Inkrafttreten | 17.1.2025 |
Stand des Gesetzgebungsverfahrens | Gesetz |
Letzte Änderung | 22.7.2024 |
Betroffene Normen | AIFMG, BaSAG, BörseG 2018, BWG, DORA-VG, FMABG, InvFG 2011, PKG, VAG 2016, WAG 2018, ZaDiG 2018 |
Betroffene Rechtsgebiete | Kapitalmarktrecht, Wertpapierrecht, Versicherungsrecht, Bankrecht |
Quelle | BGBl I 2024/112 (BR 10. 7. 2024, 974/BNR , AB 2673 , RV 2596 BlgNR 27. GP , 331/ME) |
Bundesgesetz, mit dem ein DORA-Vollzugsgesetz erlassen und das Alternative Investmentfonds Manager-Gesetz, das Bankwesengesetz, das Börsegesetz 2018, das Finanzmarktaufsichtsbehördengesetz, das Investmentfondsgesetz 2011, das Pensionskassengesetz, das Sanierungs- und Abwicklungsgesetz, das Versicherungsaufsichtsgesetz 2016, das Wertpapieraufsichtsgesetz 2018 und das Zahlungsdienstegesetz 2018 geändert werden (BGBl I 2024/112, 974/BNR , RV 2596 BlgNR 27. GP , 331/ME)
Das vorliegende Gesetz dient dem Wirksamwerden der VO (EU) 2022/2554 [über die digitale operationale Resilienz im Finanzsektor... (Digital Operational Resilience Act – DORA)] in Österreich und der Umsetzung der begleitenden RL (EU) 2022/2556 .
Die VO (EU) 2022/2554 stärkt die digitale operationale Resilienz im Finanzsektor. Hintergrund sind Risiken aufgrund der zunehmenden Digitalisierung und Vernetzung von Finanzunternehmen. Mit der VO (EU) 2022/2554 werden daher bestehende Regelungen in diesem Bereich gestärkt und vereinheitlicht. Anzuwenden ist die VO (EU) 2022/2554 von unterschiedlichen Arten von Finanzunternehmen, wobei die Berücksichtigung des jeweiligen Risikoprofils vorgesehen ist.
Konkret enthält die VO (EU) 2022/2554 zu folgenden Bereichen Regelungen für Finanzunternehmen:
- Risikomanagement im Bereich Informations- und Kommunikationstechnologien (IKT)
- Meldung von IKT-bezogenen Vorfällen an Behörden und Informationsaustausch (zB Cyberangriffe))
- Testen der digitalen operationalen Resilienz
- Adressierung von Risiken durch die Nutzung von IKT-Drittdienstleistern und Einführung eines neuen europäischen Überwachungsrahmens für kritische Drittdienstleister.
Um die VO (EU) 2022/2554 in Österreich wirksam anwenden zu können, wird ein DORA-Vollzugsgesetz (DORA-VG) erlassen. Das Gesetz stellt insb den Anwendungsbereich der DORA in Bezug auf nationale Institute klar und legt die Anwendung der DORA in Bezug auf Kreditinstitute gemäß BWG fest, die nicht schon direkt von der Verordnung DORA erfasst sind. Diese Institute waren schon bisher den Sorgfaltspflichten gemäß § 39 BWG unterworfen, der gemäß EU-Vorgaben nun ebenfalls um neue Anforderungen im Zusammenhang mit der DORA erweitert wird.
Darüber hinaus wird die FMA mit den erforderlichen Aufsichts- und Sanktionsbefugnissen zur Durchsetzung der DORA ausgestattet. Im Zusammenhang mit den Sanktionsbefugnissen werden insb Verwaltungsstrafbestimmungen vorgesehen. Zudem regelt das DORA-VG die Zusammenarbeit mit der Oesterreichischen Nationalbank in diesem Bereich und stellt klar, dass die Zusammenarbeit zwischen FMA und OeNB auch bei der Überwachung der DORA in jenen Bereichen stattzufinden hat, in denen es bereits jetzt aufgrund des jeweiligen sektoralen Bundesgesetze eine Aufteilung von Aufgaben zwischen FMA und OeNB gibt (zB im Bankenbereich). Darüber hinaus kann sich die FMA zur Beurteilung, ob ein erweiterter Test im Einklang mit den Anforderungen der Verordnung DORA durchgeführt wurde, auf gutachterliche Äußerungen der OeNB stützen.
Ferner werden das AIFMG, das BWG, das BörseG 2018, das InvFG 2011, das PKG, das BaSAG, das VAG 2016, das WAG 2018 und das ZaDiG 2018 punktuell geändert, um die DORA umzusetzen und einen kohärenten Rechtsrahmen für den Finanzmarkt im Bereich Cybersicherheit sicherzustellen.
Als Datum des Inkrafttretens sind insb 17. 1. 2025, 30. 9. 2024 sowie 1. 1. 2026 vorgesehen.
Die entsprechenden Regelungen zum Wirksamwerden der DORA in Bezug auf Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit gemäß Art 2 Abs 1 Buchst o DORA erfolgen entsprechend der innerstaatlichen Kompetenzverteilung zwischen der FMA und den Gewerbebehörden separat und nicht in diesem Gesetz.