DORA ist die Abkürzung für den “Digital Operational Resilience Act” und eine EU-Verordnung (EU 2022/2554), die ab dem 17. Januar 2025 für Finanzintermediäre in der EU verbindlich wird. Ziel ist es, die digitale operationelle Resilienz im Finanzsektor durch einheitliche regulatorische Anforderungen an das IKT-Risikomanagement zu stärken. Dies umfasst sowohl organisatorische als auch technische Massnahmen zur Prävention, Identifikation, Reaktion und Wiederherstellung bei IT-Sicherheitsvorfällen.

DORA gilt direkt für eine Vielzahl von Finanzmarktteilnehmern, darunter:

• Banken
• Wertpapierfirmen
• Versicherungen
• Pensionsfonds
• Verwaltungsgesellschaften
• Vermögensverwalter
• Krypto-Dienstleister
• Zahlungs- und E-Geld-Institute

In Liechtenstein ergänzt die FMA-Richtlinie 2021/3 zur IKT-Sicherheit die Vorgaben von DORA. Zusätzlich wird die Finanzmarktaufsicht (FMA) risikobasierte Vor-Ort-Kontrollen mit Fokus auf IKT-Sicherheit durchführen, um die Einhaltung der neuen Anforderungen sicherzustellen.

Kerninhalte von DORA

1. IKT-Risikomanagement: Finanzunternehmen müssen ein angemessenes und wirksames IKT- und Informationssicherheitsrisikomanagement implementieren, das sich in das unternehmensweite Risikomanagement eingliedert. Es sollen proaktive Technische und Organisatorische Massnahmen (TOMs) zur Gefahrenabwehr getroffen werden. Ein Beispiel dafür sind Zugangs-, Weitergabe- und Verfügbarkeitskontrollen sowie das Trennungsgebot.
2. Behandlung von IKT-bezogenen Vorfällen: Unternehmen müssen Vorfälle identifizieren, bewerten, steuern und geeignete Prozesse implementieren, um Risiken zu überwachen und zu minimieren.
3. IKT-Drittdienstleister: Risiken durch ausgelagerte IT-Dienstleistungen müssen in das Risikomanagement einbezogen werden. Unternehmen sind verpflichtet, Drittanbieter genau zu prüfen und Verträge zur Gewährleistung von IKT-Sicherheit abzuschliessen. Dies umfasst auch die laufende Überwachung externer IT-Dienstleister.
4. IKT-Resilienztests: Organisationen müssen regelmässig Tests zur digitalen operationellen Resilienz durchführen, um Schwachstellen zu identifizieren und abzustellen. Dazu gehören Penetrationstests, Simulationen von Cyberangriffen und Recovery-Tests.
5. Meldung schwerwiegender Vorfälle: Unternehmen müssen der zuständigen Behörde innerhalb von 7 Tagen schwerwiegende IKT-Vorfälle melden (in Liechtenstein: an die FMA). Dazu zählen Cyberangriffe, Systemausfälle oder Datenschutzverletzungen.
6. Krisenkommunikation und Notfallmanagement: Finanzunternehmen müssen Notfallpläne und Krisenreaktionsmechanismen vorhalten, um Ausfälle und Cyberangriffe wirksam zu bewältigen. Dies beinhaltet sowohl interne als auch externe Kommunikationsstrategien für den Krisenfall.

Meldewesen und Meldepflichten

Unternehmen sind verpflichtet, schwerwiegende IKT-Vorfälle innerhalb von 7 Tagen der nationalen Aufsichtsbehörde zu melden. Die Meldung umfasst die Art des Vorfalls, betroffene Systeme und Massnahmen zur Schadensbegrenzung.

Zu beachten ist, dass im Falle schwerwiegender IKT Vorfällen mitunter auch eine Verletzung gemäss der Datenschutzgrundverordnung (DSGVO) erfolgt sein kann. Datenschutzverletzungen sind gemäss (Art. 33 DSGVO) innerhalb von 72 Stunden der zuständigen Datenschutzaufsicht (Datenschutzstelle Liechtenstein) zu melden. Diese Frist kann in begründeten Ausnahmefällen überschritten werden.

Unternehmen müssen unter DORA einen “Reaktions- & Wiederherstellungsplan” implementieren, um nach Angriffen oder Störungen eine schnelle Wiederherstellung sicherzustellen (z. B. Backup-Systeme, Krisenkommunikation).

Externe Revisoren können hinzugezogen werden, um die Einhaltung der Vorschriften zu prüfen und Verbesserungspotenziale aufzuzeigen.

Finanzintermediäre müssen sicherstellen, dass sie über Systeme verfügen, die verdächtige Aktivitäten frühzeitig erkennen und dokumentieren können.

Bedeutung für das Treuhandwesen

Treuhänder und Treuhandgesellschaften  sind nicht direkt dem DORA-Regime unterstellt. Jedoch spielt das Thema Datensicherheit auch im Treuhandwesen eine zunehmend wichtige Rolle, insbesondere in Bezug auf Datenschutz und Risikomanagement. Obwohl sie nicht unmittelbar unter DORA fallen, sind die Anforderungen an Datensicherheit und IKT-Risikomanagement aufgrund der sensiblen Kundendaten von hoher Relevanz.

Das Thema Datensicherheit ist auch in den Standesrichtlinien Liechtensteinischer Treuhänder und Treuhandgesellschaften geregelt, wie folgt:

Berufsangehörige haben in Ansehung ihrer Geheimhaltungspflicht die Daten ihrer Kunden so zu schützen, dass die besondere Vertraulichkeit der Daten und die Privatsphäre ihrer Kunden gewahrt bleiben. Sie treffen alle nach dem jeweiligen Stand der Technik angemessenen technischen und organisatorischen Massnahmen in ihrem Geschäftsbereich, um einen gebührenden Schutz der Daten und Systeme gegen unbefugte oder zufällige Vernichtung, Verlust, technische Fehler, Fälschung, Diebstahl, widerrechtliche Verwendung sowie unbefugtes Bearbeiten, Kopieren oder Zugreifen zu gewährleisten.

Der Schutz vor Cyberangriffen und IT-Risikomanagement gewinnen zunehmend an Bedeutung auch im Treuhandsektor.

Zudem können Treuhänder und Treuhandgesellschaften indirekt betroffen sein, wenn sie Dienstleistungen für DORA-regulierte Finanzunternehmen erbringen. Die Einhaltung der Prinzipien von DORA kann dazu beitragen, das Vertrauen von Kunden und Partnern zu stärken und regulatorische Risiken zu minimieren. Durch die Implementierung robuster IKT-Sicherheitsmassnahmen lässt sich die operative Widerstandsfähigkeit gegen Cyberangriffe erhöhen. Darüber hinaus können Treuhandgesellschaften durch die Anwendung DORA-konformer Methoden ihre Wettbewerbsfähigkeit verbessern.