Risk Partners Life Sciences Roundtable 2024 am 18.07.24. Vielen Dank! Jetzt bereits für 2025 anmelden >

DORA-Verordnung findet ab Januar 2025 Anwendung.
Bedeutung für unsere Private Equity und Venture Capital Mandanten

Was etwas sperrig mit Digital Operational Resilience Act daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVGen jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als “lohnende Zielgruppe” bei im Ausland sitzenden Cyber Kriminellen identifiziert wurden und nun systematisch “bearbeitet werden”. So sehen wir eine Zunahme an umgeleiteten Capital Calls, Payout Distributions oder umgeleitete Investments mit zum Teil aufwendigen Strategien der Angreifer. Es ist daher insbesondere hinsichtlich der Sensibilisierung einer unserer strategischen Fokusthemen für 2024/2025. 

Zur DORA-Verordnung: mit dieser  will die Europäische Kommission die Maßgaben zur IKT (Informations- und Kommunikationsrichtlinie)-Resilienz europaweit harmonisieren und Cybersicherheit im Finanzsektor zu verbessern. Ein besonderer Stichtag ist der 17. Januar 2025, an dem die Verordnung Verwendung finden wird (zwei Jahre nach Inkraftreten). 

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung oder der Vorstand (“GPs”) – verantwortlich ist für das Management der IKT-Risiken. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss immer auf dem neuesten Stand sein. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich.

 

Wen betrifft die DORA-Verordnung?

Zum einen betrifft es uns als Risk Partners, zum anderen die Fondsverwalter. Von den Verwaltern alternativer Investmentfonds sind nur die KVGen mit Vollerlaubnis der BaFin erfasst. Registrierte AIF-KVGen sind davon ausgenommen. Dies sollte – trotz fehlender gesonderter Regelung – auch für EuVECA-Manager gelten, da sie typischerweise als registrierte AIF-KVGen von dieser Ausnahme erfasst sein dürften.

DORA baut auf den bestehenden aufsichtsrechtlichen Anforderungen auf. Viele der Regelungen sind den betroffenen Unternehmen daher bereits aus den sektoralen IT-Vorgaben bekannt. DORA harmonisiert diese Regelungen, ist jedoch insgesamt detaillierter und schränkt bestehende Ermessensspielräume weiter ein. Die neuen regulatorischen Anforderungen lassen sich in fünf Hauptbereiche gliedern (orientiert an den Kollegen von POELLATH):

IKT-Risikomanagement und IKT-Governance:

Die Verantwortung für das Risikomanagement liegt bei der Geschäftsleitung. IKT-Risiken müssen in dieses Risikomanagement integriert werden. Während dies bereits den bisherigen aufsichtsrechtlichen Anforderungen entsprach, ist es nun gesetzlich festgeschrieben. Im Rahmen der IKT-Governance, also der rechtlichen und organisatorischen Rahmenbedingungen der IT, muss IKT in die Unternehmensstrategie eingebunden werden. Zudem werden verpflichtende Updates und Kontrollmechanismen für IKT-Systeme eingeführt. Strategien zur Datensicherung und -wiederherstellung müssen ebenfalls entwickelt werden, um Systemausfälle zu minimieren.

Meldepflicht für IKT-bezogene Vorfälle:

Die BaFin übernimmt künftig die Rolle eines nationalen Melde-Hubs für IKT-Vorfälle im Finanzsektor. Ein „IKT-bezogener Vorfall“ ist ein ungeplantes Ereignis, das die Sicherheit von Netzwerken und Informationssystemen beeinträchtigt und negative Auswirkungen auf die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Daten oder Dienstleistungen eines Finanzunternehmens hat (Art. 3 Abs. 1 Nr. 8 DORA). Um Cyberangriffe frühzeitig zu erkennen und IKT-Vorfälle zu vermeiden, müssen Schutzmechanismen sowie Frühwarnsysteme implementiert werden. Alle IKT-bezogenen Vorfälle müssen protokolliert werden. Zusätzlich wird ein Verfahren zur Klassifizierung von Vorfällen eingeführt, und schwerwiegende Vorfälle müssen zwingend gemeldet werden.

Testen der digitalen operativen Resilienz:

DORA verpflichtet Finanzunternehmen, ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung sieht verschiedene geeignete Tests vor, um den Software-Code, die Netzwerksicherheit und die Kompatibilität von Hard- und Software zu prüfen. Ziel dieser Tests ist es, Schwachstellen in der eigenen digitalen operativen Resilienz aufzudecken und zu beheben.

IKT-Drittparteimanagement/Auslagerung:

Da immer mehr IKT-Leistungen an Technologiedienstleister ausgelagert werden, müssen Unternehmen im Rahmen ihres Risikomanagements auch Drittparteirisiken identifizieren. Die BaFin nimmt entsprechende Anzeigen im Zusammenhang mit dem IKT-Drittparteimanagement entgegen und prüft diese auf potenzielle Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie bestimmte Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung wird weit gefasst und umfasst – mit Ausnahme analoger Telefondienste – alle digitalen und Datendienste, die Nutzern über Systeme zur Verfügung gestellt werden, einschließlich Hardware-as-a-Service und Hardwaredienstleistungen (Art. 3 Abs. 1 Nr. 21 DORA).

Überwachung kritischer IKT-Drittdienstleister:

DORA etabliert ein Rahmenwerk zur Überwachung kritischer IKT-Technologieanbieter, das in Deutschland bereits in Grundzügen existierte. Die Kompetenzen der BaFin werden dabei erheblich erweitert und umfassen unter anderem die Anforderung von Unterlagen, das Verhängen von Zwangsgeldern sowie Vor-Ort-Prüfungen. Die BaFin ist verantwortlich für die Einstufung eines IKT-Dienstleisters als kritisch und für die damit verbundene Überwachung. Die Kosten für diese Überwachung müssen die als kritisch eingestuften Dienstleister selbst tragen.

Lesen Sie auch unsere anderen Blogposts

Life Sciences

Studie St. Gallen: 6 Mrd. USD pro Medikament

HSG St. Gallen: Medikament kostet im Schnitt 6,16 Mrd. USD. Sind die Zeiten für neue Medikamente für unter 1 Mrd. USD vorbei? Gesetzt waren Zahlen in der Branche, die von 700-1.000 Mio. USD als Kosten für die Entwicklung eines neuen Medikaments sprachen. In einer Studie der Hochschule St. Gallen über den Betrachtungszeitraum 2001-2020 wurde festgestellt, dass die Kosten für die Entwicklung neuer Medikamente drastisch gestiegen sind. Es wurde geschätzt, dass die Kosten für die Entwicklung eines neuen Medikaments inzwischen bei

Weiterlesen »
Risk Partners

13. Hamburger Financial Lines Forum

Risk Partners auf dem Financial Lines Forum 13. Hamburger Financial Lines Forum. Am 12. und 13. Oktober fand das 13. Hamburger Financial Lines Forum mit Beteiligung der Risk Partners statt, eine traditionsreiche Veranstaltung, die auch in diesem Jahr wieder zum Austausch aktueller Trends diente. Das Programm begann mit einem Überblick über die aktuellen Entwicklungen und die Abwicklung von Schadensfällen in den Financial Lines, präsentiert von Gabriele Schreiber-Sahin, Michael Hendricks. Dr. Oliver Sieg beleuchtete im Anschluss die Organhaftung und die europäische

Weiterlesen »
Geschäftsleitung

Forschungspanne im Stockholmer Karolinska-Institut: Ein Kühlungsausfall vernichtet Zellkulturen jahrzehntelanger Forschung

Forschungspanne im Stockholmer Karolinska-Institut: Ein Kühlungsausfall vernichtet Zellkulturen jahrzehntelanger Forschung – kann man sich dagegen versichern? Ein existenzbedrohender Vorfall, den wir Ihnen jedoch gerne einmal aus Sicht eines auf Life Sciences spezialisierten Versicherungsmaklers beleuchten wollen. Was ist passiert? Am Stockholmer Karolinska-Institut, dem wichtigsten medizinischen Forschungszentrum Schwedens, hat fünf Tage lang ein Kühlungssystem versagt. Biologisches Material, das über 30 Jahre hinweg gesammelt wurde und laut Institutsmitteilung weltweit einzigartig war, wurde dadurch zerstört. Das Material lagerte in Tiefkühltanks, in denen die Temperatur

Weiterlesen »
Being Public

Revolution in D&O Versicherung in Nevada (US-Versicherungsmarkt) verschoben

Die Revolution in der D&O Versicherung in Nevada nun doch abgeblasen. Auf dem US Markt gab es im Sommer im Bundesstaat Nevada ein interessantes Gesetz (Bill No. 398) mit potentiell erheblichen Implikationen für den D&O-Versicherungsmarkt. Der Gouverneur von Nevada hatte den Gesetzentwurf am 3. Juni 2023 genehmigt, sodass das Gesetz am 1. Oktober 2023 in Kraft trat. Wir hatten diese Gesetzgebung (in den USA ist die Versicherungsaufsicht auf Bundesstaatenebene organisiert) als zu beobachten für unsere Mandanten eingeordnet, können dieses Gesetz

Weiterlesen »
Venture Capital

Wir informieren im VC-Magazin zu Haftungsrisiken bei VC-Fonds

Wir wurden im Dezember vom VC-Magazin gefragt, ob wir Einblicke in Haftungs- und Risikomanagementfragen zu Venture Capital Fonds geben können. Gerne! So hat Florian zusammen mit dem Team nicht nur Einblicke in aktuelle Herausforderungen gegeben, sondern auch praktische Lösungsansätze vorgeschlagen, um Risiken eines VC-Fonds effektiv zu minimieren und sinnvoll zu transferieren. Sie finden daher im Artikel des VC-Magazins:   Mehrwerte maßgeschneiderter Versicherungskonzepte für VC-Fonds (Fokus: D&O/E&O-Versicherung #Moonshotprotect), Schlüsselmaßnahmen zur Risikoprävention (Lernkurve aus unserer Schadenwelt), enthaftende Vertragsregelungen als präventive Maßnahme, und

Weiterlesen »
Life Sciences

Atrialis GmbH – experts in clinical trial insurance

Atrialis GmbH – experts in clinical trial insurance & Risk Partners spielen künftig im gleichen Team. LifeSciences – Führende Risikokonzepte für führende Wissenschaft!  Unter diesem Leitmotiv dürfen wir seit vielen Jahren innovative Unternehmen aus dem Umfeld von Biotechnologie, Pharma und Medizinprodukten umfänglich in Risikofragen beraten und mit passenden Versicherungslösungen in allen Wachstums- und Studienphasen, von Gründung bis Börsengang und darüber hinaus (z.B. Versicherung einer klinischen Studie), begleiten. Gemeinsam mit meinem Team der Risk Partners GmbH möchten wir unseren Fokus, die Leidenschaft

Weiterlesen »