Geltungsbereich

Wie bei vielen anderen EU-Verordnungen ist auch DORA direkt oder indirekt auf Schweizer Firmen anwendbar:

• Hat ein Schweizer Finanzinstitut (z. B. Bank, Versicherung, Vermögensverwalter) eine Tochtergesellschaft oder Niederlassung in der EU, gilt DORA unmittelbar für diese Einheit.

• Wenn ein Schweizer IT-/Cloud-Dienstleister von der EU als kritischer Drittanbieter eingestuft wird (z. B. weil er zentrale Dienste für viele Finanzakteure erbringt), unterliegt er ebenfalls direkt der EU-Aufsicht nach DORA.

Auch wenn Sie mit Ihrem Unternehmen keinen Sitz in der EU unterhalten, kann DORA für Sie gelten.

• Schweizer IT-/Cloud-Anbieter, die Finanzinstitute in der EU bedienen, werden vertraglich verpflichtet, DORA-Standards einzuhalten (Risikomanagement, Sicherheitsmaßnahmen, Resilienztests, Meldepflichten).

• Schweizer Banken oder Versicherungen, die in EU-Märkten tätig sind oder Dienstleistungen für EU-Kunden erbringen, können von EU-Partnern oder Aufsichtsbehörden zur DORA-Compliance gedrängt werden.

DORA gilt für Schweizer Unternehmen direkt, wenn sie eine EU-Niederlassung haben oder als kritische ICT-Drittanbieter eingestuft werden. Indirekt betrifft sie alle Schweizer Firmen, die IT- oder Finanzdienstleistungen für EU-Finanzakteure erbringen – über die Lieferkette kommt DORA so praktisch in die Schweiz.