Erläuterungen
Allgemeiner Teil
Der vorliegende Gesetzentwurf dient dem Wirksamwerden der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1. (Digital Operational Resilience Act – DORA) in Österreich.
Dazu soll die Umsetzung der begleitenden Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 155 erfolgen.
Die Verordnung (EU) 2022/2554 soll die digitale operationale Resilienz im Finanzsektor stärken. Hintergrund sind Risiken aufgrund der zunehmenden Digitalisierung und Vernetzung von Finanzunternehmen. Mit der Verordnung (EU) 2022/2554 sollen daher bestehende Regelungen in diesem Bereich gestärkt und vereinheitlicht werden. Anzuwenden ist die Verordnung (EU) 2022/2554 von unterschiedlichen Arten von Finanzunternehmen, wobei die Berücksichtigung des jeweiligen Risikoprofils vorgesehen ist.
Konkret enthält die Verordnung (EU) 2022/2554 zu folgenden Bereichen Regelungen für Finanzunternehmen:
Risikomanagement im Bereich Informations- und Kommunikationstechnologien (IKT)
Meldung von IKT-bezogenen Vorfällen an Behörden und Informationsaustausch
Testen der digitalen operationalen Resilienz
Adressierung von Risiken durch die Nutzung von IKT-Drittdienstleistern und Einführung eines neuen europäischen Überwachungsrahmens für kritische Drittdienstleister.
Mit der Richtlinie (EU) 2022/2556 werden bestehende sektorale Richtlinien, die Bestimmungen zum Management von IKT-Risiken im Finanzsektor enthalten, angepasst, um Kohärenz mit der Verordnung (EU) 2022/2554 zu gewährleisten.
Um die Verordnung (EU) 2022/2554 in Österreich wirksam anwenden zu können, soll ein DORA-Vollzugsgesetz (DORA-VG) erlassen werden. Das Gesetz soll insbesondere den Anwendungsbereich der Verordnung (EU) 2022/2554 in Bezug auf nationale Institute klarstellen. Darüber hinaus soll die FMA mit den gemäß der Verordnung (EU) 2022/2554 auf nationaler Ebene ergänzend festzulegenden Aufsichts- und Sanktionsbefugnissen zur Durchsetzung der Verordnung (EU) 2022/2554 ausgestattet werden. Es wird zudem die Zusammenarbeit mit der Oesterreichischen Nationalbank in diesem Bereich geregelt.
In Bezug auf die zuständigen Behörden legt Art. 46 der Verordnung (EU) 2022/2554 direkt fest, welche Behörden für die Aufsicht der Einhaltung von DORA zuständig sind. Zudem bestimmt Art. 46, dass sektorale Befugnisse dieser Behörden auch in Zusammenhang mit DORA anwendbar sind. Art. 46 verweist dabei zum Teil auf Festlegungen, die basierend auf sektoralen EU-Rechtsakten durch nationales Recht zu treffen waren. Es soll daher – unbeschadet der unmittelbaren Anwendbarkeit von Art. 46 – durch Klarstellungen im DORA-VG eine besser verständliche Gesamtdarstellung des Zusammenspiels der Verordnung (EU) 2022/2554 und nationalem Recht erreicht werden.
Ferner sollen das Alternative Investmentfonds Manager-Gesetz, das Bankwesengesetz, das Börsegesetz 2018, das Investmentfondsgesetz 2011, das Pensionskassengesetz, das Sanierungs- und Abwicklungsgesetz, das Versicherungsaufsichtsgesetz 2016, das Wertpapieraufsichtsgesetz 2018 und das Zahlungsdienstegesetz 2018 geändert werden, um die Richtlinie (EU) 2022/2556 umzusetzen.
Die entsprechenden Regelungen zum Wirksamwerden der Verordnung (EU) 2022/2554 in Bezug auf Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit gemäß Art. 2 Abs. 1 lit. o der Verordnung (EU) 2022/2554 sollen entsprechend der innerstaatlichen Kompetenzverteilung zwischen der FMA und den Gewerbebehörden separat und nicht in diesem Gesetz erfolgen.
Inkrafttreten:
Das DORA-VG sowie die Änderungen des FMABG, des BWG, des BörseG 2018, des InvFG 2011, des PKG, des BaSAG, des VAG 2016, des WAG 2018 und des ZaDiG 2018 sollen mit 17. Jänner 2025 in Kraft treten.
Kompetenzgrundlage:
Der vorliegende Entwurf stützt sich auf Art. 10 Abs. 1 Z 5 B-VG (Börse- und Bankwesen) sowie auf Art. 10 Abs. 1 Z 11 B-VG (Versicherungsvertragswesen).
Besonderer Teil
Zu Artikel 1 (DORA-Vollzugsgesetz – DORA-VG):
Zu § 1:
Art. 46 der Verordnung (EU) 2022/2554 benennt unmittelbar bereits bestehende Behörden der Mitgliedstaaten als zuständige Behörden für die Sicherstellung der Einhaltung von DORA. Da sich Art. 46 zum Teil auf von den Mitgliedstaaten im nationalen Recht zu benennende Behörden bezieht, besteht jedoch eine „Verzahnung“ von Unionsrecht und nationalem Recht. Unbeschadet der unmittelbaren Anwendbarkeit von Art. 46 soll daher mit § 1 im Interesse der Verständlichkeit nochmal klargestellt werden, wer in Österreich die jeweiligen zuständigen Behörden entsprechend Art. 46 sind.
Mit § 1 wird vor diesem Hintergrund – unbeschadet der unmittelbaren Anwendbarkeit von Art. 46 der Verordnung (EU) 2022/2554 – eine Klarstellung in Bezug auf jene Unternehmen getroffen, die ihren Sitz in Österreich haben. In Bezug auf Unternehmen aus anderen EU-Mitgliedstaaten, die in Österreich im Rahmen der Dienst- und Niederlassungsfreiheit tätig werden, sehen sektorale Rechtsakte im Finanzmarktbereich regelmäßig Regime zur Beaufsichtigung dieser Unternehmen sowie zur Zusammenarbeit zwischen Herkunftsmitgliedsstaats- und Aufnahmemitgliedsstaatsbehörde vor. Art. 46 legt fest, dass die Sicherstellung der Einhaltung von DORA im Einklang mit den durch die jeweiligen sektoralen Rechtsakte übertragenen Befugnissen erfolgt. Daraus ergibt sich, dass bei grenzüberschreitenden Fällen die Beaufsichtigung der Verordnung (EU) 2022/2554 und die Zusammenarbeit mit ausländischen Aufsichtsbehörden in diesem Zusammenhang entsprechend der jeweiligen bestehenden sektoralen Aufsichtsregime erfolgen muss.
Im Rahmen der Z 1 wird entsprechend Art. 46 lit. a der Verordnung (EU) 2022/2554 auch noch einmal klargestellt, dass bei als bedeutend eingestuften Kreditinstituten die EZB die Überwachung der Einhaltung von DORA durchführen soll. Diese Klarstellung erfolgt in Anlehnung an die bereits in § 77d Abs. 1 BWG verwendete Textierung. Die Aufgaben der FMA und OeNB zur Unterstützung der EZB bei der Beaufsichtigung von als bedeutend eingestuften Kreditinstituten richten sich dabei ebenfalls nach den bestehenden sektoralen Bestimmungen (siehe neben der Verordnung (EU) Nr. 1024/2013 insbesondere die Verordnung (EU) Nr. 468/2014 und das BWG einschließlich § 77d BWG). Dabei sind auch die haftungsrechtlichen Regelungen des § 3 Abs. 6 FMABG sowie des § 79 Abs. 7 BWG anwendbar.
Z 4 nimmt keinen Bezug auf Wertpapierdienstleistungsunternehmen gemäß § 4 WAG 2018, da diese als von der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen gemäß Art. 2 Abs. 3 lit. d der Verordnung (EU) 2022/2554 vom Anwendungsbereich dieser Verordnung nicht erfasst sind.
Bei Datenbereitstellungsdiensten und Administratoren kritischer Referenzwerte gemäß Art. 3 Z 46 und 57 der Verordnung (EU) 2022/2554 wird die FMA in Z 9 und 14 für diejenigen Unternehmen als zuständige Behörde genannt, die bereits jetzt der Beaufsichtigung der FMA unterliegen. Transaktionsregister, Ratingagenturen, und Verbriefungsregister gemäß Art. 3 Z 41, 54 und 59 der Verordnung (EU) 2022/2554 werden direkt von der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) beaufsichtigt.
Die zuständigen Behörden in Bezug auf Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit gemäß Art. 2 Abs. 1 lit. o der Verordnung (EU) 2022/2554 werden aufgrund der innerstaatlichen Kompetenzverteilung zwischen der FMA und den Gewerbebehörden nicht klarstellend im DORA-VG genannt.
Zu § 2
Um ein einheitliches Niveau der digitalen Resilienz im Finanzsektor unter Berücksichtigung der jeweiligen Risiken herzustellen, ist es erforderlich, den Anwendungsbereich der Verordnung (EU) 2022/2554 auf „nationale“ Kreditinstitute gemäß § 1 Abs. 1 BWG auszudehnen. Abs. 1 legt daher die Anwendung der Verordnung (EU) 2022/2554 in Bezug auf Kreditinstitute gemäß BWG fest, die keine Rechtsträger im Sinne des Art. 2 Abs. 1 lit. a bis u der Verordnung (EU) 2022/2554 sind; bestimmte Rechtsträger, wie etwa Kapitalanlagegesellschaften oder Zentralverwahrer sind ja bereits aufgrund der unmittelbar geltenden Anordnung des Art. 2 der Verordnung (EU) 2022/2554 zur Einhaltung der Verordnung (EU) 2022/2554 verpflichtet und gemäß Art. 46 der Verordnung (EU) 2022/2554 beaufsichtigt. In diesem Zusammenhang sei auch auf Art. 4 des vorliegenden Gesetzesentwurfes hingewiesen, mit dem Änderungen des BWG vorgenommen werden sollen; dabei werden unter anderem auch die Sorgfaltspflichten für Kreditinstitute gemäß § 39 BWG adaptiert, weil Art. 74 Abs. 1 der Richtlinie 2013/36/EU, auf dem § 39 BWG basiert, durch die Richtlinie (EU) 2022/2556 ebenfalls um neue Anforderungen im Zusammenhang mit der Verordnung (EU) 2022/2554 erweitert wurde. Ausdrücklich zu betonen ist an dieser Stelle, dass insbesondere bei jenen Unternehmen, die gemäß dieser Bestimmung dem Anwendungsbereich der Verordnung (EU) 2022/2554 unterworfen werden, eine für die Größe und das Geschäftsmodell des jeweiligen Unternehmens angemessene und verhältnismäßige Anwendung der Vorgaben der Verordnung (EU) 2022/2554 – wie dies ja grundsätzlich bereits durch Art. 4 der Verordnung (EU) 2022/2554 explizit vorgegeben ist – besonders wichtig ist.
Mit Abs. 2 wird im Einklang mit dem Mitgliedstaaten-Wahlrecht gemäß Art. 2 Abs. 4 der Verordnung (EU) 2022/2554 explizit festgelegt, dass gemeinnützige Bauvereine nicht von der Verordnung (EU) 2022/2554 erfasst sein sollen. Diese Ausnahme ist zulässig, da es sich bei gemeinnützigen Bauvereinen um in Art. 2 Abs. 5 Nr. 17 der Richtlinie 2013/36/EU aufgeführte Stellen handelt, die gemäß Art. 2 Abs. 4 der Verordnung (EU) 2022/2554 von ihrem Anwendungsbereich ausgenommen werden können. Macht ein Mitgliedstaat von dieser Möglichkeit Gebrauch, ist die Europäische Kommission hiervon in Kenntnis zu setzen. Die Formulierung ist an die entsprechende Ausnahme in § 3 Abs. 3 Z 3 BWG angelehnt, um Kohärenz zwischen dieser Ausnahmenbestimmung und dem BWG herzustellen. Die entsprechenden Unternehmen sollen insoweit ausgenommen sein, als sie auch nicht das BWG und die Verordnung (EU) Nr. 575/2013 anzuwenden haben.
Zu § 3:
Art. 46 der Verordnung (EU) 2022/2554 sieht vor, dass die Einhaltung der Verordnung im Einklang mit den durch die jeweiligen sektoralen Rechtsakte übertragenen Befugnissen sichergestellt werden soll. Die Festlegung von Aufsichtsbefugnissen gemäß den genannten sektoralen EU-Rechtsakten erfolgt dabei wiederum zum Teil in nationalen Gesetzen. Dazu kann es auf nationaler Ebene in den jeweiligen sektoralen Bundesgesetzen aufsichtsbehördliche Befugnisse geben, die ihren Ursprung nicht in sektoralen EU-Rechtsakten haben, sondern nur national festgelegt wurden. Durch Abs. 1 wird daher sichergestellt, dass die FMA nicht nur jene sektoral eingeräumten Befugnisse, die auf unmittelbar anwendbaren EU-Recht oder der Umsetzung von EU-Recht basieren, anwenden kann, sondern jegliche in den jeweiligen sektoralen Rechtsakten festgelegten Aufsichtsmaßnahmen und -befugnisse. Mitumfasst sind dabei auch sektoral vorgesehene Abhilfemaßnahmen.
Art. 50 Abs. 2 der Verordnung (EU) 2022/2554 bedarf als unmittelbar anwendbare Bestimmung keiner Umsetzung im DORA-VG. Vielmehr stehen die dort genannten Befugnisse der FMA als zuständiger Behörde bereits aufgrund dieser Bestimmung zur Verfügung.
Abs. 1 und 2 verweisen dabei auf den Zuständigkeitsbereich gem. Art. 46 der Verordnung (EU) 2022/2554. Da auf Kreditinstitute gemäß § 1 Abs. 1 BWG, die nicht unmittelbar vom Anwendungsbereich der Art. 46 DORA umfasst sind, gemäß § 2 Abs. 1 die Vorgaben dieses Bundesgesetzes, der Verordnung (EU) 2022/2554 sowie der aufgrund dieser Verordnung erlassenen delegierten Rechtsakte und Durchführungsrechtsakte anzuwenden sind, als ob diese Kreditinstitute gemäß Art. 2 Abs. 1 Buchstabe a der Verordnung (EU) 2022/2554 wären, ergibt sich, dass die Befugnisse der Aufsichtsbehörden, die sich aus DORA und dem DORA-VG ergeben, auch auf diese Kreditinstitute anwendbar sind.
Klarstellend sei an dieser Stelle auch erwähnt, dass einige der in Art. 46 Abs. 1 der Verordnung (EU) 2022/2554 angeführten Rechtsträger keiner nationalen Aufsicht, sondern ausschließlich der Aufsicht von ESMA unterliegen (Transaktionsregister und Zentrale Gegenparteien, die in einem Drittland ansässig sind, jedoch gemäß Verordnung (EU) Nr. 648/2012 der Aufsicht durch ESMA unterworfen sind); in diesen Fällen gibt es daher entgegen der Textierung in Art. 46 Abs. 1 Buchstaben f und h der Verordnung (EU) 2022/2554 keine gemäß „Artikel 22 der Verordnung (EU) Nr. 648/2012 benannte zuständige Behörde“, da die exklusive Aufsichtszuständigkeit der ESMA für diese Rechtsträger in anderen Bestimmungen der Verordnung (EU) Nr. 648/2012 unmittelbar bindend festgelegt wird. Selbstverständlich trifft die FMA mangels Aufsichtszuständigkeit folglich bei diesen Rechtsträgern auch keinerlei Aufsichts-bzw. Überwachungspflichten betreffend die Einhaltung der Verordnung (EU) 2022/2554.
In Abs. 1 wird darüber hinaus festgelegt, dass die FMA für die Zwecke der Aufsicht über dieses Bundesgesetz und die Verordnung (EU) 2022/2554 Prüfungen und Ermittlungen jedenfalls auch durch geeignete Sachverständige (einschließlich der OeNB) durchführen lassen kann, und zwar auch dann, wenn eine entsprechende Befugnis in den sektoralen Aufsichtsbestimmungen nicht festgelegt ist. In diesem Fall ist der Sorgfaltsmaßstab des § 3 Abs. 2 letzter Satz FMABG anwendbar. Die Hinzuziehung von geeigneten Sachverständigen bei Ermittlungen und Überprüfungen sollte ergänzend zum Einsatz von eigenem Personal bzw. dem Personal der OeNB erfolgen und sich an den Grundsätzen von Wirtschaftlichkeit und Zweckmäßigkeit orientieren.
Mit Abs. 2 erfolgen die von Art. 50 Abs. 4 der Verordnung (EU) 2022/2554 geforderten Befugnisübertragungen an die FMA. Mit Z 1 werden Art. 50 Abs. 4 lit. a und b umgesetzt. Die Ermächtigung gemäß Abs. 5 Z 1 ist bereits in anderen Finanzmarktgesetzen enthalten wie bspw. § 3 Abs. 4 Z 2 WPFG.
Abs. 5 Z 2 trifft die nationalen Maßnahmen, die aufgrund von Art. 50 Abs. 4 lit. d der Verordnung (EU) 2022/2554 erforderlich sind. Eine entsprechende Bestimmung ist bereits in anderen Finanzmarktgesetzen, wie § 93 Abs. 2 Z 16 BörseG 2018, enthalten.
Mit Z 3 soll Art. 50 Abs. 4 lit. e umgesetzt werden. Durch den Verweis auf eine sinngemäße Anwendung von Art. 54 und § 7 soll eine entsprechende behördliche Interessensabwägung vor der Veröffentlichung sowie eine entsprechende Rechtschutzmöglichkeit für den Betroffenen nach einer Veröffentlichung sichergestellt werden, falls es zu einer Veröffentlichung von Verstößen gegen DORA kommen sollte. Die Möglichkeit von Veröffentlichungen von für die Öffentlichkeit relevanten Informationen gemäß § 3 Abs. 2 Z 3 tritt neben die Rechtsgrundlage zur Veröffentlichung von Verwaltungsstrafen gemäß Art. 54 Abs. 1 der Verordnung (EU) 2022/2554. So soll in beiden Fällen eine angemessene Wahrung der Rechte der Betroffenen sichergestellt werden.
Die Vorgabe des Art. 50 Abs. 4 Buchstabe c der Verordnung (EU) 2022/2554 ist im höchstmöglichen Maße offen und unbestimmt formuliert und kann daher nicht direkt und unmittelbar in den nationalen Rechtsbestand übernommen werden, sondern bedarf notwendigerweise einer Konkretisierung im Rahmen der Umsetzung in das nationale Recht. Bei dieser Konkretisierung ist darauf zu achten, dass die national anwendbaren Maßnahmen ihrer Art nach grundsätzlich dazu geeignet sind, sicherzustellen, dass Finanzunternehmen weiterhin die anwendbaren Anforderungen der DORA einhalten. In diesem Sinne erfolgt die Umsetzung des Art. 50 Abs. 4 lit. c DORA in das nationale Recht durch die umfangreichen Maßnahmenbefugnisse, die der FMA bereits aufgrund des Art. 46 DORA unter Hinweis auf die Befugnisse in den jeweiligen sektoralen Rechtsakten zustehen (somit zB bei Kreditinstituten unter anderem § 70 Abs. 4 BWG im Hinblick auf die Anordnung zur Wiederherstellung des rechtmäßigen Zustands), durch die Maßnahmenbefugnisse des § 3 Abs. 1, § 3 Abs. 2 Z 1 und die Strafbestimmungen des § 6 dieses Bundesgesetzes.
Mit Abs. 3 soll eine Präzisierung in Bezug auf den Informationsaustausch und Zusammenarbeit mit anderen Behörden getroffen werden. In diesem Zusammenhang sind insbesondere auch Art. 48, Art. 49 Abs. 2, Art. 55 und 56 der Verordnung (EU) 2022/2554 zu beachten. Die Formulierung ist an § 104 Abs. 2 WAG 2018 angelehnt.
Abs. 4 ist § 4 Abs. 2 ZGVG und § 90 Abs. 6 WAG 2018 nachgebildet. Mit der Bestimmung soll die Zusammenarbeit mit Behörden aus Drittstaaten unter Beachtung von direkt anwendbaren datenschutzrechtlichen Bestimmungen auch im Hinblick auf die von der Verordnung (EU) 2022/2554 erfassten Bereiche ermöglicht werden.
Zu § 4:
Diese Bestimmung soll in Ergänzung zu Art. 46 der Verordnung (EU) 2022/2554 noch einmal klarstellen, dass die Zusammenarbeit zwischen FMA und Oesterreichischer Nationalbank auch bei der Überwachung der Verordnung (EU) 2022/2554 in jenen Bereichen stattzufinden hat, in denen es bereits jetzt aufgrund des jeweiligen sektoralen Bundesgesetze eine Aufteilung der Analyse- und Prüftätigkeit zwischen FMA und Oesterreichischer Nationalbank gibt. Es findet sohin eine Einbindung der Oesterreichischen Nationalbank in den Vor-Ort-Prüfungsprozess auch im Rahmen der Überwachung der Verordnung (EU) 2022/2554 bei jenen Rechtsträgern statt, bei denen ein derart arbeitsteiliges Vorgehen auch schon bisher in den jeweiligen sektoralen Materiengesetzen vorgesehen ist (siehe dazu BWG, ZaDiG 2018, E-Geldgesetz 2010, ZGVG, ZVVG). So finden etwa bei der Aufsicht über die Einhaltung dieses Bundesgesetzes und der Verordnung (EU) 2022/2554 durch Kreditinstitute gemäß § 1 Abs. 1 BWG die relevanten Bestimmungen des BWG Anwendung (siehe etwa die §§ 3 Abs. 8, 70 Abs. 1 Z 3 und 4 sowie Abs. 1a bis 1e, 70a Abs. 2, 71 und 79 BWG).
Soweit die OeNB im Rahmen dieses arbeitsteiligen Vorgehens in die Aufgaben der zuständigen Behörde gemäß Art. 46 der Verordnung (EU) 2022/2554 eingebunden ist, ist daher auch eine Entsendung von Mitarbeitern der OeNB in gemeinsame Untersuchungsteams gemäß Art. 40 Abs. 2 Buchstabe c der Verordnung (EU) 2022/2554 zulässig (vgl. zur diesbezüglich vergleichbaren Situation bei der Einbeziehung von Mitarbeitern der OeNB in die gemeinsamen Aufsichtsteams im einheitlichen Aufsichtsmechanismus gemäß Art. 4 der SSM-Rahmenverordnung (EU) Nr. 468/2014 ausdrücklich Art. 2 Z 9 dieser Verordnung).
Entsprechend Art. 46 der Verordnung (EU) 2022/2554 steht der FMA für Bereiche, in denen nach bestehendem Recht die Ermächtigung besteht, die Oesterreichische Nationalbank mit Vor-Ort-Prüfungen zu beauftragen, diese Befugnis auch in Zusammenhang mit DORA zu. Wenn die FMA von ihren sektoralen Befugnissen zur Beauftragung der Oesterreichischen Nationalbank mit Vor-Ort-Prüfungen Gebrauch macht, sollen auch die Verpflichtungen der Oesterreichischen Nationalbank in diesem Zusammenhang für die Überwachung von DORA zur Anwendung kommen, was durch Abs. 1 sichergestellt wird. Abs. 1 lehnt sich dabei an bestehenden Bestimmungen zur Zusammenarbeit an (§ 88 Abs. 3 ZaDiG 2018, § 22 Abs. 3 E-Geldgesetz 2010, § 2 Abs. 2 ZGVG und § 1 Abs. 2 ZvVG).
Mit Abs. 2 wird die gemäß Art. 32 Abs. 5 der Verordnung (EU) 2022/2554 erforderliche Benennung vorgenommen.
Mit Abs. 3 wird im Hinblick auf die Erfüllung ihrer Aufgaben zur Unterstützung der federführenden Aufsichtsbehörde bei der Überwachung kritischer IKT-Drittdienstleister gemäß Kapitel V Abschnitt II der Verordnung (EU) 2022/2554 ausdrücklich geregelt, dass aus Handlungen der FMA, OeNB und ihrer Bediensteten bzw. Organe keine innerstaatlichen Ersatzansprüche entstehen. Die diesbezügliche Letztverantwortung der federführenden Überwachungsbehörde und der ESAs und die diesbezügliche unionsrechtliche Haftung (Art. 340 AEUV) stellt einen sachgemäßen Grund dar, die innerstaatliche Amtshaftung – sofern diese neben der Haftung auf unionsrechtlicher Ebene überhaupt eintreten hätte können – ausdrücklich gesetzlich auszuschließen (vgl. zur insofern vergleichbaren Sachlage im Rahmen des einheitlichen Aufsichtsmechanismus gemäß der Verordnung (EU) Nr. 1024/2013 § 3 Abs. 6 FMABG sowie § 79 Abs. 7 BWG). Organe und Bedienstete von FMA und OeNB werden demzufolge bei der Erfüllung ihrer Aufgaben zur Unterstützung der federführenden Aufsichtsbehörde auch nicht als "Organ" im Sinne des Amtshaftungsgesetzes tätig.
Zu § 5:
Mit dieser Bestimmung soll die Zusammenarbeit zwischen FMA und Oesterreichischer Nationalbank im Rahmen der Durchführung erweiterter Test gemäß Art. 26 präzisiert werden. Dabei soll die FMA auch in Bezug auf die Durchführung erweiterter Tests zuständige Behörde bleiben. Von Art. 26 Abs. 9 soll also in Österreich kein Gebrauch gemacht werden. Zur Beurteilung, ob ein erweiterter Test im Einklang mit den Anforderungen von Art. 26 und 27 der Verordnung (EU) 2022/2554 durchgeführt wurde, soll sich FMA jedoch auf gutachterliche Äußerungen der OeNB stützen können. Ähnliche Bestimmung zur Einholung gutachterlicher Äußerungen sind im Finanzmarktbereich bereits mit § 182 Abs. 5 bis 7 VAG 2016 und § 26 Abs. 2 bis 4 WPFG vorgesehen. Die Erstellung einer gutachterlichen Äußerung im Fall von erweiterten Tests setzt dabei insbesondere auch die Begleitung erweiterter Tests im Sinne des Art 26 und 27 der Verordnung (EU) 2022/2554 voraus.
Die Einholung einer gutachterlichen Äußerung soll grundsätzlich in Bezug auf alle von der Verordnung (EU) 2022/2554 erfassten Unternehmen möglich sein, die gem. Art. 26 Abs. 1 der Verordnung (EU) 2022/2554 erweitere Tests durchzuführen haben. Bei Unternehmen, die keine Kreditinstitute, Zahlungsinstitute oder E-Geld-Institute sind, ist dabei von einer stärkeren Involvierung der FMA im Rahmen der operativen Begleitung der erweiterten Tests auszugehen. Dies begründet sich in der reduzierten (wie bei zentralen Gegenparteien und Zentralverwahrern) bzw. gänzlich entfallenden (wie beispielsweise bei Versicherungsunternehmen) Rolle der OeNB in der Beaufsichtigung dieser Unternehmen, weshalb relevante Teile der erforderlichen Expertise (z.B. Geschäftsmodell, Kritikalität bestimmter Systeme) gegebenenfalls lediglich in der FMA vorhanden sind. Solche Punkte sind von der FMA im Rahmen der Bescheinigung gemäß Abs 1 demzufolge auch nicht auf Basis der gutachtlichen Äußerung der Oesterreichischen Nationalbank zu beurteilen und vom Gutachtensauftrag auszunehmen. Bei Versicherungsunternehmen und anderen Unternehmen, bei deren Beaufsichtigung der OeNB grundsätzlich keine Rolle zukommt, ist daher insbesondere die Beurteilung, was die kritischen oder wichtigen Funktionen sowie die ihnen zugrundeliegenden IKT-Systeme, -Prozesse und -Technologien gemäß Art. 26 Abs. 2 der Verordnung (EU) 2022/2554 eines Unternehmens sind, vom Gutachtensauftrag auszunehmen.
Abs. 3 soll gemeinsam mit den Änderungen von § 18 und § 19 FMABG schließlich sicherstellen, dass der OeNB jene Kosten rückerstattet werden, die in Zusammenhang mit Unternehmen entstehen, bei denen es außerhalb der Erstellung von Gutachten gemäß der vorliegenden Bestimmung keine Rolle der OeNB in der Beaufsichtigung gibt. In Bereichen, in denen die OeNB bereits eine Rolle in der Beaufsichtigung außerhalb der Erstellung von Gutachten gemäß der vorliegenden Bestimmung hat, soll die Zuordnung der Kosten entsprechend den bereits bestehenden und bewährten Regelungen der jeweiligen sektoralen Materiengesetze erfolgen (siehe dazu die Vorgaben des § 4 Abs. 1 dieses Bundesgesetzes).
Zu § 6:
Diese Bestimmung setzt Art. 50 Abs. 3 der Verordnung (EU) 2022/2554 um. Es sollen für Verstöße gegen die Verordnung wirksame, verhältnismäßige und abschreckende Sanktionen festgelegt werden.
Zu beachten ist, dass mit der Umsetzung der Richtlinie (EU) 2022/2556 die Verpflichtung zur Einhaltung bestimmter Bestimmungen der Verordnung (EU) 2022/2554 auch in sektorale nationale Rechtsakte aufgenommen werden muss (vgl. Artikel 3 bis 12 dieses Bundesgesetzes). Führt dies dazu, dass eine Tat unter mehrere einander nicht ausschließende Strafdrohungen fällt, kommt § 22 Abs. 8 FMABG zur Anwendung.
Zu § 7
Die Bestimmung sieht die direkte Verantwortlichkeit und Sanktionierung von juristischen Personen vor und ist § 99d BWG nachgebildet.
Zu § 8
Entsprechend Art. 51 Abs. 2 der Verordnung (EU) 2022/2554 soll klarstellend eine Bestimmung zur Wahrnehmung der Aufsichtsbefugnisse zur Verhängung verwaltungsrechtlicher Sanktionen und Maßnahmen aufgenommen werden.
Zu § 9
Art. 54 der Verordnung (EU) 2022/2554 legt unmittelbar Bestimmungen zur öffentlichen Bekanntmachung verwaltungsrechtlicher Sanktionen fest. Mit § 7 sollen spezifische verfahrensrechtliche Vorkehrungen nach dem Vorbild anderer Finanzmarktgesetze ergänzt werden (vgl. beispielsweise zu Abs. 5 § 22c Abs. 2 FMABG).
Zu § 10
Entsprechend den bereits bestehenden Regelungen in anderen Aufsichtsgesetzen (z. B. § 14 PEPP-Vollzugsgesetz) soll auch in diesem Bundesgesetz eine Verordnungsermächtigung für die elektronische Übermittlung von Daten an die FMA über die „Incoming Plattform“ geschaffen werden. Bei den Einbringungen über die Incoming Plattform handelt es sich grundsätzlich um keine eigentlichen Meldedaten im Sinne von periodischen, vorwiegend quantitativen Meldungen im Rahmen von standardisierten Meldefeldern.
Zu § 11
Diese Bestimmung soll sicherstellen, dass die von der FMA gemäß diesem Bundesgesetz verhängten Geldstrafen dem Bund zufließen.
Zu § 12
Da die von der FMA gemäß DORA zu überwachenden Finanzunternehmen bereits einem umfassenden Aufsichtsregime nach den für sie einschlägigen Aufsichtsgesetzen unterliegen, erscheint es zweckmäßig, die anfallenden Aufsichtskosten demjenigen Rechnungskreis oder Subrechnungskreis zuzuordnen, dem die Wahrnehmung von Aufsichtsaufgaben nach den für das jeweilige Finanzunternehmen einschlägigen Aufsichtsgesetzen zuzuordnen ist.
Zu § 13
Bestimmung zur sprachlichen Gleichbehandlung.
Zu § 14
Die Bestimmung stellt klar, dass Verweise auf andere Bundesgesetze dynamisch sind.
Zu § 15 und 16
Inkrafttretens- und Vollzugsbestimmung.
Zu Artikel 2 (Änderung des Alternative Investmentfonds Manager-Gesetzes)
Zu Z 1 (§ 16 Abs. 2):
Mit Abs. 2 wird Art. 18 Absatz 1 Unterabsatz 2 der Richtlinie 2011/61/EU über die Verwalter alternativer Investmentfonds und zur Änderung der Richtlinien 2003/41/EG und 2009/65/EG und der Verordnungen (EG) Nr. 1060/2009 und (EU) Nr. 1095/2010, in der Fassung der Richtlinie (EU) 2022/2556, umgesetzt.
Zu Z 2 (§ 71 Abs. 2 Z 31):
Verweisergänzung.
Zu Z 3 (§ 71a Abs. xx):
Umsetzungshinweis.
Zu Z 4 (§ 74 Abs. xx):
Inkrafttretensbestimmung.
Zu Artikel 3 (Änderung des Bankwesengesetzes)
Zu Z 1 (§ 39 Abs. 2):
Hiermit wird die Ergänzung in Art. 74 Abs. 1 1. Unterabsatz der Richtlinie 2013/36/EU umgesetzt, die sich aufgrund der Richtlinie (EU) 2022/2556 ergibt. Hingegen findet die Umsetzung der Ergänzung in Art. 85 Abs. 2 der Richtlinie 2013/36/EU (operationelles Risiko), die sich aufgrund der Richtlinie (EU) 2022/2556 ergibt, nicht unmittelbar in diesem Bundesgesetz statt, sondern hat aufgrund des § 39 Abs. 2b und 4 Z 5 dieses Bundesgesetzes durch eine Anpassung der Verordnung der FMA über die ordnungsgemäße Erfassung, Steuerung, Überwachung und Begrenzung der Risikoarten gemäß § 39 Abs. b BWG (Kreditinstitute-Risikomanagementverordnung – KI-RMV), BGBl. II Nr. 487/2013, zu erfolgen.
Zu Z 2 (§ 60 Abs. 3):
Hiermit werden die Ergänzungen bzw. Klarstellungen in Art. 65 Abs. 3 Buchstabe a Ziffer vi der Richtlinie 2013/36/EU umgesetzt, die sich aufgrund der Richtlinie (EU) 2022/2556 ergeben. Da in § 70 Abs. 1 Z 1 im Hinblick auf den Umfang der behördlichen Auskunfts,- Vorlage- und Einschaurechte auf § 60 Abs. 3 verwiesen wird, werden die diesbezüglich aufgrund der Richtlinie (EU) 2022/2556 notwendigen Ergänzungen bzw. Klarstellungen ebenfalls in § 60 Abs. 3 implementiert. Es wird im Zusammenhang mit der Umsetzung des Art. 65 Abs. 3 Buchstabe a Ziffer vi der Richtlinie 2013/36/EU in der Fassung der Richtlinie (EU) 2022/2556 weiters auf die Ergänzungen in § 70 Abs. 1 hingewiesen.
Zu Z 3 (§ 69 Abs. 2):
Hiermit wird Art. 97 Abs. 1 Buchstabe d der Richtlinie 2013/36/EU in der Fassung der Richtlinie (EU) 2022/2559 umgesetzt.
Zu Z 4 (§ 70 Abs. 1 Z 1 und 3):
Durch die Anpassungen in § 70 Abs. 1 Z 1 und 3 wird in Ergänzung zu den Änderungen in § 60 Abs. 3 dieses Bundesgesetzes Art. 65 Abs. 3 Buchstabe a Ziffer vi der Richtlinie 2013/36/EU in der Fassung der Richtlinie (EU) 2022/2556 umgesetzt. Gleichzeitig erfolgt eine inhaltliche Optimierung der bisherigen Umsetzung des Art. 65 Abs. 3 Buchstabe a Ziffer vi der Richtlinie 2013/36/EU, indem explizite unmittelbare Aufsichtsbefugnisse der FMA gegenüber jeglichen Dritten vorgesehen werden, an die die Durchführung betrieblicher Funktionen oder Tätigkeiten ausgelagert wurden, einschließlich IKT-Drittdienstleistern gemäß Kapitel V der Verordnung (EU) 2022/2554. Derartige Befugnisse für die FMA finden sich auch schon in anderen einschlägigen nationalen Materiengesetzen, etwa in § 11 des Wertpapierfirmengesetzes – WPFG, BGBl. I Nr. 237/2022 oder auch § 274 Abs. 8 VAG 2016.
Zu Z 5 (§ 105 Abs. 22):
Hiermit wird festgelegt, auf welche Fassung der Verordnung (EU) 2022/2554 in diesem Bundesgesetz verwiesen wird.
Zu Z 6 (§ 107 Abs. 114):
Es handelt sich um eine Bestimmung zum Inkrafttreten.
Zu Z 7 (Zu § 109 Abs. 3):
Es handelt sich um einen Umsetzungshinweis.
Zu Artikel 4 (Änderung des Börsegesetzes 2018)
Zu Z 1 (§ 10 Abs. 1):
Setzt Art. 48 Abs. 1 der Richtlinie (EU) 2014/65 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 2 (§ 11 Abs. 1):
Setzt Art. 48 Abs. 6 der Richtlinie (EU) 2014/65 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 3 (§ 21 Abs. 1 Z 2):
Setzt Art. 47 Abs. 1 Buchstabe b der Richtlinie (EU) 2014/65 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 4 (§ 21 Abs. 1 Z 3):
Setzt die Streichung von Art. 47 Abs. 1 Buchstabe c der Richtlinie (EU) 2014/65 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 5 (§ 190 Abs. 5 Z 19 und 20):
Verweisergänzung.
Zu Z 6 (§ 192a Abs. 8):
Umsetzungshinweis.
Zu Z 7 (§ 194 Abs. 12):
Inkrafttretensbestimmung.
Zu Artikel 5 (Änderung des Finanzmarktaufsichtsbehördengesetzes)
Zu Z 1 bis 4 (§ 2 Abs. 1 Z 23, § 2 Abs. 2 Z 12, § 2 Abs. 2 Z 20 und § 2 Abs. 4 Z 5)
Die Verordnung (EU) 2022/2554 und das DORA-VG soll jeweils in den Aufgabenbereich der Banken-, Versicherungs-, Wertpapier- und Pensionskassenaufsicht aufgenommen werden. Nachdem die Zuständigkeit der FMA durch unmittelbar anwendbares EU-Recht der FMA zugewiesen wird (Art. 46 der Verordnung (EU) 2022/2554), erscheint es notwendig, in diesen Bestimmungen ausnahmsweise auch unmittelbar auf die entsprechende EU-Verordnung und nicht nur auf das zugehörige nationale Vollzugsgesetz zu verweisen.
Zu Z 5 bis 7 (§ 18 Abs. 1, § 19 Abs. 1 und § 19 Abs. 5f)
Mit diesen Änderungen sollen gemeinsam mit § 5 Abs. 3 DORA-VG sichergestellt werden, dass die FMA der OeNB jene Kosten erstattet, die in Zusammenhang mit erweiterten Tests von jenen Unternehmen anfallen, im Rahmen derer Beaufsichtigung die OeNB außerhalb der Erstellung von Gutachten keine Rolle hat. Mit den Änderungen sollen zu den Bestimmungen zu gutachertlichen Äußerungen in Rahmen des DORA-VG bestehende Bestimmungen im FMABG zu Gutachten im Rahmen von § 182 Abs. 7 VAG 2016 und § 26 Abs. 4 WPFG gespiegelt werden. Da unterschiedliche Kategorien von Unternehmen betroffen sein können, soll die Zuordnung zu jenem Rechnungskreis erfolgen, dem auch die Kosten der Wahrnehmung von anderen Aufsichtsaufgaben in Bezug auf den entsprechenden Rechtsträger zugeordnet werden.
Zu Z 8 (§ 28 Abs. X)
Inkrafttretensbestimmung.
Zu Artikel 6 (Änderung des Investmentfondsgesetzes 2011)
Zu Z 1 (§ 10 Abs. 4a):
Abs. 4a dient der Umsetzung von Art. 12 Absatz 1 Unterabsatz 2 Buchstabe a der Richtlinie 2009/65/EG zur Koordinierung der Rechts- und Verwaltungsvorschriften betreffend bestimmte Organismen für gemeinsame Anlagen in Wertpapieren (OGAW), ABl. Nr. L 302 vom 17.11.2009 S 32, in der Fassung der Richtlinie (EU) 2022/2556, zur ausdrücklichen Erfassung von Netzwerk- und Informationssystemen, die im Einklang mit der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011, ABl. Nr. L 333 vom 27.12.2022 S. 1 eingerichtet und verwaltet werden.
Zu Z 2 (§ 36 Abs. 4 erster und dritter Satz):
Verweisanpassung. Der eingefügte § 10 Abs. 4a InvFG 2011 ist auch von den in § 36 Abs. 4 erster Satz und dritter Satz angeführten Verwaltungsgesellschaften einzuhalten.
Zu Z 3 (§ 196 Abs. 2 Z 29)
Verweisergänzung.
Zu Z 4 (§ 196a Abs. xx)
Umsetzungshinweis.
Zu Z 5 (§ 200 Abs. xx)
Inkrafttretensbestimmung.
Zu Artikel 7 (Änderung des Pensionskassengesetzes)
Zu Z 1 (§ 11e Abs. 5):
Setzt Art. 21 Abs. 5 der Richtlinie (EU) 2016/2341 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 2 (§ 49b Abs. 1a Z 11 und 12):
Verweisergänzung.
Zu Z 3 (§ 49c Abs. 5):
Umsetzungshinweis.
Zu Z 4 (§ 51 Abs. 45):
Inkrafttretensbestimmung.
Zu Artikel 8 (Änderung des Sanierungs- und Abwicklungsgesetzes)
Zu Z 1 (§ 20 Abs. 5 Z 3):
Setzt Art. 10 Abs. 7 Buchstabe c der Richtlinie (EU) 2014/59 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 2 (§ 20 Abs. 5 Z 17):
Setzt Art. 10 Abs. 7 Buchstabe q der Richtlinie (EU) 2014/59 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 3 (Anlage zu § 9 Z 16):
Setzt Abschnitt A Nummer 16 der Richtlinie (EU) 2014/59 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 4 (Anlage zu § 21 Z 14):
Setzt Abschnitt B Nummer 14 der Richtlinie (EU) 2014/59 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 5 (Anlage zu § 21 Z 14a):
Setzt Abschnitt B Nummer 14a der Richtlinie (EU) 2014/59 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 6 (Anlage zu § 27 Z 4):
Setzt Abschnitt C Nummer 4 der Richtlinie (EU) 2014/59 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 7 (Anlage zu § 27 Z 4a):
Setzt Abschnitt C Nummer 4a der Richtlinie (EU) 2014/59 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 8 (§ 164 Abs. 2 Z 11):
Verweisergänzung.
Zu Z 9 (§ 167 Abs. 13):
Inkrafttretensbestimmung.
Zu Z 10 (§ 168 Abs. 3):
Umsetzungshinweis.
Zu Artikel 9 (Änderung des Versicherungsaufsichtsgesetzes 2016)
Zu Z 2 (§ 107 Abs. 4):
Setzt Art. 41 Abs. 4 der Richtlinie 2009/138/EG in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 3 (§ 340 Abs. 14):
Inkrafttretensbestimmung.
Zu Z 4 (§ 341a):
Umsetzungshinweis.
Zu Z 5 (§ 342 Abs. 3 Z 17):
Verweisergänzung.
Zu Artikel 10 (Änderung des Wertpapieraufsichtsgesetzes 2018)
Zu Z 1 (§ 27 Abs. 1):
Setzt Art. 17 Abs. 1 der Richtlinie 2014/65/EU in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 2 (§ 29 Abs. 4):
Setzt Art. 16 Abs. 4 der Richtlinie 2014/65/EU in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 3 (§ 29 Abs. 6):
Setzt Art. 16 Abs. 5 dritter Unterabsatz der Richtlinie 2014/65/EU in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 4 (§ 32):
Setzt Art. 16 Abs. 5 zweiter Unterabsatz der Richtlinie 2014/65/EU in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 5 (§ 114 Abs. 4 Z 23 und 24):
Verweisergänzung.
Zu Z 6 (§ 114a Abs. 8):
Umsetzungshinweis.
Zu Z 7 (§ 117 Abs. 11):
Inkrafttretensbestimmung.
Zu Artikel 11 (Änderung des Zahlungsdienstegesetzes 2018)
Zu Z 1 (§ 3 Abs. 3 Z 10):
Die Anpassung setzt Art. 3 Buchstabe j der Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl. Nr. L 337 vom 23.12.2015 S. 35, in der Fassung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153, um.
Zu Z 2 (§ 9 Abs. 1 Z 5):
Setzt Art. 5 Abs. 1 Unterabsatz 1 Buchstabe e der Richtlinie (EU) 2015/2366 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 3 (§ 9 Abs. 1 Z 6):
Setzt Art. 5 Abs. 1 Unterabsatz 1 Buchstabe f der Richtlinie (EU) 2015/2366 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 4 (§ 9 Abs. 1 Z 8):
Setzt Art. 5 Abs. 1 Unterabsatz 1 Buchstabe h der Richtlinie (EU) 2015/2366 in der Fassung der Richtlinie (EU) 2022/2556 um.
Zu Z 5 (§ 9 Abs. 3):
Die Neufassung des § 9 Abs. 3 dient der Anpassung an Art. 5 Abs. 1 Unterabsatz 3 der Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl. Nr. L 337 vom 23.12.2015 S. 35, in der Fassung der Richtlinie (EU) 2022/2556 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor, ABl. Nr. L 333 vom 27.12.2022 S. 153 und erweitert die Nachweispflicht des Antragstellers dahingehend, dass dieser, nunmehr auch für Systeme der Informations- und Kommunikationstechnologie, anzugeben hat, wie durch die in Abs. 1 Z 10 genannten Maßnahmen ein hohes Maß an digitaler operationaler Resilienz entsprechend Kapitel II der Verordnung (EU) 2022/2554 gewährleistet wird. Die Verpflichtung gilt gleichermaßen für den Antragsteller oder die Unternehmen, an welche dieser den Betrieb oder Teile des Betriebs seiner Software und IKT-Systeme auslagert.
Zu Z 6 (§ 21 Abs. 1):
Die Anpassung des § 21 Abs. 1 dient der Verpflichtung von Zahlungsinstituten, auch für sämtliche Systeme der Informations- und Kommunikationstechnologie vorzusehen, dass ihre Auslagerung weder die Qualität der internen Kontrolle des Zahlungsinstituts noch die Beaufsichtigung des Zahlungsinstituts durch die FMA im Hinblick auf die Erfüllung der Aufsichtsanforderungen des ZaDiG 2018 wesentlich beeinträchtigt.
Zu Z 7 (§ 85 Abs. 1a):
§ 85 Abs. 1a dient der Klarstellung, dass die in Abs. 1 vorgesehene Verpflichtung zur Schaffung eines Rahmens angemessener Risikominderungsmaßnahmen und Kontrollmechanismen unbeschadet der in Kapitel II der Verordnung (EU) 2022/2554 enthaltenen Bestimmungen auch auf Zahlungsdienstleister gemäß § 1 Abs. 3 Z 1 bis 3 (Kreditinstitute, Zahlungsinstitute und E-Geld-Institute), Kontoinformationsdienstleister gemäß § 4 Z 19, Zahlungsinstitute, die die eine Ausnahme gemäß Art. 32 Abs. 1 der Richtlinie (EU) 2015/2366 gilt und E-Geld-Institute, für die eine Ausnahme gemäß Art. 9 Abs. 1 der Richtlinie 2009/110/EG gilt, anwendbar ist.
Zu Z 8 (§ 86 Abs. 7):
§ 86 Abs. 7 dient dem Ausschluss der Anwendbarkeit der gemäß Abs. 1 und Abs. 3 vorgesehenen Mitteilungs- und Übermittlungspflichten auf Zahlungsdienstleister gemäß § 1 Abs. 3 Z 1 bis 3 (Kreditinstitute, Zahlungsinstitute und E-Geld-Institute), Kontoinformationsdienstleister gemäß § 4 Z 19, Zahlungsinstitute, die die eine Ausnahme gemäß Art. 32 Abs. 1 der Richtlinie (EU) 2015/2366 gilt und E-Geld-Institute, für die eine Ausnahme gemäß Art. 9 Abs. 1 der Richtlinie 2009/110/EG gilt.
Zu Z 9 (§ 117 Abs. 4 Z 11 und 12):
Verweisergänzung.
Zu Z 10 (§ 117a Abs. 5):
Umsetzungshinweis.
Zu Z 11 (§ 119 Abs. 5):
Inkrafttretensbestimmung.