Weltweit erfuhren Unternehmen im Jänner 2026 laut dem „Monthly Cyber Threat Report“ des Cybersicherheitsspezialisten Check Point pro Woche im Schnitt 2.090 Cyberabgriffe. Im Vergleich zum Vorjahreszeitraum entspricht das einem Anstieg von 17 Prozent. In Österreich erhöhte sich die Cyberangriffsrate um 14 Prozent auf 1.676 Attacken pro Woche.
Um die digitale Resilienz von Unternehmen, Banken und Behörden zu schützen, trat bereits am 17. Jänner 2025 die EU-Verordnung DORA in Kraft.
Auch die europäische NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen für Firmen und Institutionen. Auf EU-Ebene galt sie bereits seit 2023 und war von den Mitgliedsstaaten bis zum 17. Oktober 2024 in geltendes Recht umzusetzen. In Österreich wird sie laut der Wirtschaftskammer des Landes nach der laufenden Implementierungsphase am 1. Oktober 2026 offiziell in Kraft treten.
Unternehmen, für die diese gesetzlichen Vorgaben gelten, sollten sie im eigenen Interesse betrieblich forcieren. Zwar haben viele Firmen inzwischen entsprechende Strukturen geschaffen. Die praktische Umsetzung scheitert jedoch an fehlenden Erfahrungswerten und mangelnder organisatorischer Kapazität.
DORA und NIS-2: Warum bestehende Compliance-Lücken mit großen Risiken verbunden sind
Als EU-Verordnung galt DORA direkt und ohne die nationale Umsetzung in den Mitgliedsstaaten. Folglich wird sie seit dem 17. Jänner 2025 von der FMA in Österreich durchgesetzt.
Die vollständige Compliance zum Stichtag 2025 erreichten laut der Deloitte Wave 3 Survey zur DORA-Umsetzung jedoch nur 50 Prozent der Finanzinstitute in der EU. 38 Prozent strebten sie bis zum Jahr 2026 an und zwölf Prozent fehlte zum Zeitpunkt der Studie noch ein konkreter Umsetzungsplan.
Ein ernüchterndes Ergebnis. Dabei zeigen die Studienergebnisse: Nicht die Kosten sind das primäre Problem, sondern die organisatorische Kapazität und die fehlende Praxiserfahrung.
Sinnvoll für Entscheider sind daher DORA- und NIS-2-Seminare, also Schulungen zu den neuen EU-Vorgaben für IT-Sicherheit und digitale Resilienz. Sie vermitteln, wie Unternehmen die Anforderungen der DORA-Verordnung sowie der NIS-2-Richtlinie praktisch umsetzen – etwa in den Bereichen Risikomanagement, Cybersicherheit, Meldepflichten und Audit-Vorbereitung.
Bleiben die Compliance-Lücken jedoch bestehen, gilt gleiches für das Risiko eines Cyberangriffs. Wie hoch die Gefahr einer solchen Attacke ist, scheinen jedoch viele Entscheidungsträger bislang zu unterschätzen.
So ergab eine 2024 veröffentlichte EY-Umfrage unter 201 Geschäftsführern sowie Führungskräften aus den Bereichen IT-Sicherheit und Datenschutz: Nur rund ein Drittel der Entscheider schätzte das Risiko eines Cyberangriffs auf das eigene Unternehmen als hoch ein.
Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich, sah dieses Ergebnis damals als alarmierend an. Denn das Bedrohungspotenzial durch Cyberangriffe nähme täglich zu und unterstreiche laut ihm die Notwendigkeit, Sicherheitsmaßnahmen laufend auszubauen.
Die Cybersicherheit in Firmen, Banken und Behörden sollte daher als integraler Bestandteil der Unternehmensstrategie betrachtet werden.
Warum Fehler bei der DORA- und NIS-2-Umsetzung zu empfindlichen Sanktionen führen können
Sowohl die DORA-Verordnung als auch die NIS-2-Richtlinie zielen darauf ab, die IT-Sicherheit in Unternehmen und Instituten zu erhöhen.
Insbesondere die Umsetzung des Digital Operational Resilience Act trifft in der Umsetzung jedoch auf drei gravierende Hürden. Laut der European Survey on DORA – 2025 edition, in deren Rahmen 36 Finanzdienstleister aus 28 EU-Ländern befragt wurden, sind das:
- Das Register of Information: 46 Prozent der befragten Unternehmen sahen die ROI als größte Einzelherausforderung bei der DORA-Umsetzung an. Einer der Gründe: Sie wissen nicht vollständig, welche ICT-Dienste sie überhaupt nutzen.
- ICT-Drittanbieter-Management: 39 Prozent der Finanzinstitute haben bis zu sieben Vollzeitkräfte ausschließlich für die DORA-Compliance abgestellt. Denn beim Drittanbieter-Management verlangt die Verordnung eine aktive Sicherheitsbewertung sowie die Sicherstellung vertraglich verankerter Resilienz-Standards. Acht Prozent der befragten Finanzdienstleister konnten den dafür notwendigen Personalbedarf zum Zeitpunkt der Studie nicht einmal schätzen.
- Resilienz-Testing: Ein Großteil der Finanzinstitute kennt zwar die Testpflichten, die DORA für die digitale operative Resilienz vorschreibt. Allerdings fehlen sowohl intern als auch extern die Ressourcen, um diese fristgerecht umsetzen zu können.
Scheitert aufgrund dieser Herausforderungen die Umsetzung der DORA-Verordnung, drohen nicht nur erhöhte Sicherheitsrisiken in den betroffenen Unternehmen. Auch für Entscheider kann es finanzielle Konsequenzen geben.
Denn die Verordnung verschärft die Haftung auf allen Ebenen. Dabei trifft das mehrstufig angelegte Sanktionsregime nicht nur das Unternehmen selbst, sondern auch die verantwortlichen Personen.
Werden etwa einer Bank Compliance-Versäumnisse nachgewiesen, kann sie mit einem Bußgeld von bis zu zwei Prozent ihres weltweiten Jahresumsatzes belegt werden. Liegt dieser etwa bei zwei Milliarden Euro, entspräche die potenzielle Strafe 40 Millionen Euro.
Zudem droht den Verantwortlichen die persönliche Haftung. Das Senior-Management kann demnach mit Sanktionen bis zu eine Million Euro belangt werden.
Wichtig für die IT-Strategie: Auch kritischen ICT-Drittanbietern können durch nachgewiesene Compliance-Fehler oder -Versäumnisse Geldstrafen drohen. Lead Overseers können Bußgelder von einem Prozent des durchschnittlichen täglichen Weltumsatzes verhängen. Und das pro Tag des Verstoßes.
Dieses Sanktionsregime macht die DORA-Verordnung nicht allein zum Thema des Finanzinstitutes, sondern der gesamten Lieferkette.
