Gesetz vom 5. Dezember 2024 zur Durchführung der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (EWR-DORA-Durchführungsgesetz; EWR-DORA-DG)

Dem nachstehenden vom Landtag gefassten Beschluss erteile Ich Meine Zustimmung:[^1]

I. Allgemeine Bestimmungen

Art. 1

Zweck

1) Dieses Gesetz dient der Durchführung der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor[^2].

2) Die gültige Fassung der EWR-Rechtsvorschriften, auf die in diesem Gesetz Bezug genommen wird, ergibt sich aus der Kundmachung des Beschlusses des Gemeinsamen EWR-Ausschusses im Liechtensteinischen Landesgesetzblatt nach Art. 3 Bst. k des Kundmachungsgesetzes.

Art. 2

Geltungsbereich

1) Dieses Gesetz gilt für Finanzunternehmen und IKT-Drittdienstleister vorbehaltlich der Ausnahmen nach Art. 2 Abs. 3 der Verordnung (EU) 2022/2554.

2) Auf Banken, die nicht als Kreditinstitute nach Art. 4 Abs. 1 Ziff. 1 der Verordnung (EU) Nr. 575/2013[^3] gelten, finden die Bestimmungen der Verordnung (EU) 2022/2554 sowie deren Durchführungsvorschriften Anwendung, so als ob diese Banken Kreditinstitute nach Art. 4 Abs. 1 Ziff. 1 der Verordnung (EU) Nr. 575/2013 wären.

Art. 3

Begriffsbestimmungen und Bezeichnungen

1) Im Sinne dieses Gesetzes gelten als:

• a) "Finanzunternehmen": ein Unternehmen nach Art. 2 Abs. 2 der Verordnung (EU) 2022/2554;

• b) "IKT-Drittdienstleister": ein Unternehmen nach Art. 3 Ziff. 19 der Verordnung (EU) 2022/2554;

• c) "IKT-bezogener Vorfall": ein Ereignis nach Art. 3 Ziff. 8 der Verordnung (EU) 2022/2554.

2) Im Übrigen finden die Begriffsbestimmungen der anwendbaren EWR-Rechtsvorschriften, insbesondere der Verordnung (EU) 2022/2554, ergänzend Anwendung.

3) Unter den in diesem Gesetz verwendeten Personenbezeichnungen sind alle Personen unabhängig ihres Geschlechts zu verstehen, sofern sich die Personenbezeichnungen nicht ausdrücklich auf ein bestimmtes Geschlecht beziehen.

II. Aufsicht

Art. 4

Zuständige Behörde

Die FMA ist die für Liechtenstein zuständige Behörde nach Art. 46 der Verordnung (EU) 2022/2554. Sie nimmt ihre Aufgaben und Befugnisse wahr nach:

• a) der Verordnung (EU) 2022/2554;

• b) diesem Gesetz; sowie

• c) den für die jeweiligen Finanzunternehmen einschlägigen Gesetzen, die zur Umsetzung oder Durchführung der in Art. 46 der Verordnung (EU) 2022/2554 genannten EWR-Rechtsvorschriften erlassen worden sind.

Art. 5

Befugnisse der FMA

1) Die FMA überwacht die Einhaltung der Bestimmungen der Verordnung (EU) 2022/2554 sowie dieses Gesetzes und trifft die dafür notwendigen Massnahmen direkt, in Zusammenarbeit mit anderen Aufsichtsbehörden oder durch Anzeige bei der Staatsanwaltschaft.

2) Die FMA besitzt nach Art. 50 Abs. 1 und 2 der Verordnung (EU) 2022/2554 alle erforderlichen Befugnisse, um ihre Aufgaben zu erfüllen und kann dabei insbesondere:

• a) von den der Verordnung (EU) 2022/2554 und diesem Gesetz Unterstellten sowie von der FMA anerkannten Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften alle für den Vollzug der genannten Verordnung und dieses Gesetzes erforderlichen Informationen und Unterlagen verlangen;

• b) vorbehaltlich anderer Regelungen des EWR-Rechts alle erforderlichen Vor-Ort-Kontrollen von Finanzunternehmen oder IKT-Drittdienstleister durchführen;

• c) Entscheidungen und Verfügungen erlassen;

• d) rechtskräftige Entscheidungen und Verfügungen veröffentlichen;

• e) Empfehlungen, Mitteilungen und Richtlinien erlassen;

• f) ausserordentliche Prüfungen anordnen oder durchführen;

• g) zusätzliche Melde- und Berichtspflichten vorschreiben.

3) Ist es zur Erfüllung ihrer Aufgaben nach der Verordnung (EU) 2022/2554 oder diesem Gesetz erforderlich, verstösst ein Finanzunternehmen oder ein IKT-Drittdienstleister gegen Bestimmungen der genannten Verordnung oder dieses Gesetzes oder ist der FMA nachweislich bekannt, dass innerhalb der nächsten zwölf Monate voraussichtlich gegen die genannte Verordnung oder dieses Gesetz verstossen wird, kann die FMA die notwendigen Massnahmen ergreifen. Zu diesem Zweck kann die FMA insbesondere die Massnahmen nach Art. 50 Abs. 4 der genannten Verordnung treffen.

4) Die Kosten, die bei der Ausübung der Befugnisse nach Abs. 1 bis 3 durch die FMA entstehen, tragen die Betroffenen.

Art. 6

Gebühren

Die Gebühren richten sich nach der Finanzmarktaufsichtsgesetzgebung.

Art. 7

Informationsaustausch und internationale Zusammenarbeit mit in- und ausländischen Behörden und Stellen

1) Die FMA arbeitet im Rahmen ihrer Aufgaben nach der Verordnung (EU) 2022/2554 oder diesem Gesetz mit in- und ausländischen Behörden und Stellen bei der Beaufsichtigung, einer Nachprüfung vor Ort, bei Ermittlungen oder bei der Übermittlung von Informationen eng zusammen. Sie tauscht zur Erfüllung ihrer Aufgaben nach der genannten Verordnung sowie diesem Gesetz im Rahmen der Zusammenarbeit alle erforderlichen Informationen aus.

2) Für die Zwecke der Zusammenarbeit und des Informationsaustausches nach Abs. 1 kann die FMA von allen ihren Befugnissen nach Art. 5 Gebrauch machen und die erforderlichen Informationen von anderen inländischen Behörden anfordern. Erhält die FMA im Rahmen der Zusammenarbeit ein Ersuchen einer zuständigen Behörde aus einem anderen EWR-Mitgliedstaat oder der EFTA-Überwachungsbehörde auf Zusammenarbeit bei einer Überwachung, einer Nachprüfung vor Ort oder einer Ermittlung, kann sie diesem Ersuchen auch dadurch nachkommen, dass sie:

• a) die Nachprüfung vor Ort oder Ermittlungen selbst vornimmt;

• b) der ersuchenden Behörde die Durchführung der Nachprüfung vor Ort oder Ermittlung gestattet; oder

• c) anerkannten Wirtschaftsprüfungsgesellschaften oder Sachverständigen die Durchführung der Nachprüfung vor Ort oder Ermittlung gestattet.

4) Werden Nachprüfungen vor Ort oder Ermittlungen nicht durch die FMA selbst vorgenommen, können Mitarbeiter der FMA die Prüfer der zuständigen Behörde aus einem anderen EWR-Mitgliedstaat, der EFTA-Überwachungsbehörde oder von ihr Beauftragte begleiten.

5) Die FMA kann einer ersuchenden in- und ausländischen Behörde oder Stelle alle Informationen, die diese zur Wahrnehmung ihrer Aufgaben nach der Verordnung (EU) 2022/2554 benötigt, übermitteln, wenn:

• a) die Empfänger bzw. die beschäftigten und beauftragten Personen der zuständigen Behörden einer der in Art. 55 der Verordnung (EU) 2022/2554 geregelten gleichwertigen Geheimhaltungspflicht unterstehen; und

• b) bei Informationen, die aus dem Ausland stammen, eine ausdrückliche Zustimmung jener Behörde, die diese Informationen mitgeteilt hat, vorliegt und gewährleistet ist, dass diese gegebenenfalls nur für jene Zwecke weitergegeben werden, denen diese Behörde zugestimmt hat.

6) Die FMA kann ein Ersuchen auf Zusammenarbeit oder auf Austausch von Informationen nach diesem Artikel nur ablehnen, wenn:

• a) aufgrund derselben Handlungen und gegen dieselben Personen bereits ein Verfahren vor einem inländischen Gericht anhängig ist;

• b) in Liechtenstein gegen die betreffenden Personen aufgrund derselben Handlungen bereits ein rechtskräftiges Urteil ergangen ist; oder

• c) dadurch die Souveränität, Sicherheit, öffentliche Ordnung oder andere wesentliche Landesinteressen Liechtensteins verletzt werden.

7) Im Falle einer Ablehnung teilt die FMA dies der ersuchenden Behörde oder Stelle mit und informiert sie über den Grund der Ablehnung.

8) Zum Zwecke der Zusammenarbeit und des Informationsaustausches kann die FMA mit Behörden und Stellen im In- und Ausland Kooperationsvereinbarungen abschliessen, wenn:

• a) diese Behörden oder Stellen zuständig sind für:

• 1. die Aufsicht über Finanzunternehmen oder IKT-Drittdienstleister nach der Verordnung (EU) 2022/2554;

• 1. die Sicherheit von Netz- und Informationssystemen nach der Richtlinie (EU) 2016/1148[^4];

• b) die zuständigen Behörden oder Stellen aus Drittstaaten einer nach Art. 55 der Verordnung (EU) 2022/2554 mindestens gleichwertigen Geheimhaltungspflicht unterliegen; und

• c) sichergestellt ist, dass die Informationen aus dem Ausland nur mit ausdrücklicher Zustimmung der übermittelnden Behörden oder Stellen und gegebenenfalls nur für Zwecke weitergegeben werden, denen diese Behörden oder Stellen zugestimmt haben.

9) Die Geheimhaltungspflichten nach den in Art. 5 Abs. 1 des Finanzmarktaufsichtsgesetzes genannten Gesetzen stehen der Zusammenarbeit und dem Informationsaustausch nach diesem Artikel nicht entgegen.

III. Rechtsmittel

Art. 8

Beschwerde

1) Gegen Entscheidungen der FMA kann binnen 14 Tagen ab Zustellung Beschwerde bei der FMA-Beschwerdekommission erhoben werden.

2) Gegen Entscheidungen der FMA-Beschwerdekommission kann binnen 14 Tagen ab Zustellung Beschwerde beim Verwaltungsgerichtshof erhoben werden.

IV. Strafbestimmungen

Art. 9

Vergehen und Übertretungen

1) Vom Landgericht wird wegen Vergehens mit Freiheitsstrafe bis zu drei Jahren bestraft, wer als Organmitglied, Mitarbeiter oder sonst für ein Finanzunternehmen oder einen IKT-Drittdienstleister oder eine anerkannte Wirtschaftsprüfungsgesellschaft tätige Person die Pflicht zur Geheimhaltung nach Art. 55 der Verordnung (EU) 2022/2554 verletzt oder wer hierzu verleitet oder zu verleiten versucht.

2) Von der FMA wird, wenn die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, wegen Übertretung mit Busse nach Abs. 3 bestraft, wer:

• a) gegen die Verordnung (EU) 2022/2554 verstösst, indem er:

• 1. die Anforderungen an das IKT-Risikomanagement nach Art. 5 bis 14 nicht erfüllt;

• 1. die Anforderungen an das vereinfachte IKT-Risikomanagement nach Art. 16 Abs. 1 und 2 nicht erfüllt;

• 1. vorgeschriebene Meldungen oder Berichte nach Art. 19, 28 Abs. 3 oder Art. 45 Abs. 3 an die FMA nicht, nicht richtig, nicht vollständig oder verspätet erstattet;

• 1. die vorgeschriebenen Tests der digitalen operationalen Resilienz nach Art. 24 oder 25 nicht, nicht richtig, nicht vollständig oder verspätet durchführt;

• 1. als nach Art. 26 Abs. 8 Unterabs. 3 ermitteltes Unternehmen die erweiterten Tests nach Art. 26 Abs. 1 bis 6 und 8 Unterabs. 1 sowie Art. 27 nicht, nicht richtig, nicht vollständig oder verspätet durchführt;

• 1. das IKT-Drittparteienrisiko nicht nach Art. 28 und 29 managt oder vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen nicht nach Art. 30 trifft;

• 1. die Dienstleistungen eines kritischen IKT-Drittdienstleisters mit Sitz in einem Drittstaat in Anspruch nimmt, der nicht den Anforderungen von Art. 31 Abs. 12 entspricht;

• 1. entgegen einer Anordnung der FMA nach Art. 42 Abs. 6 Satz 1 die Nutzung oder den Einsatz einer entsprechenden Dienstleistung nicht vorübergehend aussetzt oder entgegen einer Anordnung der FMA nach Art. 42 Abs. 6 Satz 2 eine entsprechende vertragliche Vereinbarung nicht kündigt;

• 1. beim Austausch von Informationen zu Cyberbedrohungen die Pflichten nach Art. 45 verletzt;

• b) der FMA oder der anerkannten Wirtschaftsprüfungsgesellschaft keine, falsche oder unvollständige Auskünfte erteilt;

• c) einer Aufforderung zur Herstellung des rechtmässigen Zustandes oder einer anderen Verfügung oder Anordnung der FMA nicht nachkommt.

3) Die Busse nach Abs. 2 beträgt:

• a) bei juristischen Personen bis zu 1 000 000 Franken;

• b) bei natürlichen Personen bis zu 200 000 Franken.

4) Die FMA hat Bussen nach Abs. 3 Bst. a gegen juristische Personen zu verhängen, wenn die Übertretungen nach Abs. 2 in Ausübung geschäftlicher Verrichtungen der juristischen Person (Anlasstaten) durch Personen begangen werden, die entweder allein oder als Mitglied des Verwaltungsrats, der Geschäftsleitung, des Vorstands oder Aufsichtsrats der juristischen Person oder aufgrund einer anderen Führungsposition innerhalb der juristischen Person gehandelt haben, aufgrund derer sie:

• a) befugt sind, die juristische Person nach aussen zu vertreten;

• b) Kontrollbefugnisse in leitender Stellung ausüben; oder

• c) sonst massgeblichen Einfluss auf die Geschäftsführung der juristischen Person ausüben.

5) Für Übertretungen nach Abs. 2, welche von Mitarbeitern der juristischen Person, wenngleich nicht schuldhaft, begangen werden, ist die juristische Person auch dann verantwortlich, wenn die Übertretung dadurch ermöglicht oder wesentlich erleichtert worden ist, dass die in Abs. 4 genannten Personen es unterlassen haben, die erforderlichen und zumutbaren Massnahmen zur Verhinderung derartiger Anlasstaten zu ergreifen.

6) Die Verantwortlichkeit der juristischen Person für die Anlasstat und die Strafbarkeit der in Abs. 4 genannten Personen oder von Mitarbeitern nach Abs. 5 wegen derselben Tat schliessen einander nicht aus. Die FMA kann von der Bestrafung einer natürlichen Person absehen, wenn für denselben Verstoss bereits eine Busse gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.

7) Die Verantwortlichkeit von juristischen Personen für ein Vergehen nach Abs. 1 richtet sich nach §§ 74a ff. des Strafgesetzbuches.

8) Ein Schuldspruch nach diesem Artikel ist mit Bezug auf die Beurteilung der Schuld und der Widerrechtlichkeit sowie die Bestimmung des Schadens für den Zivilrichter nicht verbindlich.

9) Bei fahrlässiger Begehung werden die Strafobergrenzen nach Abs. 1 und 3 auf die Hälfte herabgesetzt.

10) Die Verfolgungsverjährung beträgt drei Jahre.

Art. 10

Verantwortlichkeit

Werden Widerhandlungen im Geschäftsbereich einer juristischen Person, einer Kollektiv- oder Kommanditgesellschaft oder einer Einzelfirma begangen, finden die Strafbestimmungen auf die Personen Anwendung, die für sie gehandelt haben oder hätten handeln sollen, jedoch unter solidarischer Mithaftung der juristischen Person, der Gesellschaft oder der Einzelfirma für Geldstrafen, Bussen und Kosten.

V. Schlussbestimmungen

Art. 11

Anwendbarkeit von EU-Rechtsvorschriften

1) Bis zu ihrer Übernahme in das EWR-Abkommen gelten als nationale Rechtsvorschriften:

• a) die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011;

• b) die Richtlinie (EU) 2022/2556 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor;

• c) die Durchführungsrechtsakte zu den EU-Rechtsvorschriften nach Bst. a und b.

2) Der vollständige Wortlaut der in Abs. 1 genannten Rechtsvorschriften ist im Amtsblatt der Europäischen Union unter http://eurlex.europa.eu veröffentlicht; er kann auf der Internetseite der FMA unter www.fma-li.li abgerufen werden.

Art. 12

Inkrafttreten

1) Dieses Gesetz tritt unter Vorbehalt des ungenutzten Ablaufs der Referendumsfrist am 1. Februar 2025 in Kraft, andernfalls am Tag nach der Kundmachung.

2) Art. 1 tritt gleichzeitig mit dem Beschluss des Gemeinsamen EWR-Ausschusses betreffend die Übernahme der Verordnung (EU) 2022/2554 in das EWR-Abkommen in Kraft.[^5]

In Stellvertretung des Landesfürsten: gez. Alois Erbprinz

gez. Dr. Daniel Risch Fürstlicher Regierungschef

[^1]: Bericht und Antrag sowie Stellungnahme der Regierung Nr. 95/2024 und 130/2024

[^5]: Inkrafttreten: 1. Juli 2025 (LGBl. 2025 Nr. 304).