DORA, die „Digital Operational Resilience Act“, ist eine EU-Verordnung, die am 16. November 2022 in Kraft trat. Das Ziel ist, die digitale Sicherheit im Finanzsektor zu verbessern. Dadurch sollen Finanzintermediären und ihre Dienstleister vor Cyberangriffen und IT-Ausfällen geschützt werden.
DORA Liechtenstein: Vermögensverwalter IKS Lösung
Was ist DORA?
Wieso wurde DORA in Liechtenstein eingeführt?
Die Einführung wurde durch verschiedene Gründe motiviert. Diese Gründe hängen mit der wachsenden Abhängigkeit des Finanzsektors von digitalen Technologien und den damit verbundenen Risiken zusammen. Hier sind die Hauptgründe, die zu DORA geführt haben:
Im Finanzsektor wird mehr digitalisiert. Unternehmen sind durch die Nutzung von Technologie anfälliger für IT-Probleme und Cyberangriffe geworden. Die Abhängigkeit von digitalen Systemen hat das Risiko erhöht. Störungen in der IT können erhebliche Auswirkungen auf den Finanzmarkt haben.
Die Häufigkeit und Raffinesse von Cyberangriffen haben in den letzten Jahren zugenommen. Die Finanzbranche ist besonders gefährdet für solche Angriffe, weil sie viele vertrauliche Daten hat. DORA zielt darauf ab, die Sicherheitsstandards zu erhöhen, um die Finanzmärkte vor solchen Bedrohungen zu schützen.
Vor DORA hatten die EU-Staaten unterschiedliche Regeln für IT-Sicherheit im Finanzsektor, was zu Unstimmigkeiten führte. DORA bringt hier einheitliche Regeln, um diese Unterschiede zu beseitigen.
Nach grossen IT-Problemen in der Finanzbranche wurde klar, dass Unternehmen besser vorbereitet sein müssen. DORA fordert daher detaillierte Krisenmanagement-Pläne und regelmässige Tests, damit Unternehmen im Notfall schnell reagieren können.
Viele Finanzintermediären lagern wichtige Aufgaben an Drittanbieter aus, was neue Risiken schafft. DORA verlangt daher eine strenge Kontrolle dieser Anbieter, um sicherzustellen, dass sie sicher arbeiten.
Hat Liechtenstein nicht bereits das IKT eingeführt?
Ja, Liechtenstein hat bereits Gesetze für Informations- und Kommunikationstechnologie (IKT) (FMA-Richtlinie 2021/3, FMA-Wegleitung 2021/17).
DORA bringt für Liechtenstein folgende zusätzliche Anforderungen:
Erweiterte IT-Sicherheitsstandards: Präzisere Massnahmen gegen Cyberangriffe.
Umfassende Krisenmanagement-Pläne: Detaillierte und regelmässig getestete Notfallstrategien.
Strengere Berichtspflichten: Sofortige Meldung und Dokumentation schwerwiegender Vorfälle.
Detailliertes Drittanbieter-Management: Verstärkte Verträge und kontinuierliche Überwachung.
Regelmässige Überprüfungen: Häufigere Tests und Aufzeichnungen der IT-Sicherheitssysteme
Was bedeutet das für Drittanbieter, die in der Schweiz ansässig sind?
Wenn ein Vermögensverwalter in Liechtenstein Funktionen in der Schweiz ausgelagert hat (z.B. IT-Funktionen), gibt es mehrere Konsequenzen aus der Sicht der DORA:
Erfüllung der Resilienzanforderungen
- IT-Risiken und Resilienz sind wichtig. DORA betont die Wichtigkeit der digitalen Widerstandsfähigkeit. IT-Dienstleister in der Schweiz sollten ihre Systeme robust machen. Liechtensteinische Vermögensverwalter müssen sicherstellen, dass ihre Schweizer Dienstleister diese Anforderungen erfüllen.
- Die Vermögensverwaltungsgesellschaft muss sicherstellen, dass ihre Notfallpläne und Strategien regelmässig getestet werden. Dies gilt sowohl für ihre eigenen Systeme als auch für ausgelagerte IT-Dienstleistungen.
Vertragliche Anforderungen und Überwachung
- Drittanbieter-Management: DORA fordert eine detaillierte Überwachung und Kontrolle von Drittanbietern, die kritische Dienstleistungen bereitstellen. Das bedeutet, dass die Verträge mit Schweizer Dienstleistern klare Anforderungen an digitale Sicherheitsstandards haben müssen.
- Überprüfungen müssen regelmässig durchführt werden, um sicherzustellen, dass diese Anforderungen eingehalten werden.
Meldung und Transparenz
- Vorfallmeldungen: DORA erfordert die Meldung schwerwiegender Störungen und Cybervorfälle an die Aufsichtsbehörden. Die Dienstleister in der Schweiz müssen Vorfälle melden. Die Meldungen gehen an die Vermögensverwaltungsgesellschaft in Liechtenstein. Diese leitet sie dann an die Aufsichtsbehörden weiter.
- Um DORA-Anforderungen zu erfüllen, muss eine detaillierte Dokumentation über ausgelagerte Funktionen und deren Leistung erstellt werden.
- Es ist wichtig, dass die Dokumentation regelmässig aktualisiert wird. Dadurch können mögliche Probleme frühzeitig erkannt und behoben werden. Diese Dokumentation sollte die Sicherheitsmassnahmen, durchgeführten Tests und die Einhaltung der vertraglichen Vereinbarungen umfassen.
Prozess für DORA Liechtenstein
Ab wann ist DORA in Liechtenstein für Vermögensverwalter anwendbar?
In der Europäischen Union ist DORA ab 17. Januar 2025 anwendbar.
In Liechtenstein muss der Gemeinsame EWR-Ausschuss einen Beschluss fassen. Dieser Beschluss muss die Übernahme in das EWR-Abkommen genehmigen. Erst dann wird der Beschluss gültig.
Die DORA ist noch nicht in das EWR-Abkommen übernommen worden. Die FMA erwartet, dass es zur gleichen Zeit wie die EU in Kraft tritt.
Welche Konsequenzen hat DORA für Vermögensverwalter?
Im Rahmen der neuen Anforderungen durch DORA ist ein effektives internes Kontrollsystem (IKS) unerlässlich. DORA möchte, dass Finanzintermediäre ihre digitale Widerstandsfähigkeit verbessern. Sie sollten starke Sicherheitsmassnahmen, umfassendes Krisenmanagement und detaillierte Dokumentation umsetzen.
Ein gut etabliertes IKS hilft Vermögensverwaltern dabei, diese Anforderungen zu erfüllen. Es bietet klare Kontrollmechanismen für IT-Sicherheit, Risikomanagement und Überwachung von Drittanbietern. Durch ein IKS können kann sichergestellt werden, dass alle relevanten Prozesse und Massnahmen regelmässig überprüft und angepasst werden. Dies ist entscheidend, um die digitale Betriebsresilienz zu gewährleisten und den komplexen Anforderungen von DORA gerecht zu werden.
FAZIT
In der Europäischen Union ist DORA ab 17. Januar 2025 anwendbar.
In Liechtenstein muss der Gemeinsame EWR-Ausschuss einen Beschluss fassen. Dieser Beschluss muss die Übernahme in das EWR-Abkommen genehmigen. Erst dann wird der Beschluss gültig.
Die DORA ist noch nicht in das EWR-Abkommen übernommen worden. Die FMA erwartet, dass es zur gleichen Zeit wie die EU in Kraft tritt.
Welche Konsequenzen hat DORA für Vermögensverwalter?
Im Rahmen der neuen Anforderungen durch DORA ist ein effektives internes Kontrollsystem (IKS) unerlässlich. DORA möchte, dass Finanzintermediäre ihre digitale Widerstandsfähigkeit verbessern. Sie sollten starke Sicherheitsmassnahmen, umfassendes Krisenmanagement und detaillierte Dokumentation umsetzen.
Ein gut etabliertes IKS hilft Vermögensverwaltern dabei, diese Anforderungen zu erfüllen. Es bietet klare Kontrollmechanismen für IT-Sicherheit, Risikomanagement und Überwachung von Drittanbietern. Durch ein IKS können kann sichergestellt werden, dass alle relevanten Prozesse und Massnahmen regelmässig überprüft und angepasst werden. Dies ist entscheidend, um die digitale Betriebsresilienz zu gewährleisten und den komplexen Anforderungen von DORA gerecht zu werden.
In der Europäischen Union ist DORA ab 17. Januar 2025 anwendbar.
In Liechtenstein muss der Gemeinsame EWR-Ausschuss einen Beschluss fassen. Dieser Beschluss muss die Übernahme in das EWR-Abkommen genehmigen. Erst dann wird der Beschluss gültig.
Die DORA ist noch nicht in das EWR-Abkommen übernommen worden. Die FMA erwartet, dass es zur gleichen Zeit wie die EU in Kraft tritt.
Welche Konsequenzen hat DORA für Vermögensverwalter in Liechstenstein?
Im Rahmen der neuen Anforderungen durch DORA ist ein effektives internes Kontrollsystem (IKS) unerlässlich. DORA möchte, dass Finanzintermediäre ihre digitale Widerstandsfähigkeit verbessern. Sie sollten starke Sicherheitsmassnahmen, umfassendes Krisenmanagement und detaillierte Dokumentation umsetzen.
Ein gut etabliertes IKS hilft Vermögensverwaltern dabei, diese Anforderungen zu erfüllen. Es bietet klare Kontrollmechanismen für IT-Sicherheit, Risikomanagement und Überwachung von Drittanbietern. Durch ein IKS können kann sichergestellt werden, dass alle relevanten Prozesse und Massnahmen regelmässig überprüft und angepasst werden. Dies ist entscheidend, um die digitale Betriebsresilienz zu gewährleisten und den komplexen Anforderungen von DORA gerecht zu werden.
Wir verfügen in unsere IKS-Software über ein DORA-Ruleset, welches auf Ihre Bedürfnisse angepasst werden kann.
Die Experten der Peak Compliance stehen Ihnen jederzeit gerne zur Verfügung.
