß Z 2 auf ihrer Internetseite zu veröffentlichen,
4. 4. auf Basis einer von der FMA rechtzeitig übermittelten Testplanung für das Folgejahr die geschätzten Kosten aus Aufgaben und Tätigkeiten in Zusammenhang mit gutachtlichen Äußerungen gemäß Abs. 1 nebst Aufschlüsselung nach den einzelnen Kategorien von Rechtsträgern gemäß § 2 Z 4, 5 und 8 bis 15 sowie die geschätzte Anzahl der im Jahresdurchschnitt mit gutachterlichen Äußerungen gemäß Abs. 1 beschäftigten Bediensteten, jeweils für das folgende Geschäftsjahr dem Bundesminister für Finanzen und der FMA bis zum 30. September jeden Jahres mitzuteilen und
5. 5. den Bundesminister für Finanzen und die FMA einmal jährlich über die Anzahl der mit gutachtlichen Äußerungen gemäß Abs. 1 im Jahresdurchschnitt beschäftigten Bediensteten zu informieren; diese Information kann auch im Wege einer Veröffentlichung erfolgen.

Strafbestimmungen

§ 7. Wer als Verantwortlicher (§ 9 des Verwaltungsstrafgesetzes 1991 – VStG, BGBl. Nr. 52/1991) eines Rechtsträgers gemäß Art. 2 Abs. 1 Buchstabe a bis t der Verordnung (EU) 2022/2554

1. 1. die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 14 mit Ausnahme von Art. 11 Abs. 11 der Verordnung (EU) 2022/2554 nicht erfüllt;
2. 2. die Anforderungen an das vereinfachte IKT-Risikomanagement gemäß Art. 16 Abs. 1 und 2 der Verordnung (EU) 2022/2554 nicht erfüllt;
3. 3. IKT-bezogene Vorfälle und Cyberbedrohungen nicht gemäß Art. 17 und Art. 18 Abs. 1 und 2 der Verordnung (EU) 2022/2554 behandelt und klassifiziert oder nicht gemäß Art. 19 Abs. 1 Unterabs. 1, 4 und 5 sowie Abs. 3 bis 5 der Verordnung (EU) 2022/2554 meldet;
4. 4. die Testung der digitalen operationalen Resilienz nicht gemäß Art. 24 und 25 der Verordnung (EU) 2022/2554 durchführt;
5. 5. als gemäß Art. 26 Abs. 8 Unterabs. 3 ermitteltes Unternehmen keine erweiterten Tests gemäß Art. 26 Abs. 1 bis 6 und Abs. 8 Unterabs. 1 sowie Art. 27 der Verordnung (EU) 2022/2554 durchführt;
6. 6. das Drittparteienrisiko nicht gemäß Art. 28 Abs. 1 bis 8 und Art. 29 der Verordnung (EU) 2022/2554 managt oder vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen nicht gemäß Art. 30 Abs. 1 bis 4 der Verordnung (EU) 2022/2554 trifft;
7. 7. die Dienstleistungen eines IKT-Drittdienstleisters mit Sitz in einem Drittland in Anspruch nimmt, der nicht den Anforderungen von Art. 31 Abs. 12 der Verordnung (EU) 2022/2554 entspricht;
8. 8. entgegen einer Anordnung der FMA gemäß Art. 42 Abs. 6 Satz 1 der Verordnung (EU) 2022/2554 die Nutzung oder den Einsatz einer entsprechenden Dienstleistung nicht vorübergehend aussetzt oder entgegen einer Anordnung der FMA gemäß Art. 42 Abs. 6 Satz 2 der Verordnung (EU) 2022/2554 eine entsprechende vertragliche Vereinbarung nicht kündigt;
9. 9. beim Austausch von Informationen gemäß Art. 45 Abs. 1 der Verordnung (EU) 2022/2554 die Pflichten gemäß Art. 45 der Verordnung (EU) 2022/2554 verletzt,

   begeht eine Verwaltungsübertretung und ist von der FMA mit einer Geldstrafe bis zu 150 000 Euro zu bestrafen.

Strafbestimmungen betreffend juristische Personen

§ 8. (1) Die FMA kann Geldstrafen gegen juristische Personen verhängen, wenn natürliche Personen, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

1. 1. der Befugnis zur Vertretung der juristischen Person,
2. 2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder
3. 3. einer Kontrollbefugnis innerhalb der juristischen Person

   innehaben, gegen die in § 7 angeführten Bestimmungen verstoßen haben.

(2) Juristische Personen können wegen Verstößen gegen die in § 7 angeführten Bestimmungen auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat.

(3) Die Geldstrafe gemäß Abs. 1 oder 2 beträgt

1. 1. bis zu 500 000 Euro oder
2. 2. bis zu 1vH des jährlichen Gesamtnettoumsatzes gemäß Abs. 4,

   je nachdem welcher Betrag höher ist.

(4) Der jährliche Gesamtnettoumsatz gemäß Abs. 3 Z 2 bestimmt sich nach dem letzten festgestellten Jahresabschluss. Wenn es sich bei dem Verpflichteten um ein Kreditinstitut gemäß § 1 Abs. 1 BWG, ein E-Geld-Institut gemäß § 3 Abs. 2 E-Geldgesetz 2010, ein Zahlungsinstitut gemäß § 4 Z 4 lit. a ZaDiG 2018, einen AIFM gemäß § 2 Abs. 1 Z 2 AIFMG, eine Verwaltungsgesellschaft gemäß § 3 Abs. 2 Z 1 InvFG 2011 oder eine Wertpapierfirma gemäß § 1 Z 1 WAG 2018 handelt, ist der jährliche Gesamtumsatz die Summe der in Z 1 bis 7 der Anlage 2 zu § 43 BWG angeführten Erträge abzüglich der dort angeführten Aufwendungen. Wenn es sich bei dem Verpflichteten um ein Kreditinstitut gemäß § 1 Abs. 1 Z 21 BWG handelt, ist der jährliche Gesamtumsatz die Summe der Erträge aus Verwaltungskosten gemäß § 26 des Betrieblichen Mitarbeiter- und Selbständigenvorsorgegesetzes – BMSVG, BGBl. I Nr. 100/2002. Wenn es sich bei dem Verpflichteten um eine Pensionskasse gemäß § 1 Abs. 1 PKG handelt, ist der jährliche Gesamtumsatz die Vergütung zur Deckung der Betriebsaufwendungen gemäß Punkt II.1. des Formblatts B der Anlage 1 zu Artikel I, § 30 PKG unter Berücksichtigung der Veränderung der geschäftsplanmäßigen Verwaltungskostenrückstellung gemäß Punkt II.3 des Formblatts B der Anlage 1 zu Artikel I, § 30 PKG. Wenn es sich bei dem Verpflichteten um ein Versicherungsunternehmen gemäß § 1 Abs. 1 Z 1 VAG 2016 handelt, ist der jährliche Gesamtumsatz die Summe der in § 146 Abs. 4 Z 1 bis 8 und 10 bis 11 VAG 2016 angeführten Erträge abzüglich der dort angeführten Aufwendungen. Handelt es sich bei der juristischen Person um eine Muttergesellschaft oder Tochtergesellschaft der Muttergesellschaft, die einen konsolidierten Abschluss nach der Richtlinie 2013/34/EU über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen und zur Änderung der Richtlinie 2006/43/EG und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG , ABl. Nr. L 182 vom 29.6.2013 S. 19, zuletzt geändert durch die Richtlinie (EU) 2024/1306 , ABl. L. 2024/1306, 8.5.2024, aufzustellen hat, so ist der maßgebliche jährliche Gesamtnettoumsatz der jährliche Gesamtnettoumsatz oder die entsprechende Einkunftsart gemäß den einschlägigen Rechnungslegungsbestimmungen, der oder die im letzten verfügbaren konsolidierten Abschluss ausgewiesen ist, der vom zuständigen Leitungsorgan der Muttergesellschaft an der Spitze festgestellt wurde. Soweit die FMA die Grundlagen für den jährlichen Gesamtnettoumsatz nicht ermitteln oder berechnen kann, hat sie diese zu schätzen. Dabei sind alle Umstände zu berücksichtigen, die für die Schätzung von Bedeutung sind.

Wahrnehmung der Aufsichtsbefugnisse zur Verhängung verwaltungsrechtlicher Sanktionen und Maßnahmen

§ 9. Bei der Bestimmung der Art und Höhe der Verwaltungsstrafen sowie anderer verwaltungsrechtlicher Maßnahmen wegen Verstößen gegen die Verordnung (EU) 2022/2554 oder dieses Bundesgesetz hat die FMA entsprechend zu berücksichtigen, inwieweit der Verstoß vorsätzlich erfolgte oder das Ergebnis von Fahrlässigkeit ist, sowie alle anderen relevanten Umstände, einschließlich gegebenenfalls

1. 1. der Wesentlichkeit, Schwere und Dauer des Verstoßes;
2. 2. des Grades an Verantwortung der für den Verstoß verantwortlichen natürlichen oder juristischen Person;
3. 3. der Finanzkraft der für den Verstoß verantwortlichen natürlichen oder juristischen Person;
4. 4. der Höhe der von der verantwortlichen natürlichen oder juristischen Person erzielten Gewinne oder verhinderten Verluste, sofern sich diese beziffern lassen;
5. 5. der Verluste, die Dritten durch den Verstoß entstanden sind, sofern sich diese beziffern lassen;
6. 6. der Bereitschaft der verantwortlichen natürlichen oder juristischen Person zur Zusammenarbeit mit der FMA, unbeschadet des Erfordernisses, die von dieser natürlichen oder juristischen Person erzielten Gewinne oder verhinderten Verluste einzuziehen;
7. 7. früherer Verstöße der verantwortlichen natürlichen oder juristischen Person.

Bekanntmachung verwaltungsrechtlicher Sanktionen

§ 10. Ein von einer Veröffentlichung gemäß Art. 54 der Verordnung (EU) 2022/2554 Betroffener kann eine Überprüfung der Rechtmäßigkeit der Veröffentlichung in einem bescheidmäßig zu erledigenden Verfahren bei der FMA beantragen. Die FMA hat diesfalls die Einleitung eines solchen Verfahrens in gleicher Weise bekannt zu machen. Wird im Rahmen der Überprüfung die Rechtswidrigkeit der Veröffentlichung festgestellt, so hat die FMA die Veröffentlichung richtig zu stellen oder auf Antrag des Betroffenen entweder zu widerrufen oder aus dem Internetauftritt zu entfernen. Wurde einer Beschwerde gegen einen Bescheid, der gemäß Art. 54 der Verordnung (EU) 2022/2554 bekannt gemacht wurde, aufschiebende Wirkung zuerkannt, so hat die FMA dies in gleicher Weise bekannt zu machen. Die Veröffentlichung ist richtig zu stellen oder auf Antrag des Betroffenen entweder zu widerrufen oder aus dem Internetauftritt zu entfernen, wenn der Bescheid aufgehoben wird.

Form der Kommunikation mit der FMA – elektronische Übermittlung

§ 11. Die FMA kann durch Verordnung vorschreiben, dass die Anzeigen und Übermittlungen gemäß Art. 11 Abs. 9 und 10, Art. 19 Abs. 4, Art. 26 Abs. 6, Art. 28 Abs. 3 und Art. 45 Abs. 3 der Verordnung (EU) 2022/2554 ausschließlich in elektronischer Form zu erfolgen sowie bestimmten Gliederungen, technischen Mindestanforderungen und Übermittlungsmodalitäten zu entsprechen haben. Die FMA hat sich dabei unter Berücksichtigung der europäischen Gepflogenheiten in diesem Bereich an den Grundsätzen der Wirtschaftlichkeit und Zweckmäßigkeit zu orientieren und dafür zu sorgen, dass die jederzeitige elektronische Verfügbarkeit der Daten für die FMA gewährleistet bleibt und Aufsichtsinteressen nicht beeinträchtigt werden. Die FMA hat geeignete Vorkehrungen dafür zu treffen, dass sich die Meldepflichtigen oder gegebenenfalls ihre Einbringungsverantwortlichen während eines angemessenen Zeitraums im System über die Richtigkeit und Vollständigkeit der von ihnen oder ihren Einbringungsverantwortlichen erstatteten Meldedaten vergewissern können.

Besondere Verfahrensbestimmungen

§ 12. Die von der FMA gemäß diesem Bundesgesetz verhängten Geldstrafen fließen dem Bund zu.

Kosten

§ 13. Die Kosten der FMA aus ihrer Tätigkeit als zuständige Behörde gemäß Art. 46 der Verordnung (EU) 2022/2554 sind

1. 1. demjenigen Rechnungskreis gemäß § 19 FMABG, oder,
2. 2. soweit innerhalb des Rechnungskreises gemäß Bundesgesetz Subrechnungskreise einzurichten sind, demjenigen Subrechnungskreis

   zuzuordnen, dem die Kosten für die Wahrnehmung von Aufsichtsaufgaben nach den in Art. 46 der Verordnung (EU) 2022/2554 für den jeweiligen Rechtsträger angeführten Unionsrechtsakten und entsprechenden nationalen Begleitmaßnahmen zuzuordnen sind.

Sprachliche Gleichbehandlung

§ 14. Soweit in diesem Bundesgesetz personenbezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf alle Geschlechter in gleicher Weise. Bei der Anwendung auf bestimmte Personen ist die jeweils geschlechtsspezifische Form zu verwenden.

Verweise

§ 15. Soweit in diesem Bundesgesetz auf andere Bundesgesetze verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.

Inkrafttreten

§ 16. (1) Dieses Bundesgesetz tritt mit Ausnahme der in Abs. 2 genannten Bestimmungen am 17. Jänner 2025 in Kraft.

(2) § 6 Abs. 3 Z 4 tritt mit 30. September 2024 in Kraft. § 6 Abs. 3 Z 5 tritt mit 1. Jänner 2026 in Kraft.

Vollziehung

§ 17. Mit der Vollziehung dieses Bundesgesetzes ist der Bundesminister für Finanzen betraut.

Artikel 2

Änderung des Alternative Investmentfonds Manager-Gesetzes

Das Alternative Investmentfonds Manager-Gesetz – AIFMG, BGBl. I Nr. 135/2013, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2023, wird wie folgt geändert:

1. § 16 Abs. 2 lautet:

„(2) Ein AIFM hat unter Berücksichtigung der Art der von dem AIFM verwalteten AIF über eine ordnungsgemäße Verwaltung und Buchhaltung, Kontroll- und Sicherheitsvorkehrungen für die elektronische Datenverarbeitung, einschließlich in Bezug auf Netzwerk- und Informationssysteme, die im Einklang mit der Verordnung (EU) 2022/2554 eingerichtet und verwaltet werden, sowie angemessene interne Kontrollverfahren, zu denen insbesondere Regeln für persönliche Geschäfte seiner Mitarbeiter und für das Halten oder Verwalten von Veranlagungen zum Zwecke der Anlage auf eigene Rechnung gehören, zu verfügen, durch die zumindest gewährleistet wird, dass jedes die AIF betreffende Geschäft nach Herkunft, Vertragsparteien, Art, Abschlusszeitpunkt und -ort rekonstruiert werden kann und dass die Vermögenswerte der vom AIFM verwalteten AIF gemäß den Vertragsbedingungen oder Satzungen der AIF sowie gemäß den geltenden rechtlichen Bestimmungen angelegt werden.“

2. In § 71 Abs. 2 wird der Punkt am Ende der Z 30 durch einen Strichpunkt ersetzt und die folgende Z 31 angefügt:

1. „31. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

3. Dem § 71a wird folgender Abs. 9 angefügt:

„(9) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

4. Dem § 74 wird folgender Abs. 22 angefügt:

„(22) § 16 Abs. 2, § 71 Abs. 2 Z 31 sowie § 71a Abs. 9 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

Artikel 3

Änderung des Bankwesengesetzes

Das Bankwesengesetz – BWG, BGBl. Nr. 532/1993, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 106/2023, wird wie folgt geändert:

1. In § 3 Abs. 1 Z 12 wird die Wortfolge „hinsichtlich der Teile 3, 5, 6 und 7 der Verordnung (EU) Nr. 575/2013“ durch die Wortfolge „hinsichtlich der Teile 3, 6 bis 7a mit der Ausnahme von Artikel 430 Abs. 1 Buchstabe c der Verordnung (EU) Nr. 575/2013“ ersetzt.

2. In § 3 Abs. 1 Z 13 wird die Wortfolge „hinsichtlich der Teile 3, 5, 6 und 7 der Verordnung (EU) Nr. 575/2013 sowie der §§ 23 bis 24a“ durch die Wortfolge „hinsichtlich der Teile 3, 6 bis 7a mit Ausnahme von Artikel 430 Abs. 1 Buchstabe c der Verordnung (EU) Nr. 575/2013 sowie der §§ 22 bis 24d“ ersetzt.

3. In § 3 Abs. 6 wird die Wortfolge „sind § 1a Abs. 2 und die §§ 23 bis 24a nicht anzuwenden“ durch die Wortfolge „sind § 1a Abs. 2 und die §§ 22 bis 24d nicht anzuwenden“ ersetzt.

4. In § 39 Abs. 2 wird nach dem dritten Satz der folgende Satz eingefügt:

„Soweit Netzwerk- und Informationssysteme verwendet werden, sind diese insbesondere gemäß den Anforderungen der Verordnung (EU) 2022/2554 einzurichten und zu verwalten.“

5. In § 60 Abs. 3 wird nach der Wortfolge „von einem Dritten“ die Wortfolge „ , einschließlich einem IKT-Drittdienstleister gemäß Kapitel V der Verordnung (EU) 2022/2554,“ eingefügt.

6. In § 69 Abs. 2 wird nach Z 1 die folgende Z 2 eingefügt:

1. „2. die Risiken, die bei Tests der digitalen operationellen Resilienz gemäß Kapitel IV der Verordnung (EU) 2022/2554 ermittelt werden;“

7. § 70 Abs. 1 Z 1 lautet:

1. „1. von Kreditinstituten, Kreditinstitute-Verbünden, gemäß § 30 Abs. 6 verantwortlichen Unternehmen für Unternehmen der Kreditinstitutsgruppe sowie von Finanzholdinggesellschaften, gemischten Finanzholdinggesellschaften, gemischten Holdinggesellschaften und Dritten, an welche diese Unternehmen betriebliche Funktionen oder Tätigkeiten ausgelagert haben, einschließlich IKT-Drittdienstleistern gemäß Kapitel V der Verordnung (EU) 2022/2554, die Vorlage von Zwischenabschlüssen, von Ausweisen in bestimmter Form und Gliederung und von Prüfungsberichten verlangen, ferner von den Kreditinstituten, Kreditinstitute-Verbünden, von den gemäß § 30 Abs. 6 verantwortlichen Unternehmen für Unternehmen der Kreditinstitutsgruppe sowie von Finanzholdinggesellschaften, gemischten Finanzholdinggesellschaften, gemischten Holdinggesellschaften und Dritten, an welche diese Unternehmen betriebliche Funktionen oder Tätigkeiten ausgelagert haben, einschließlich IKT-Drittdienstleistern gemäß Kapitel V der Verordnung (EU) 2022/2554, und deren Organen Auskünfte über alle Geschäftsangelegenheiten fordern, in die Bücher, Schriftstücke und Datenträger Einsicht nehmen; auf den Umfang der Auskunfts-, Vorlage- und Einschaurechte der FMA und die Verpflichtung zur Verfügbarkeit von Unterlagen im Inland ist § 60 Abs. 3 anzuwenden;“

8. In § 70 Abs. 1 Z 3 erster Satz wird nach der Wortfolge „Unternehmen der Kreditinstitutsgruppe“ die Wortfolge „und von Dritten, an welche Kreditinstitute, sonstige Unternehmen einer Kreditinstitutsgruppe oder Kreditinstitute-Verbünde betriebliche Funktionen oder Tätigkeiten ausgelagert haben, einschließlich IKT-Drittdienstleistern gemäß Kapitel V der Verordnung (EU) 2022/2554,“ eingefügt.

9. § 71 Abs. 8 lautet:

„(8) Die Bestimmungen der vorstehenden Abs. 1 bis 7 für die Durchführung der Prüfung von Kreditinstituten gelten in gleicher Weise für die Prüfung von Unternehmen der Kreditinstitutsgruppe und von Dritten, an welche Kreditinstitute, sonstige Unternehmen einer Kreditinstitutsgruppe oder Kreditinstituts-Verbünde betriebliche Funktionen oder Tätigkeiten ausgelagert haben, einschließlich IKT-Drittdienstleistern gemäß Kapitel V der Verordnung (EU) 2022/2554.“

10. Dem § 105 wird folgender Abs. 23 angefügt:

„(23) Soweit in diesem Bundesgesetz auf die Verordnung (EU) 2022/2554 verwiesen wird, so ist, sofern nichts Anderes angeordnet ist, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1, anzuwenden.“

11. Dem § 107 wird folgender Abs. 115 angefügt:

„(115) § 39 Abs. 2, § 60 Abs. 3, § 69 Abs. 2 Z 2, § 70 Abs. 1 Z 1 und 3, § 105 Abs. 22 und § 109 Abs. 3 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

12. Dem § 109 wird folgender Abs. 3 angefügt:

„(3) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

Artikel 4

Änderung des Börsegesetzes 2018

Das Börsegesetz 2018 – BörseG 2018, BGBl. I Nr. 107/2017, zuletzt geändert durch das Bundesgesetz BGBl. I. Nr. 69/2022, wird wie folgt geändert:

1. § 10 Abs. 1 lautet:

„(1) Das Börseunternehmen hat seine operationale Resilienz entsprechend den in Kapitel II der Verordnung (EU) 2022/2554 festgelegten Anforderungen herzustellen und zu erhalten, um sicherzustellen, dass seine Handelssysteme belastbar sind und über ausreichende Kapazitäten für Spitzenvolumina an Aufträgen und Mitteilungen verfügen, in der Lage sind, unter extremen Stressbedingungen auf den Märkten einen ordnungsgemäßen Handel zu gewährleisten, vollständig geprüft sind, um zu gewährleisten, dass diese Bedingungen erfüllt sind, und wirksamen Vorkehrungen zur Fortführung der Geschäftstätigkeiten unterliegen, die IKT-Geschäftsfortführungsleitlinie und -pläne sowie IKT- Reaktions- und Wiederherstellungspläne gemäß Artikel 11 der Verordnung (EU) 2022/2554 einschließen, um im Fall von Störungen in seinen Handelssystemen die Kontinuität seines Geschäftsbetriebs zu gewährleisten.“

2. § 11 Abs. 1 lautet:

„(1) Das Börseunternehmen hat über wirksame Systeme, Verfahren und Vorkehrungen zu verfügen, einschließlich der Anforderung, dass die Börsemitglieder und Börsebesucher gemäß den in den Kapiteln II und IV der Verordnung (EU) 2022/2554 festgelegten Anforderungen angemessene Tests von Algorithmen durchführen und ein Umfeld schaffen, um solche Tests zu vereinfachen. Das Börseunternehmen hat sicherzustellen, dass algorithmische Handelssysteme keine marktstörenden Handelsbedingungen auf dem Markt schaffen oder zu solchen beitragen, und etwaige marktstörende Handelsbedingungen, die sich aus algorithmischen Handelssystemen ergeben, zu kontrollieren. Diese Systeme müssen insbesondere folgende Aufgaben erfüllen:

1. 1. Sie begrenzen das Verhältnis nicht ausgeführter Handelsaufträge zu Geschäften, die von einem Börsemitglied oder Börsebesucher in das System eingegeben werden, mit dem Ziel das Auftragsaufkommen zu verlangsamen, wenn das Risiko besteht, dass die Systemkapazität erreicht wird.
2. 2. Sie dienen der Begrenzung und Durchsetzung der kleinstmöglichen Tick-Größe, die auf dem Markt ausgeführt werden kann.“

3. § 21 Abs. 1 Z 2 lautet:

1. „2. über angemessene Vorkehrungen und Systeme zur Ermittlung aller für seinen Betrieb wesentlichen Risiken, einschließlich der IKT-Risiken gemäß Kapitel II der Verordnung (EU) 2022/2554, zu verfügen und wirksame Maßnahmen zur Begrenzung dieser Risiken zu treffen;“

4. § 21 Abs. 1 Z 3 entfällt.

5. In § 190 Abs. 5 wird der Punkt am Ende der Z 19 durch einen Strichpunkt ersetzt und folgende Z 20 angefügt:

1. „20. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

6. Dem § 192a wird folgender Abs. 8 angefügt:

„(8) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

7. Dem § 194 wird folgender Abs. 12 angefügt:

„(12) § 10 Abs. 1, § 11 Abs. 1, § 21 Abs. 1 Z 2, § 190 Abs. 5 Z 19 und 20 sowie § 192a Abs. 8 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft. § 21 Abs. 1 Z 3 tritt mit Ablauf des 16. Jänner 2025 außer Kraft.“

Artikel 5

Änderung des Finanzmarktaufsichtsbehördengesetzes

Das Finanzmarktaufsichtsbehördengesetz – FMABG, BGBl. I Nr. 97/2001, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2023, wird wie folgt geändert:

1. In § 2 Abs. 1 wird folgende Z 24 angefügt:

1. „24. in der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1, und im DORA-Vollzugsgesetz – DORA-VG, BGBl. I Nr. 112/2024,“

2. In § 2 Abs. 2 wird folgende Z 12 angefügt:

1. „12. in der Verordnung (EU) 2022/2554 und im DORA-VG,“

3. In § 2 Abs. 3 wird folgende Z 22 eingefügt:

1. „22. in der Verordnung (EU) 2022/2554 und im DORA-VG,“

4. In § 2 Abs. 4 wird folgende Z 5 angefügt:

1. „5. in der Verordnung (EU) 2022/2554 und im DORA-VG,“

5. § 18 Abs. 1 wird nach der Wortfolge „und der Versicherungsaufsicht gemäß § 182 Abs. 7 VAG 2016, soweit sie 500 000 Euro nicht übersteigen“ die Wortfolge „und der gemäß § 5 Abs. 3 DORA-VG mitgeteilten Kosten, soweit sie 500 000 Euro nicht übersteigen,“ eingefügt.

6. § 19 Abs. 1 wird folgender Satz angefügt:

„Die von der Oesterreichischen Nationalbank mitgeteilten Kosten gemäß § 6 Abs. 3 Z 2 DORA-VG sind, soweit sie 500 000 Euro nicht übersteigen, entsprechend der Aufschlüsselung nach Kategorien von Rechtsträgern gemäß § 6 Abs. 3 DORA-VG denjenigen Rechnungskreisen zuzuordnen, denen die Kosten für die Wahrnehmung von Aufsichtsaufgaben nach den in Art. 46 der Verordnung (EU) 2022/2554 für die jeweilige Kategorie von Rechtsträgern angeführten Unionsrechtsakten und entsprechenden nationalen Begleitmaßnahmen zuzuordnen sind.“

7. In § 19 wird folgender Abs. 5g eingefügt:

„(5g) Die FMA hat der Oesterreichischen Nationalbank für die Kosten ihrer Aufgaben und Tätigkeiten in Zusammenhang mit den gutachtlichen Äußerungen gemäß § 6 DORA-VG Erstattungsbeiträge zu leisten. Die Erstattungsbeiträge sind auf Grund der für das jeweils vorausgegangene Geschäftsjahr mitgeteilten Kosten gemäß § 6 Abs. 3 DORA-VG zu bemessen und betragen höchstens 500 000 Euro. Die Erstattung erfolgt bis spätestens Ende März des nächstfolgenden Geschäftsjahres.“

8. Dem § 28 wird folgender Abs. 52 angefügt:

„(52) § 2 Abs. 1 bis 4, § 18 Abs. 1 sowie § 19 Abs. 1 und Abs. 5g in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

Artikel 6

Änderung des Investmentfondsgesetzes 2011

Das Investmentfondsgesetz 2011 – InvFG 2011, BGBl. I Nr. 77/2011, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2023, wird wie folgt geändert:

1. Nach § 10 Abs. 4 wird folgender Abs. 4a eingefügt:

„(4a) Die Verwaltungsgesellschaft hat unter Berücksichtigung des Typs der von der Verwaltungsgesellschaft verwalteten OGAW auch in Bezug auf Netzwerk- und Informationssysteme, die im Einklang mit der Verordnung (EU) 2022/2554 eingerichtet und verwaltet werden, über Kontroll- und Sicherheitsvorkehrungen zu verfügen, durch die – in Verbindung mit den gemäß Abs. 1 bis 3 geschaffenen Systemen, internen Kontrollmechanismen und Vorkehrungen – zumindest gewährleistet wird, dass jedes den OGAW betreffende Geschäft nach Herkunft, Vertragsparteien, Art, Abschlusszeitpunkt und -ort rekonstruiert werden kann und dass die Vermögenswerte der von der Verwaltungsgesellschaft verwalteten OGAW gemäß den Vertragsbedingungen oder Satzungen der OGAW sowie den geltenden rechtlichen Bestimmungen angelegt werden.“

2. In § 36 Abs. 4 erster Satz und dritter Satz wird der Verweis „§ 10 Abs. 1 bis 4“ durch den Verweis „§ 10 Abs. 1 bis 4a“ ersetzt.

3. In § 196 Abs. 2 erhält die durch das Bundesgesetz BGBl. I Nr. 237/2022 angefügte Z 27 die Bezeichnung „28.“ und wird folgende Z 29 angefügt:

1. „29. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

4. Dem § 196a wird folgender Abs. 9 angefügt:

„(9) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

5. Dem § 200 wird folgender Abs. 38 angefügt:

„(38) § 10 Abs. 4a, § 36 Abs. 4 erster und dritter Satz, § 196 Abs. 2 Z 29 und § 196a Abs. 9 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

Artikel 7

Änderung des Pensionskassengesetzes

Das Pensionskassengesetz, BGBl. Nr. 281/1990, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 36/2022, wird wie folgt geändert:

1. § 11e Abs. 5 lautet:

„(5) Die Pensionskasse hat angemessene Vorkehrungen zu treffen und Notfallpläne zu entwickeln, um die Kontinuität und die Ordnungsmäßigkeit ihrer Tätigkeit zu gewährleisten. Zu diesem Zweck hat die Pensionskasse auf geeignete und angemessene Systeme, Verfahren und Ressourcen zurückzugreifen sowie Netzwerk- und Informationssysteme einzurichten und diese gemäß der Verordnung (EU) 2022/2554 zu verwalten.“

2. In § 49b Abs. 1a wird der Punkt am Ende der Z 11 durch einen Strichpunkt ersetzt und folgende Z 12 angefügt:

1. „12. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

3. Dem § 49c wird folgender Abs. 5 angefügt:

„(5) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

4. Dem § 51 wird folgender Abs. 45 angefügt:

„(45) § 11e Abs. 5, § 49b Abs. 1a Z 11 und 12 und § 49c Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

Artikel 8

Änderung des Sanierungs- und Abwicklungsgesetzes

Das Sanierungs- und Abwicklungsgesetz – BaSAG, BGBl. I Nr. 98/2014, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 237/2022, wird wie folgt geändert:

1. § 20 Abs. 5 Z 3 lautet:

1. „3. Ausführungen dazu, wie kritische Funktionen und Kerngeschäftsbereiche im erforderlichen Umfang rechtlich und wirtschaftlich von anderen Funktionen getrennt werden könnten, um ihre Fortführung und die digitale operationale Resilienz nach einem Ausfall des Instituts sicherzustellen;“

2. § 20 Abs. 5 Z 17 lautet:

1. „17. eine Beschreibung der wesentlichen Prozesse und Systeme zur Fortführung des Geschäftsbetriebs des Instituts, einschließlich der Netzwerk- und Informationssysteme gemäß der Verordnung (EU) 2022/2554;“

3. Anlage zu § 9 Z 16 lautet:

1. „16. eine Aufstellung der Regelungen und Maßnahmen, die zur Fortführung des Geschäftsbetriebs des Instituts, einschließlich der gemäß der Verordnung (EU) 2022/2554 eingerichteten und verwalteten Netzwerk- und Informationssysteme, erforderlich sind;“

4. Anlage zu § 21 Z 14 lautet:

1. „14. Angaben zu den Eigentümern der in Z 13 genannten Systeme, zu entsprechenden Dienstgütevereinbarungen und zu Software, Systemen oder Lizenzen, einschließlich Zuordnung zu den jeweiligen juristischen Personen, kritischen Operationen und Kerngeschäftsbereichen des Instituts, sowie Angaben zu kritischen IKT-Drittdienstleistern im Sinne des Art. 3 Nr. 23 der Verordnung (EU) 2022/2554;“

5. In der Anlage zu § 21 wird nach Z 14 folgende Z 14a eingefügt:

1. „14a. Ergebnisse der von Instituten im Einklang mit der Verordnung (EU) 2022/2554 durchgeführten Tests der digitalen operationalen Resilienz;“

6. Anlage zu § 27 Z 4 lautet:

1. „4. inwieweit die vom Institut geschlossenen Dienstleistungsvereinbarungen, einschließlich vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, solide und im Fall einer Abwicklung des Instituts in vollem Umfang durchsetzbar sind;“

7. In der Anlage zu § 27 wird nach Z 4 folgende Z 4a eingefügt:

1. „4a. die digitale operationale Resilienz derjenigen Netzwerk- und Informationssysteme, die die kritischen Funktionen und Kerngeschäftsbereiche des Instituts unterstützen, wobei Berichte über schwerwiegende IKT-bezogene Vorfälle und die Ergebnisse der entsprechend der Verordnung (EU) 2022/2554 durchgeführten Tests der digitalen operationalen Resilienz zu berücksichtigen sind;“

8. In § 164 Abs. 2 wird der Punkt am Ende der Z 10 durch einen Strichpunkt ersetzt und folgende Z 11 angefügt:

1. „11. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

9. Dem § 167 wird folgender Abs. 13 angefügt:

„(13) § 20 Abs. 5 Z 3 und 17, Anlage zu § 9 Z 16, Anlage zu § 21 Z 14, 14a, Anlage zu § 27 Z 4 und Z 4a, § 164 Abs. 2 Z 11 und § 168 Abs. 3 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

10. Dem § 168 wird folgender Abs. 3 angefügt:

„(3) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

Artikel 9

Änderung des Versicherungsaufsichtsgesetzes 2016

Das Versicherungsaufsichtsgesetz 2016– VAG 2016, BGBl. I Nr. 34/2015, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 129/2023, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 341 folgender Eintrag eingefügt:

​

2. § 107 Abs. 4 lautet:

„(4) Versicherungs- und Rückversicherungsunternehmen haben angemessene Vorkehrungen zu treffen und Notfallpläne zu entwickeln, um die Kontinuität und die Ordnungsmäßigkeit ihrer Tätigkeiten zu gewährleisten. Zu diesem Zweck sind geeignete und verhältnismäßige Systeme, Verfahren und Ressourcen zu verwenden und insbesondere Netzwerk- und Informationssysteme gemäß der Verordnung (EU) 2022/2554 einzurichten und zu verwalten.“

3. Dem § 340 wird folgender Abs. 14 angefügt:

„(14) Das Inhaltsverzeichnis, § 107 Abs. 4, § 341a samt Überschrift und § 342 Abs. 3 Z 16 und 17 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

4. Nach § 341 wird folgender § 341a samt Überschrift eingefügt:

„Umsetzungshinweis

§ 341a. Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

5. In § 342 Abs. 3 wird der Punkt am Ende der Z 16 durch einen Strichpunkt ersetzt und folgende Z 17 angefügt:

1. „17. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

Artikel 10

Änderung des Wertpapieraufsichtsgesetzes 2018

Das Wertpapieraufsichtsgesetz 2018 – WAG 2018, BGBl. I Nr. 107/2017, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 63/2023, wird wie folgt geändert:

1. § 27 Abs. 1 lautet:

„(1) Ein Rechtsträger, der algorithmischen Handel betreibt, hat über wirksame Systeme und Risikokontrollen zu verfügen, die für das von ihm betriebene Geschäft geeignet sind, um sicherzustellen, dass dessen Handelssysteme gemäß den Anforderungen in Kapitel II der Verordnung (EU) 2022/2554 belastbar sind und über ausreichende Kapazitäten verfügen. Er hat insbesondere sicherzustellen, dass

1. 1. seine Systeme angemessenen Handelsschwellen und Handelsobergrenzen unterliegen;
2. 2. die Übermittlung von fehlerhaften Aufträgen oder eine Funktionsweise der Systeme vermieden wird, durch die Störungen auf dem Markt verursacht werden könnten oder ein Beitrag zu diesen geleistet werden könnte;
3. 3. die Handelssysteme nicht für einen Zweck verwendet werden können, der gegen die Verordnung (EU) Nr. 596/2014 oder die Vorschriften des Handelsplatzes verstößt, mit dem er verbunden ist;
4. 4. er über wirksame Vorkehrungen zur Fortführung der Geschäftstätigkeiten, einschließlich gemäß Artikel 11 der Verordnung (EU) 2022/2554 aufgestellter IKT-Geschäftsfortführungsleitlinie und -plänen sowie IKT-Reaktions- und Wiederherstellungsplänen, verfügt, um mit jeglichen Störungen in seinen Handelssystemen umzugehen, und
5. 5. seine Systeme vollständig geprüft sind und ordnungsgemäß überwacht werden, damit die in diesem Absatz festgelegten allgemeinen Anforderungen und die in den Kapiteln II und IV der Verordnung (EU) 2022/2554 festgelegten spezifischen Anforderungen erfüllt werden.“

2. § 29 Abs. 4 lautet:

„(4) Ein Rechtsträger hat angemessene Vorkehrungen zu treffen, um die Kontinuität und Regelmäßigkeit der Wertpapierdienstleistungen und Anlagetätigkeiten zu gewährleisten. Zu diesem Zweck hat er geeignete und verhältnismäßige Systeme, einschließlich gemäß Artikel 7 der Verordnung (EU) 2022/2554 eingerichteter und verwalteter Systeme der Informations- und Kommunikationstechnologie (IKT), sowie geeignete und verhältnismäßige Ressourcen und Verfahren einzurichten.“

3. § 29 Abs. 6 lautet:

„(6) Unbeschadet der Möglichkeit der FMA, Zugang zu Kommunikation gemäß diesem Bundesgesetz und der Verordnung (EU) Nr. 600/2014 zu verlangen, hat ein Rechtsträger über solide Sicherheitsmechanismen gemäß den Anforderungen der Verordnung (EU) 2022/2554 zu verfügen, durch die die Sicherheit und Authentifizierung der Informationsübermittlungswege gewährleistet werden, das Risiko der Datenverfälschung und des unberechtigten Zugriffs minimiert und ein Durchsickern von Informationen verhindert wird, so dass die Vertraulichkeit der Daten jederzeit gewährleistet ist.“

4. § 32 lautet:

„§ 32. Ein Rechtsträger hat über eine ordnungsgemäße Verwaltung und Buchhaltung, interne Kontrollmechanismen sowie wirksame Verfahren zur Risikobewertung zu verfügen.“

5. In § 114 Abs. 4 wird der Punkt am Ende der Z 23 durch einen Strichpunkt ersetzt und folgende Z 24 angefügt:

1. „24. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

6. Dem § 114a wird folgender Abs. 8 angefügt:

„(8) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

7. Dem § 117 wird folgender Abs. 11 angefügt:

„(11) § 27 Abs. 1, § 29 Abs. 4 und 6, § 32, § 114 Abs. 4 Z 23 und 24 sowie § 114a Abs. 8 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“

Artikel 11

Änderung des Zahlungsdienstegesetzes 2018

Das Zahlungsdienstegesetz 2018 – ZaDiG 2018, BGBl. I Nr. 17/2018, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 33/2023, wird wie folgt geändert:

1. In § 3 Abs. 3 Z 10 wird die Wortfolge „Bereitstellung von Informationstechnologie-(IT-)“ durch die Wortfolge „Bereitstellung von Informations- und Kommunikationstechnologie (IKT)“ ersetzt.

2. § 9 Abs. 1 Z 5 lautet:

1. „5. eine Beschreibung der Unternehmenssteuerung und der internen Kontrollmechanismen des Antragstellers einschließlich der Verwaltungs-, Risikomanagement- und Rechnungslegungsverfahren sowie Vereinbarungen über die Nutzung von IKT-Diensten gemäß der Verordnung (EU) 2022/2554, aus der hervorgeht, dass diese Unternehmenssteuerung und interne Kontrollmechanismen verhältnismäßig, angemessen, zuverlässig und ausreichend sind;“

3. In § 9 Abs. 1 Z 6 wird die Wortfolge „gemäß § 86“ durch die Wortfolge „nach Kapitel III der Verordnung (EU) 2022/2554“ ersetzt.

4. § 9 Abs. 1 Z 8 lautet:

1. „8. eine Beschreibung der Vorkehrungen zur Fortführung der Geschäftstätigkeiten, einschließlich klarer Angaben der kritischen Vorgänge, wirksamer IKT-Geschäftsfortführungsleitlinie und -plänen, IKT-Reaktions- und Wiederherstellungsplänen sowie eines Verfahrens für regelmäßige Tests der Angemessenheit und Wirksamkeit dieser Pläne gemäß der Verordnung (EU) 2022/2554;“

5. § 9 Abs. 3 lautet:

„(3) Bei den in Abs. 1 Z 10 genannten Sicherheits- und Risikominderungsmaßnahmen hat der Antragsteller anzugeben, auf welche Weise dadurch ein hohes Maß an digitaler operationaler Resilienz entsprechend Kapitel II der Verordnung (EU) 2022/2554, insbesondere bezüglich technischer Sicherheit und Datenschutz, gewährleistet wird. Das gilt auch für Software und IKT-Systeme, die der Antragsteller oder die Unternehmen, an die er den Betrieb oder Teile des Betriebs dieser auslagert, verwenden. Zu diesen Maßnahmen gehören auch die Sicherheitsmaßnahmen gemäß § 85 Abs. 1.“

6. In § 21 Abs. 1 wird das Wort „IT-Systeme“ durch das Wort „IKT-Systeme“ ersetzt.

7. In § 85 wird nach Abs. 1 folgender Abs. 1a eingefügt:

„(1a) Abs. 1 gilt unbeschadet der Anwendung von Kapitel II der Verordnung (EU) 2022/2554 für:

1. 1. Zahlungsdienstleister gemäß § 1 Abs. 3 Z 1 bis 3;
2. 2. Kontoinformationsdienstleister gemäß § 4 Z 19;
3. 3. Zahlungsinstitute, die gemäß Art. 32 Abs. 1 der Richtlinie (EU) 2015/2366 ausgenommen sind;
4. 4. E-Geld-Institute, für die eine Ausnahme gemäß Art. 9 Abs. 1 der Richtlinie 2009/110/EG gilt.“

8. Dem § 86 wird folgender Abs. 7 angefügt:

„(7) Abs. 1 und Abs. 3 sind nicht anzuwenden auf:

1. 1. Zahlungsdienstleister gemäß § 1 Abs. 3 Z 1 bis 3;
2. 2. Kontoinformationsdienstleister gemäß § 4 Z 19;
3. 3. Zahlungsinstitute, die gemäß Art. 32 Abs. 1 der Richtlinie (EU) 2015/2366 ausgenommen sind;
4. 4. E-Geld-Institute, für die eine Ausnahme gemäß Art. 9 Abs. 1 der Richtlinie 2009/110/EG gilt.“

9. In § 117 Abs. 4 wird der Punkt am Ende der Z 11 durch einen Strichpunkt ersetzt und folgende Z 12 angefügt:

1. „12. Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1.“

10. Dem § 117a wird folgender Abs. 5 angefügt:

„(5) Das Bundesgesetz BGBl. I Nr. 112/2024 dient der Umsetzung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG , 2009/138/EG , 2011/61/EU , 2013/36/EU , 2014/59/EU , 2014/65/EU , (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153.“

11. Dem § 119 wird folgender Abs. 5 angefügt:

„(5) § 3 Abs. 3 Z 10, § 9 Abs. 1 Z 5, 6 und 8, § 9 Abs. 3, § 21 Abs. 1, § 85 Abs. 1a, § 86 Abs. 7, § 117 Abs. 4 Z 11 und 12 und § 117a Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 112/2024 treten mit 17. Jänner 2025 in Kraft.“