Wirtschaftsmagazin · seit 2008 selbststaendig-machen.at Steuern · Rechtsformen · Förderungen · Unternehmensrecht
Finanzen

DORA-Verordnung 2026: Was Vermögensberater, Versicherungsvermittler und Krypto-Selbstständige in Österreich umsetzen müssen

Seit 17. Januar 2025 ist der Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554) in Kraft. Nach gut einem Jahr Praxis zeigt sich: Viele kleine Finanzdienstleister in Österreich – Vermögensberater nach Wertpapieraufsichtsgesetz, Versicherungsvermittler nach Gewerbeordnung, kleinere Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Anbieter unter MiCAR – haben das Thema lange ignoriert. Die ersten FMA-Stichproben rund um den Jahreswechsel 2025/2026…

AutorRedaktionVeröffentlicht1. Juni 2026Stand1. Juni 2026Lesezeit9 Minuten

Seit 17. Januar 2025 ist der Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554) in Kraft. Nach gut einem Jahr Praxis zeigt sich: Viele kleine Finanzdienstleister in Österreich – Vermögensberater nach Wertpapieraufsichtsgesetz, Versicherungsvermittler nach Gewerbeordnung, kleinere Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Anbieter unter MiCAR – haben das Thema lange ignoriert. Die ersten FMA-Stichproben rund um den Jahreswechsel 2025/2026 zeigen erhebliche Lücken in der Umsetzung von ICT-Risikomanagement, Drittanbieter-Registern und Vorfall-Meldeprozessen. Wer noch nicht aufgesetzt hat, sollte 2026 nicht weiter warten.

Das Wichtigste in Kürze

  • Rechtsgrundlage: Verordnung (EU) 2022/2554 vom 14. Dezember 2022 (DORA)
  • Anwendung seit 17. Januar 2025, direkt in allen EU-Mitgliedstaaten geltend
  • Anwendungsbereich: rund 20 Kategorien von Finanzunternehmen, von Banken über Wertpapierfirmen, Versicherungen, Versicherungsvermittler, Zahlungsdienstleister bis Krypto-Asset-Dienstleister
  • Fünf Säulen: ICT-Risikomanagement (Art. 5-15), Vorfallmanagement (Art. 17-23), Resilienz-Tests (Art. 24-27), Drittanbieter-Risikomanagement (Art. 28-44), Informationsaustausch (Art. 45)
  • KMU-Vereinfachung: Art. 16 erlaubt vereinfachten ICT-Rahmen für kleine, nicht miteinander verbundene Wertpapierfirmen, Pensionseinrichtungen mit unter 100 Mitgliedern, kleine Versicherungsvermittler, Zahlungsinstitute mit unter 50 MA
  • Drittanbieter-Register: Pflicht zur Führung eines Informations-Registers über alle ICT-Drittanbieter mit definierten Datenfeldern (Art. 28 Abs. 3)
  • Meldepflicht schwerer ICT-Vorfälle: erste Meldung innerhalb 24 Stunden, Zwischenmeldung 72 Stunden, Abschlussbericht spätestens nach 30 Tagen
  • Threat-Led Penetration Testing (TLPT) für signifikante Akteure ab 17. Januar 2028
  • FMA-Aufsicht in Österreich, ergänzend Joint Oversight durch die ESAs (EBA, ESMA, EIOPA)
  • Sanktionen national geregelt, FMA-Strafrahmen je nach Pflichtverletzung bis zu 5 Mio. Euro oder Prozentsatz des Umsatzes

Wer von DORA betroffen ist

DORA gilt für rund 20 Kategorien von Finanzunternehmen, aufgezählt in Artikel 2. Für die österreichische Selbstständigen-Landschaft besonders relevant:

  • Kreditinstitute und Zweigstellen ausländischer Kreditinstitute
  • Wertpapierfirmen nach WAG (Wertpapierfirma, Wertpapierdienstleistungsunternehmen)
  • Vermögensverwalter und Vermögensberater nach WAG, soweit sie Wertpapierdienstleistungen erbringen
  • Versicherungs- und Rückversicherungsunternehmen sowie Versicherungsvermittler nach Gewerbeordnung
  • Pensionseinrichtungen und Pensionskassen
  • AIFM (alternative Investmentfondsverwalter) und OGAW-Verwalter
  • Verwalter von Krypto-Assets nach MiCAR (Verordnung 2023/1114)
  • Zahlungsinstitute und E-Geld-Institute
  • Anbieter von Konto-Informationsdiensten
  • Datenbereitstellungsdienste (Trade Repositories, Approved Reporting Mechanism)

Praktische Folge für die EPU-Landschaft: Wer als selbstständiger Versicherungsmakler in der Gewerbeordnung eingetragen ist, fällt grundsätzlich unter DORA. Wer als Vermögensberater nach § 1 Abs. 2 WAG operiert, ebenfalls. Lediglich Anlagevermittler ohne Wertpapierfirma-Eigenschaft und reine Versicherungsagenten mit eingeschränkter Tätigkeit haben gewisse Spielräume, die im konkreten Fall mit der FMA-Praxis abgestimmt werden müssen.

KMU-Vereinfachung nach Artikel 16

Artikel 16 erlaubt einen vereinfachten ICT-Risikomanagement-Rahmen für definierte Kleinst- und Kleinunternehmen:

  • Kleine, nicht miteinander verbundene Wertpapierfirmen (unter den Kriterien der Investmentfirmen-Verordnung IFR)
  • Pensionseinrichtungen mit weniger als 100 Mitgliedern
  • Versicherungsvermittler, Rückversicherungsvermittler und Nebenversicherungsvermittler, die Kleinst-, Klein- oder mittlere Unternehmen sind
  • Zahlungsinstitute und E-Geld-Institute mit weniger als 50 Mitarbeitern und einem Jahresumsatz/Bilanzsumme unter 10 Mio. Euro
  • Anbieter von Konto-Informationsdiensten unter denselben Schwellen

Vereinfacht heisst: der ICT-Rahmen muss verhältnismässig zur Tätigkeit gestaltet sein. Dokumentationspflichten, Test-Tiefe und Governance-Anforderungen sind reduziert. Aber: die Grundpflichten zu IT-Sicherheit, Vorfallmeldung, Drittanbieter-Register und Resilienz bleiben unverändert. Wer KMU ist, hat weniger Aufwand, aber nicht null Aufwand.

Die fünf Säulen im Detail

Säule 1: ICT-Risikomanagement-Rahmen. Verpflichtend ist ein dokumentierter Rahmen, der Risiken identifiziert, bewertet, behandelt und überwacht. Dazu gehören: ICT-Strategie, Asset-Inventar, Klassifizierung nach Kritikalität, Schutzmassnahmen, Notfallpläne, Wiederherstellungs-Konzepte, Mitarbeiter-Awareness und regelmässige Reviews durch die Geschäftsleitung. Die Verantwortung liegt explizit beim Management, nicht beim IT-Verantwortlichen.

Säule 2: ICT-Vorfallmanagement. Erkennung, Klassifizierung, Behandlung und Meldung von ICT-Vorfällen. Schwere Vorfälle (mit definierten Kriterien aus den ESA-RTS-Standards) sind der FMA und damit dem Joint Oversight-System der ESAs zu melden. Drei-Stufen-Meldung: Initial-Meldung 24 h, Update 72 h, Abschluss 30 Tage. Die Meldung erfolgt über das FMA-Reporting-Portal in standardisiertem Format.

Säule 3: Digitale Resilienz-Tests. Regelmässige Tests der ICT-Systeme: Schwachstellen-Scans, Quellcode-Reviews, Szenario-Tests, Penetrationstests. Für signifikante Akteure verpflichtend ab Januar 2028 das anspruchsvollere Threat-Led Penetration Testing (TLPT) nach TIBER-EU-Methodik. KMU sind erleichtert, müssen aber dennoch zumindest regelmässige Schwachstellen-Tests und Reviews durchführen.

Säule 4: ICT-Drittanbieter-Risikomanagement. Vermutlich der praktisch heikelste Teil. Pflicht zur Führung eines Informations-Registers über alle ICT-Drittanbieter mit über 30 Datenfeldern: Anbieter-Stammdaten, geleistete Funktion, Kritikalität, Vertragsfristen, Standorte, Subunternehmer, Auditrechte. Standardisierte Vertragsklauseln zu Audit-Rechten, Datenrückgabe, Kündigung und Wiederherstellung. Die Konzentration auf einzelne Anbieter (z.B. AWS, Microsoft Azure) ist zu vermeiden bzw. zu dokumentieren.

Säule 5: Informationsaustausch. Freiwillige Beteiligung an Informations-Sharing-Communities zu Cyber-Bedrohungen. In der Praxis kommt das selten zum Tragen, ist aber als Pflicht zur Förderung der Resilienz vorgesehen.

Was die ersten FMA-Prüfungen zeigen

Aus der öffentlichen Kommunikation der FMA und aus Beraterberichten ergibt sich für das erste DORA-Jahr ein gemischtes Bild. Häufige Lücken bei kleineren Finanzdienstleistern:

  • Kein dokumentierter ICT-Risikomanagement-Rahmen oder ein veraltetes Compliance-Dokument ohne Bezug zu DORA
  • Drittanbieter-Register unvollständig oder nicht geführt – typisch fehlen SaaS-Standardtools (Office 365, CRM-System, E-Mail-Marketing-Plattform)
  • Klassifizierung der Anbieter nach Kritikalität nicht erfolgt – alle stehen auf „mittel“
  • Keine Vereinbarungen über Audit-Rechte und Datenrückgabe in Drittanbieter-Verträgen
  • Vorfallmeldungs-Prozess theoretisch dokumentiert, in der Praxis aber kein Eskalationsweg, keine 24-Stunden-Verantwortlichkeit definiert
  • Resilienz-Tests nicht durchgeführt oder als reine IT-Wartung dokumentiert
  • Geschäftsleitung nicht aktiv in ICT-Governance involviert, Kompetenz nicht nachgewiesen

Die FMA hat im Jahr 2025 schwerpunktmässig mit schriftlichen Aufforderungen und Beratungsgesprächen reagiert, einzelne Strafverfahren laufen aber bereits. Die Aufsicht hat angekündigt, ab 2026 schärfer durchzugreifen.

Drittanbieter-Register in der Praxis

Das Drittanbieter-Register nach Art. 28 ist die operativ aufwendigste Pflicht. Pro Anbieter müssen unter anderem dokumentiert werden:

  • Anbieter-Stammdaten (Name, LEI-Code, Anschrift, Land, Rechtsform)
  • Geleistete ICT-Funktion (Art und Umfang)
  • Kritikalitätseinstufung (kritisch, wichtig, sonstig)
  • Vertragsstart und -ende, Kündigungsfristen
  • Standort der Datenverarbeitung (innerhalb/ausserhalb EU)
  • Sub-Outsourcing-Ketten
  • Auditrechte und durchgeführte Audits
  • Vereinbarte Servicequalität (SLAs)
  • Datenrückgabe-Modalitäten und Exit-Strategie

Typische Drittanbieter in der EPU-Praxis: Buchhaltungssoftware-SaaS, CRM-Plattform, E-Mail-Provider, Cloud-Speicher, Website-Hosting, Telefonie-Anbieter, Kollaborations-Tools, Spezialtools für Anlageberatung. Bei einem typischen 1-Personen-Vermögensberater ergeben sich schnell 15 bis 25 Einträge.

Die Aktualisierungspflicht ist hoch: Jeder Anbieterwechsel, jede Vertragsanpassung, jede Kritikalitäts-Verschiebung muss zeitnah eingetragen werden. Das Register ist FMA auf Anforderung vorzulegen.

Vorfallmeldung: 24-Stunden-Verantwortlichkeit

Schwere ICT-Vorfälle – Ausfälle, Cyberangriffe, Datenverlust mit Auswirkung auf die Funktionsfähigkeit – sind innerhalb von 24 Stunden ab Kenntnisnahme der FMA zu melden. Die Definition „schwer“ ergibt sich aus den ESA-RTS-Kriterien: Auswirkungen auf Kunden, Reputation, finanzielle Verluste, betroffene Datenmengen, Dauer der Beeinträchtigung.

In der KMU-Praxis bedeutet das: Wer Freitag abends einen Ransomware-Angriff bemerkt, muss bis Samstag abend die FMA informieren. Das verlangt eine Eskalationskette, die auch ausserhalb der Bürozeiten funktioniert, einen klar benannten Verantwortlichen mit Vertretung und ein vorbereitetes Meldungs-Template.

Die Initial-Meldung enthält Mindestangaben: Art des Vorfalls, Zeitpunkt, betroffene Systeme, erste Einschätzung. Die Zwischenmeldung nach 72 Stunden enthält detailliertere Ursachenanalyse und Massnahmen. Der Abschlussbericht nach 30 Tagen umfasst die vollständige Rekonstruktion, getroffene Massnahmen und Lessons Learned.

Sanktionen und Praxis der FMA

DORA selbst legt keine konkreten Höchststrafen fest, sondern überlässt die nationale Sanktionierung den Mitgliedstaaten. In Österreich erfolgt die Vollziehung über das nationale Vollziehungsgesetz und das jeweils sektorale Aufsichtsrecht (BWG, WAG, VAG, ZaDiG, MiCA-VVG). Die FMA verfügt damit über eine Reihe von Strafnormen mit Rahmen bis zu 5 Mio. Euro pro Verstoss oder prozentualen Sätzen am Vorjahresumsatz, je nach betroffenem Sachbereich.

In der Praxis 2025/2026 hat die FMA überwiegend mit Beanstandungsverfahren reagiert: schriftliche Aufforderungen zur Nachbesserung mit gestuften Fristen. Wo Wirtschaftsakteure nicht reagierten oder bei wiederholten Mängeln, folgten Verwaltungsstrafverfahren. Die ersten rechtskräftigen Strafbescheide wegen DORA-Verstössen liegen Stand Mai 2026 noch nicht vor, sind aber für die zweite Jahreshälfte zu erwarten.

Was Selbstständige jetzt prüfen sollten

Sechs Schritte für DORA-pflichtige Selbstständige, geordnet nach Dringlichkeit:

1. Anwendbarkeit klären. Bin ich DORA-pflichtig? Welche Vereinfachung steht mir nach Art. 16 zu? Eine kurze Mappierung der eigenen Tätigkeit gegen Art. 2 DORA spart spätere Korrekturen.

2. Drittanbieter-Register aufsetzen. Alle SaaS-Tools, Cloud-Dienste, externe Dienstleister mit ICT-Bezug erfassen. Standard-Template gibt die FMA in ihren Reporting-Leitfäden vor.

3. ICT-Risikomanagement-Rahmen dokumentieren. Auch für Kleine reicht ein 5-bis-10-seitiges Dokument: Asset-Inventar, Risikoeinschätzung, Schutzmassnahmen, Vorfallprozess, Wiederherstellungsplan, Reviews. Vorlagen kursieren in der Branche.

4. Vorfallmeldungs-Prozess testen. Wer bekommt den Anruf, wenn am Sonntag der Webshop offline ist? Wer setzt die FMA-Meldung auf? Wer entscheidet über Kommunikation? Test-Übung im Halbjahresrhythmus etablieren.

5. Bestehende Drittanbieter-Verträge nachverhandeln. Audit-Recht, Datenrückgabe, Sub-Outsourcing-Kette transparent machen, EU-Standort-Klauseln. Die FMA-RTS zu standardisierten Vertragsklauseln helfen.

6. Mindest-Resilienz-Tests planen. Selbst für Kleinste: Schwachstellen-Scan zweimal jährlich, Phishing-Test einmal jährlich, Backup-Wiederherstellungs-Test einmal jährlich. Tools dafür sind verfügbar und überschaubar in den Kosten.

Kosten und Aufwand realistisch

Anhaltspunkte aus aktueller Beratungspraxis, Stand Mai 2026:

  • Erstbestand ICT-Rahmen und Drittanbieter-Register für 1-3-Personen-Vermögensberater oder Versicherungsmakler: 4.000 bis 12.000 Euro Beratung plus 60-120 Stunden Eigenleistung
  • Laufende Pflege Drittanbieter-Register: 10 bis 30 Stunden jährlich plus Quartals-Reviews
  • Vorfallmeldungs-Prozess Setup: 1.500 bis 4.000 Euro Beratung
  • Resilienz-Tests (Schwachstellen-Scan, Phishing-Simulation): 1.500 bis 5.000 Euro jährlich
  • Schulung Geschäftsleitung und Mitarbeiter: 500 bis 2.000 Euro pro Person und Jahr
  • Bei KMU-Erleichterung Art. 16: Aufwand reduziert sich um 30 bis 50 Prozent

Wer keine entsprechende Aufsichtspflicht hat und keinen Finanzdienst erbringt, ist nicht DORA-pflichtig. Die Pflicht greift sehr klar an die Berufseigenschaft.

Häufige Fragen zu DORA

Falle ich als reiner Versicherungsagent unter DORA?

Versicherungsagenten und Versicherungsvermittler nach Gewerbeordnung sind grundsätzlich erfasst, profitieren aber als Kleinst- und Kleinunternehmen meist von Art. 16. Nebenversicherungsvermittler mit eingeschränkter Tätigkeit haben gewissen Spielraum, der mit der FMA abzuklären ist.

Was passiert, wenn ich gar nicht weiss, ob ich DORA-pflichtig bin?

Die FMA bietet Beratungsanfragen an. Eine schriftliche Anfrage mit Beschreibung der Tätigkeit klärt die Anwendbarkeit. Im Zweifel ist es besser, Klarheit zu schaffen, als Jahre später bei einer Stichprobenprüfung erst die Frage aufzuwerfen.

Müssen Krypto-Anbieter auch DORA umsetzen?

Krypto-Asset-Dienstleister unter MiCAR sind explizit in Art. 2 DORA aufgeführt. Die Anwendbarkeit greift ab dem Zeitpunkt der MiCAR-Lizenzierung bzw. der Anmeldung als zugelassener Krypto-Asset-Anbieter.

Welche Sprache hat das Drittanbieter-Register und Vorfallmeldung?

Die Kommunikation mit der FMA erfolgt in deutscher Sprache. Das Drittanbieter-Register kann intern in beliebiger Sprache geführt werden, muss aber auf FMA-Anforderung in deutscher Sprache vorgelegt werden.

Was ist mit Cloud-Services aus den USA?

US-basierte Cloud-Anbieter sind im Drittanbieter-Register zu erfassen und unterliegen besonderen Risikobewertungen, insbesondere bei Datentransfer ausserhalb EU. Die DSGVO-Konformität ist sicherzustellen, in der Regel über Standardvertragsklauseln und Risikobewertungen nach Schrems-II-Methodik.

Brauche ich einen externen DORA-Verantwortlichen?

Nein. Die Verantwortung liegt bei der Geschäftsleitung. In Kleinstunternehmen ist das der EPU selbst. Die operative Umsetzung kann extern unterstützt werden (Compliance-Berater, IT-Dienstleister), die regulatorische Verantwortung bleibt aber intern.

Wie verhält sich DORA zur NIS-2-Richtlinie?

NIS-2 reguliert Cybersecurity-Pflichten quer durch alle Sektoren – DORA ist die sektorspezifische Regelung für die Finanzwelt. DORA hat im Anwendungsbereich Vorrang. Wer DORA-konform ist, hat einen grossen Teil der NIS-2-Pflichten praktisch mit abgedeckt.

Rechtshinweis: Dieser Beitrag gibt die Rechtslage Stand Mai 2026 wieder und ist eine allgemeine Information. Er ersetzt keine individuelle Rechtsberatung. Den vollständigen Text der Verordnung finden Sie auf EUR-Lex. Aufsichtsrelevante Informationen veröffentlicht die FMA, technische Standards die ESMA, EBA und EIOPA gemeinsam.