FAQs

In den Geltungsbereich der europäischen Verordnung DORA fallen (Artikel 2 Absatz 1 DORA):

1. CRR-Kreditinstitute,
2. Zahlungsinstitute,
3. Kontoinformationsdienstleister,
4. E-Geld-Institute,
5. Wertpapierfirmen,
6. Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
7. Zentralverwahrer,
8. zentrale Gegenparteien,
9. Handelsplätze,
10. Transaktionsregister,
11. Verwalter alternativer Investmentfonds,
12. Verwaltungsgesellschaften
13. Datenbereitstellungsdienste,
14. Versicherungs- und Rückversicherungsunternehmen,
15. Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
16. Einrichtungen der betrieblichen Altersversorgung,
17. Ratingagenturen,
18. Administratoren kritischer Referenzwerte,
19. Schwarmfinanzierungsdienstleister,
20. Verbriefungsregister
21. IKT-Dienstleister

Ausnahmen gelten für die folgenden Unternehmen (Artikel 2 Absatz 3 DORA):

1. Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
2. Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
3. Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
4. gemäss den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
5. Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
6. Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

In der DORA gibt es umfassende Erleichterungen für Finanzunternehmen, die die Kriterien als „Kleinstunternehmen“ erfüllen. Ein Kleinstunternehmen ist ein Finanzintermediär, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, der weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR (oder den entsprechenden Wert in CHF) nicht überschreitet. 

Bestehen Unsicherheiten hinsichtlich der Anwendung der Kleinstunternehmerregelung auf das eigene Unternehmen, steht die FMA für Fragen jederzeit zur Verfügung. 

In der Europäischen Union ist DORA ab 17. Januar 2025 anwendbar. In Liechtenstein bedarf es für die Anwendbarkeit einen Beschluss des Gemeinsamen EWR-Ausschusses und die damit verbundene Übernahme in das EWR-Abkommen. In Liechtenstein gilt die DORA nach der Übernahme in das EWR-Abkommen unmittelbar. Einige der Bestimmungen der Verordnung bedürfen einer nationalen Durchführung, wozu das EWR-DORA-Durchführungsgesetzes (DORA-DG) geschaffen wird. Das DORA-DG sieht vor, dass aufgrund der noch nicht absehbaren rechtskräftigen Übernahme der Verordnung (EU) 2022/2554 (DORA) und der Richtlinie (EU) 2022/2556 in das EWR-Abkommen eine Vorabumsetzung dieser EWR-Rechtsakte ab 1. Februar 2025 erfolgen werde.

IKT-Dienstleistungen sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen , mit Ausnahme herkömmlicher analoger Telefondienste (Art. 3 Absatz 1 Nr. 21 DORA).

Das Informationsregister gemäss Art. 28 Abs. 3 DORA ist ein zu erstellendes bzw. zu befüllendes Register mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen, welches von DORA als wichtiges Werkzeug im Rahmen des IKT-Risikomanagementrahmens gesehen wird. Gemäss Art. 28 Abs. 9 DORA wurden die ESA mandatiert, Standardvorlagen zu entwickeln. Diese findet sich derzeit im Final Report on Draft Implementing Technical Standards on the standard templates for the puposes of the register of information [..], JC 2023 85.

Mit Anwendbarkeit von DORA in Liechtenstein werden jene Finanzintermediäre, welche unter den Geltungsbereich von DORA fallen, von der FMA Richtlinie 2021/3 - IKT-Sicherheit ausgenommen. Die FMA Richtlinie 2021/3 bleibt für jene Finanzintermediäre, welche nicht in den Geltungsbereich von DORA fallen, weiterhin bestehen. Aus DORA resultierenden Anpassungen der FMA-Richtlinie 2021/3 werden rechtzeitig erfolgen.

Mittlerweile wurde die Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister erlassen. Darin wurde verschriftlicht, dass bei juristischen Personen die LEI und die EUID anerkannte internationale und europäische Kennungen sind, die eine kohärente, eindeutige und zuverlässige Identifizierung von Unternehmen gewährleisten. Folglich sollte eine dieser beiden Kennungen zur Identifizierung der in der Union niedergelassenen IKT-Drittdienstleister für die Zwecke der Anwendung der genannten Verordnung verwendet werden und als Information gelten, die allen vertraglichen Vereinbarungen gemein ist; die Identifizierung von in Drittstaaten niedergelassenen IKT-Drittdienstleistern hingegen sollte lediglich anhand der LEI erfolgen.

Der Legal Entity Identifier («LEI-Code») ist eine zwanzigstellige alphanumerische Unternehmenskennung, die als internationaler Standard für Unternehmen des Finanzmarkts etabliert wurde. Jeder LEI-Code wird einmalig vergeben und ermöglicht eine weltweite Zuordnung zu einem konkreten Unternehmen.

Bei standardisierten Softwarelizenzen handelt es sich üblicherweise um Nutzungsrechte, die keine IKT-Dienstleistung i.S.d. Art. 3 Nr. 21 DORA darstellen. Häufig gibt es aber noch begleitende IKT-Dienstleistungen, z.B. über mit dem Lizenzkauf verbundene Wartungs- und Supportverträge.

IKT-Dienstleistungen, die kritische oder wichtige Funktionen der Finanzunternehmen unterstützen, sind in Art. 3 Nr. 21 bzw. 22 DORA definiert. Die Prüfung, welche Funktionen kritisch oder wichtig sind, wird vom Finanzunternehmen selbst vorgenommen. Davon abzugrenzen sind kritische IKT-Drittdienstleister, die in Art. 3 Nr. 23 DORA definiert werden. Diese werden gemäss Art. 31 DORA nach den Regelungen des Rahmenwerks zur Überwachung kritischer IKT-Drittdienstleister durch die Aufsichtsbehörden als kritisch eingestuft.

Gemäss dem Entwurf der RTS über die Untervergabe von IKT-Dienstleistungen besteht die Anforderung an Finanzintermediäre, die gesamte Kette der Untervergaben zu überwachen, sofern die Subdienstleister tatsächlich IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringen. Gemäss Q&A 2750 – DORA006, veröffentlicht auf der Homepage der EIOPA, ist der Umfang des für eine IKT-Dienstleistung erforderlichen Engagements im Lichte des Begriffs „kritische oder wichtige Funktionen“ zu betrachten (Artikel 3 Absatz 22 DORA). Das Wort „unterstützen“ (IKT-Drittdienstleister unterstützt kritische Funktion) bezieht sich auf die Tatsache, dass eine IKT-Dienstleistung für die Erbringung kritischer oder wichtiger Funktionen erforderlich ist.

Die obgenannten RTS wurden noch nicht veröffentlicht. 

Die Vorlage für das Informationsregister wurde durch die ESAs im Rahmen der Publikation des aktuellen EBA Reporting Technical Package am 19. Dezember 2024 bereitgestellt. Die Publikation der Dokumente finden Sie hier. Wesentlich hierfür war die Publikation der Durchführungsverordnung (EU) 2024/2956 […] im Hinblick auf Standardvorlagen für das Informationsregister, welches nun erfolgt ist. Es wurden nur geringfügige Anpassungen zu den Vorlagen des ESA DORA Dry Runs vorgenommen.

Der Einreichezeitraum für Finanzintermediäre in Liechtenstein erstreckt sich vom 1. April bis einschliesslich 14. April 2025. Bitte beachten Sie, dass das Informationsregister für das Jahr 2025 mit Stichtag 31. März 2025 zu erstellen und einzureichen ist. Die zuständigen Aufsichtsbehörden sollen die Informationsregister an die ESAs bis zum 30. April 2025 weiterleiten. Die Einreichung sowohl für die Meldung schwerwiegender IKT-bezogener Vorfälle als auch für das Informationsregister erfolgt für Finanzintermediäre in Liechtenstein über das e-Service Portal.