Cyberresilienz - eine Analyse von Art 9 Abs 1 und 2 EWR-DORA-DG

Projektart und Laufzeit

FFF-Förderprojekt, Juli 2024 bis Dezember 2024

Koordinator

Wirtschaftsstrafrecht, Compliance und Digitalisierung

Forschungsschwerpunkt

Wirtschaftsrecht

Beschreibung

Für die Verfügbarkeit und Integrität von Finanzdienstleistungen spielen Informations- und Kommunikationstechnologien (IKT) eine entscheidende Rolle. Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (DORA) hat zum Ziel, Finanzunternehmen in die Lage zu versetzen, Cyberangriffen standzuhalten und den operativen Betrieb auch im Falle einer solchen Attacke aufrechtzuerhalten. Die DORA trat am 16. Januar 2023 in Kraft, und ihre Vorgaben müssen von den betroffenen Finanzintermediären in der EU bis zum 17. Januar 2025 umgesetzt werden. Zum Geltungsbereich zählen nach Art. 2 DORA unter anderem Kredit-, Zahlungs- und E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Wertpapierfirmen, Verwaltungsgesellschaften sowie Transaktionsregister und Versicherungen. Die DORA enthält einheitliche Anforderungen an das Risikomanagement von IKT, die Behandlung, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen, das Testen der digitalen operationalen Resilienz, das Management des IKT-Drittparteienrisikos sowie den Informationsaustausch. In Liechtenstein gilt die DORA nach ihrer Übernahme in das EWR-Abkommen unmittelbar; einige Vorschriften erforderten jedoch eine nationale Umsetzung, für die das EWR-DORA-DG geschaffen wurde. Dieses soll am 1. Februar 2025 in Kraft treten. In Art. 9 DORA-DG sind die Strafbestimmungen verankert, wobei insbesondere Abs. 1 eine gerichtlich strafbare Handlung (Vergehen) vorsieht und Abs. 2 mehrere von der FMA sanktionierten Verwaltungsübertretungen regelt; alle Strafbestimmungen sind sog. Blankettstrafnormen, weil sie auf Bestimmungen der DORA verweisen und deren Unrechtsgehalt erst durch das Zusammenlesen mit den entsprechenden sog. Auffüllungsnormen erkennbar ist. Das Projekt analysiert diese beiden Absätze und zielt darauf ab, rechtzeitig vor dem geplanten Inkrafttreten auf die neuen Strafbarkeitsrisiken hinzuweisen. Vorab wird der Bereich der Cyberkriminalität erläutert, zu deren Abwehr Cyberresilienz eine wesentliche Strategie darstellt.

Wirkungen in Wissenschaft, Wirtschaft und Gesellschaft

Im Rahmen des Projekts wird eine umfassende Analyse der Strafbarkeitsrisiken vorgenommen, die durch das EWR-DORA-DG entstehen. Ziel ist es, potenzielle rechtliche und regulatorische Herausforderungen im Bereich der Cyberresilienz für Finanzunternehmen und deren Führungskräfte frühzeitig zu identifizieren. Besonderes Augenmerk liegt auf den einzelnen strafbewehrten Regelungen. Dabei werden sowohl die relevanten Begriffe von Vorsatz und Fahrlässigkeit erläutert als auch die Frage der Verbandsverantwortlichkeit untersucht.

Liechtensteinbezug

DORA soll das Bewusstsein für IKT-Risiken schärfen und darauf hinweisen, dass die finanzielle Solidität von Finanzunternehmen durch IKT-Vorfälle und eine unzureichende operationale Widerstandsfähigkeit gefährdet sein kann. Der Ausbau der IKT-Kapazitäten und der allgemeinen Widerstandsfähigkeit von Finanzunternehmen, insbesondere zur Bewältigung operativer Ausfälle, ist entscheidend für die Wahrung der Stabilität und Integrität des EWR-Binnenmarkts für Finanzdienstleistungen und der Finanzmärkte in den EWR-Staaten. Dies trägt dazu bei, einen hohen Schutz für Anleger und Verbraucher im gesamten EWR sicherzustellen. Liechtenstein, dessen Volkswirtschaft stark von den Finanzdienstleistungen geprägt wird, profitiert in besonderem Masse von der Umsetzung dieser Regelungen, zumal die Anwendung von DORA die Resilienz der Finanzunternehmen im Land stärken kann. Die Analyse der Strafbestimmungen hilft, mögliche Haftungsrisiken besser zu verstehen und entsprechende Präventionsstrategien für Finanzunternehmen zu formulieren. Leitungsorgane können auf Basis dieser Analyse praxisnahe Handlungsempfehlungen entwickeln, um Haftungsrisiken zu minimieren und die rechtlichen Anforderungen zu erfüllen.