Seit dem 1. Februar 2025 gilt in Liechtenstein das EWR-DORA-Durchführungsgesetz (EWR-DORA-DG), mit dem die EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor in nationales Recht überführt wurde. DORA schafft erstmals einen einheitlichen Rechtsrahmen für das IKT-Risikomanagement von Finanzunternehmen im gesamten EWR.
Für Banken, Vermögensverwalter und andere regulierte Finanzintermediäre in Liechtenstein bedeutet das: Neue Pflichten bei der IT-Sicherheit, beim Management von IKT-Drittanbietern und bei der Meldung von IT-Vorfällen. Die FMA hat als zuständige Aufsichtsbehörde gemäss Art. 46 DORA bereits erste Meldefristen gesetzt und das Informationsregister eingefordert.
Dieser Artikel gibt einen strukturierten Überblick über die fünf Säulen von DORA, den Anwendungsbereich in Liechtenstein, die Erleichterungen für kleinere Institute und die konkreten Handlungsfelder für die Umsetzung.
Rechtsgrundlage und Zeitplan in Liechtenstein
DORA (Verordnung EU 2022/2554) wurde am 14. Dezember 2022 verabschiedet und ist seit dem 17. Januar 2025 in der gesamten EU anwendbar. Da Liechtenstein als EWR-Mitglied EU-Finanzmarktrecht übernimmt, hat der Landtag am 5. Dezember 2024 das EWR-DORA-Durchführungsgesetz verabschiedet. Es trat am 1. Februar 2025 in Kraft.
Mit dem Inkrafttreten wurde gleichzeitig die bisherige FMA-Weisung 2021/3 zur IKT-Sicherheit für alle DORA-pflichtigen Unternehmen aufgehoben. Finanzintermediäre, die unter den DORA-Anwendungsbereich fallen, unterliegen seither ausschliesslich dem DORA-Regime. Institute, die nicht unter DORA fallen, bleiben weiterhin der FMA-Weisung 2021/3 unterstellt.
Die FMA hat als zuständige Behörde nach Art. 46 DORA die operativen Meldewege eingerichtet. Das Informationsregister für 2025 (Stichtag: 31. März 2025) musste zwischen dem 1. und 14. April 2025 eingereicht werden. Für 2026 gilt ein neuer Rhythmus: Stichtag 31. Dezember 2025, Einreichungsfenster vom 18. Februar bis 18. März 2026.
Anwendungsbereich: Wer ist betroffen?
DORA gilt für nahezu alle regulierten Finanzunternehmen. In Liechtenstein betrifft das insbesondere:
Direkt betroffen: Kreditinstitute (Banken), Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Versicherungs- und Rückversicherungsunternehmen, Einrichtungen der betrieblichen Altersversorgung, Krypto-Dienstleister nach MiCAR, Zentralverwahrer, Handelsplätze und zentrale Gegenparteien sowie Verwalter alternativer Investmentfonds (AIFM) und OGAW-Verwaltungsgesellschaften.
Indirekt betroffen: IKT-Drittdienstleister, die Dienstleistungen für regulierte Finanzunternehmen erbringen. Das kann auch Treuhandgesellschaften betreffen, sofern sie IT-Dienstleistungen (Hosting, Software, Datenverarbeitung) für DORA-pflichtige Kunden erbringen. In diesem Fall können vertragliche Anforderungen aus DORA auf sie durchschlagen: Audit-Rechte, Exit-Strategien, Verfügbarkeitsgarantien und Vorfallmeldepflichten.
Nicht direkt betroffen: Treuhänder und Treuhandgesellschaften, die ausschliesslich unter dem TrHG und SPG tätig sind, fallen grundsätzlich nicht in den DORA-Anwendungsbereich. Für sie gilt weiterhin die FMA-Weisung 2021/3 zur IKT-Sicherheit. Allerdings sollten auch diese Institute die DORA-Anforderungen kennen: Die FMA-Weisung orientiert sich zunehmend an den DORA-Standards, und Kunden aus dem Finanzsektor könnten vertragliche DORA-Compliance auch von ihren Treuhändern verlangen.
Die fünf Säulen von DORA
DORA ist in fünf thematische Säulen gegliedert, die zusammen einen durchgängigen Rahmen für die digitale operationale Resilienz bilden. Die FMA Liechtenstein hat diese Struktur auf ihrer Website übernommen und verwendet sie als Orientierungsrahmen für die Aufsicht.
Säule 1: IKT-Risikomanagement (Art. 5-16)
Finanzunternehmen müssen einen dokumentierten IKT-Risikomanagementrahmen einrichten und aufrechterhalten. Dieser umfasst die Identifikation aller IKT-Assets und Abhängigkeiten, die Klassifizierung nach Kritikalität, die laufende Überwachung von Schwachstellen und Bedrohungen sowie Schutzmassnahmen (Zugriffskontrolle, Verschlüsselung, Netzwerksicherheit).
Die Verantwortung liegt beim Leitungsorgan. DORA verlangt in Art. 5 Abs. 2 ausdrücklich, dass der Verwaltungsrat oder die Geschäftsleitung die IKT-Risikostrategie genehmigt, deren Umsetzung überwacht und über ausreichende Kenntnisse im Bereich IKT-Risiken verfügt. Das ist eine wesentliche Neuerung gegenüber der bisherigen Praxis, in der IKT-Sicherheit oft an die IT-Abteilung delegiert wurde, ohne dass die Geschäftsleitung operativ eingebunden war.
Säule 2: Meldung IKT-bezogener Vorfälle (Art. 17-23)
DORA harmonisiert die Meldepflichten für schwerwiegende IKT-Vorfälle im gesamten EWR. Finanzunternehmen müssen Verfahren zur Erkennung, Klassifizierung und Meldung von Vorfällen einrichten. Ein schwerwiegender Vorfall muss der FMA über das e-Service-Portal gemeldet werden.
Die Klassifizierung erfolgt anhand definierter Kriterien: Dauer des Vorfalls, Anzahl betroffener Kunden, geographische Ausbreitung, Datenverlust, Auswirkungen auf kritische Dienste und wirtschaftlicher Schaden. Zusätzlich zur Pflichtmeldung schwerwiegender Vorfälle ermöglicht DORA auch die freiwillige Meldung relevanter Cyberbedrohungen.
Säule 3: Testen der digitalen operationalen Resilienz (Art. 24-27)
Finanzunternehmen müssen ein Testprogramm als festen Bestandteil ihres IKT-Risikomanagements etablieren. Das umfasst grundlegende Tests wie Schwachstellenscans, Netzwerksicherheitsprüfungen und Kompatibilitätstests. Diese Tests müssen regelmässig durchgeführt und dokumentiert werden.
Für systemrelevante Institute verlangt DORA zusätzlich bedrohungsbasierte Penetrationstests (Threat-Led Penetration Testing, TLPT) nach dem TIBER-EU-Rahmenwerk. In Liechtenstein dürfte das primär die grösseren Banken betreffen. Die FMA bestimmt, welche Institute TLPT durchführen müssen, basierend auf deren Grösse, Komplexität und systemischer Bedeutung.
Säule 4: Management des IKT-Drittparteienrisikos (Art. 28-30)
Diese Säule ist für viele Finanzunternehmen die aufwendigste. DORA verlangt eine systematische Erfassung und Steuerung aller Abhängigkeiten von IKT-Drittanbietern. Konkret müssen Institute ein Informationsregister führen, das alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern dokumentiert. Dieses Register muss jährlich der FMA eingereicht werden.
Verträge mit IKT-Drittanbietern müssen bestimmte Mindestinhalte enthalten: Leistungsbeschreibung, Verfügbarkeitsgarantien, Audit-Rechte für das Finanzunternehmen und die FMA, Regelungen zur Datensicherheit, Vorfallmeldepflichten des Anbieters, Exit-Strategien und Übergangsfristen bei Vertragskündigung. Bestehende Verträge müssen geprüft und gegebenenfalls nachverhandelt werden.
IKT-Drittdienstleister, die als "kritisch" eingestuft werden, unterliegen einer direkten Überwachung durch die europäischen Aufsichtsbehörden (ESAs). Die Einstufung erfolgt auf EU-Ebene anhand von Kriterien wie Marktkonzentration und systemischer Bedeutung.
Säule 5: Informationsaustausch (Art. 45)
DORA schafft einen Rahmen für den freiwilligen Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen. Der Austausch soll die kollektive Abwehrfähigkeit stärken, indem Indikatoren für Kompromittierung (IoC), Angriffsmuster und Schwachstellen geteilt werden. Die Teilnahme ist freiwillig, wird von der FMA aber ausdrücklich empfohlen.
Erleichterungen für kleinere Institute
DORA folgt dem Proportionalitätsprinzip. Für Mikrounternehmen (weniger als 10 Mitarbeitende und Jahresumsatz oder Bilanzsumme unter 2 Mio. EUR bzw. CHF-Äquivalent) gelten vereinfachte Anforderungen. Das betrifft in Liechtenstein eine Reihe kleinerer Vermögensverwalter und spezialisierter Finanzdienstleister.
Die Erleichterungen betreffen mehrere Bereiche: Der IKT-Risikomanagementrahmen kann vereinfacht ausgestaltet werden. Es entfällt die Pflicht, eine eigene Funktion zur Überwachung von IKT-Drittanbieterverträgen einzurichten. Die Anforderungen an die interne Revision im IKT-Bereich sind reduziert. Die Dokumentationspflichten sind weniger umfangreich, und die Zeiträume zwischen Überprüfungen können länger sein.
Wichtig: Die Erleichterungen betreffen den Umfang der Pflichten, befreien aber nicht von den Grundpflichten. Auch Mikrounternehmen müssen ein IKT-Risikomanagement betreiben, Vorfälle melden und das Informationsregister führen. Die vereinfachte Form muss dem Risikoprofil des Unternehmens angemessen sein.
Das Informationsregister: Was die FMA konkret verlangt
Das Informationsregister nach Art. 28 Abs. 3 DORA ist eine der ersten konkreten Meldepflichten, die in Liechtenstein umgesetzt wurde. Es erfasst alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern und dient der FMA als Grundlage für die Analyse systemischer Abhängigkeiten im Finanzsektor.
Inhaltlich muss das Register pro Vertrag mindestens folgende Angaben enthalten: Name und Sitz des IKT-Drittdienstleisters, Art der erbrachten Dienstleistung, Einstufung als kritisch oder wichtig, Vertragsbeginn und -laufzeit, Kündigungsfristen, Standort der Datenverarbeitung und Unterauftragnehmer.
Die Einreichung erfolgt über das e-Service-Portal der FMA. Für 2025 galt ein verkürztes Einreichungsfenster (1. bis 14. April 2025, Stichtag 31. März 2025). Ab 2026 gilt der reguläre Rhythmus: Stichtag 31. Dezember, Einreichung zwischen 18. Februar und 18. März des Folgejahres. Die FMA leitet die Register an die europäischen Aufsichtsbehörden (ESAs) weiter.
Handlungsfelder für die Umsetzung
Finanzunternehmen in Liechtenstein, die ihre DORA-Compliance noch aufbauen oder vervollständigen, sollten die folgenden Handlungsfelder priorisieren:
IKT-Asset-Inventar erstellen: Alle IT-Systeme, Anwendungen und Datenbestände erfassen und nach Kritikalität klassifizieren. Ohne ein aktuelles Inventar ist kein strukturiertes Risikomanagement möglich.
Verträge mit IKT-Drittanbietern prüfen: Bestehende Verträge gegen die DORA-Mindestanforderungen abgleichen. Fehlende Klauseln (Audit-Rechte, Exit-Strategien, Vorfallmeldung) nachverhandeln. Das Informationsregister aufbauen und aktuell halten.
Vorfallmeldeprozess etablieren: Verfahren zur Erkennung, Klassifizierung und Meldung von IKT-Vorfällen einrichten. Zuständigkeiten definieren, Meldefristen kennen und den Zugang zum e-Service-Portal der FMA sicherstellen.
Testprogramm aufsetzen: Regelmässige Schwachstellenscans und Sicherheitstests planen und durchführen. Die Ergebnisse dokumentieren und in das Risikomanagement einfliessen lassen.
Geschäftsleitung einbinden: Die Verantwortung des Leitungsorgans nach Art. 5 DORA operationalisieren. Regelmässige Berichterstattung zur IKT-Risikolage einrichten, Schulungen für Verwaltungsräte und Geschäftsleitungsmitglieder durchführen.
DORA und AML: Zwei Seiten der Compliance
DORA und das AML-Regime (SPG, GwG, künftig AMLR) adressieren unterschiedliche Risikobereiche, teilen aber strukturelle Gemeinsamkeiten. Beide verlangen einen risikobasierten Ansatz, eine dokumentierte Governance, regelmässige Überprüfungen und eine funktionierende Meldekultur. Für Finanzunternehmen, die beide Pflichtenbereiche gleichzeitig aufbauen oder modernisieren, ergeben sich Synergien:
Das IKT-Risikomanagement nach DORA kann in das bestehende operationelle Risikomanagement integriert werden, statt als isoliertes IT-Projekt behandelt zu werden. Die Vorfallmeldung nach DORA folgt einer ähnlichen Logik wie die Verdachtsmeldung an die FIU nach SPG: Erkennung, Bewertung, Eskalation, Meldung, Dokumentation. Und das Drittparteienmanagement nach DORA überlappt mit der Auslagerungskontrolle, die die FMA auch im AML-Kontext erwartet.
Finanzunternehmen, die ihre Compliance-Architektur ganzheitlich denken, vermeiden Doppelspurigkeiten und schaffen eine Governance-Struktur, die für beide Regulierungsbereiche funktioniert.
Wo steht Ihr Institut bei DORA?
SilverSeed unterstützt Banken und Finanzintermediäre in Liechtenstein bei der strukturierten DORA-Umsetzung. Von der Gap-Analyse über das Informationsregister bis zur Integration in die bestehende Compliance-Architektur. In einem Erstgespräch klären wir, wo Ihr grösster Handlungsbedarf liegt.
Fazit
DORA bringt für Finanzunternehmen in Liechtenstein eine neue Dimension der Compliance: neben AML, Conduct und Prudential kommt jetzt die digitale operationale Resilienz als eigenständiger Aufsichtsbereich hinzu. Die Verordnung gilt seit Februar 2025, die ersten Meldefristen sind bereits abgelaufen, und die FMA baut ihre Aufsichtspraxis laufend aus. Für Banken und Vermögensverwalter ist die Umsetzung kein optionales IT-Projekt, sondern eine regulatorische Pflicht auf der gleichen Stufe wie das AML-Compliance-Programm. Wer die fünf Säulen strukturiert angeht und die vorhandenen Erleichterungen für kleinere Institute nutzt, kann die Anforderungen mit angemessenem Aufwand erfüllen.