Risk Partners Life Sciences Roundtable 2024 am 18.07.24. Vielen Dank! Jetzt bereits für 2025 anmelden >
Kontakt

DORA-Verordnung findet ab Januar 2025 Anwendung.
Bedeutung für unsere Private Equity und Venture Capital Mandanten

Was etwas sperrig mit Digital Operational Resilience Act daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVGen jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als “lohnende Zielgruppe” bei im Ausland sitzenden Cyber Kriminellen identifiziert wurden und nun systematisch “bearbeitet werden”. So sehen wir eine Zunahme an umgeleiteten Capital Calls, Payout Distributions oder umgeleitete Investments mit zum Teil aufwendigen Strategien der Angreifer. Es ist daher insbesondere hinsichtlich der Sensibilisierung einer unserer strategischen Fokusthemen für 2024/2025. 

Zur DORA-Verordnung: mit dieser  will die Europäische Kommission die Maßgaben zur IKT (Informations- und Kommunikationsrichtlinie)-Resilienz europaweit harmonisieren und Cybersicherheit im Finanzsektor zu verbessern. Ein besonderer Stichtag ist der 17. Januar 2025, an dem die Verordnung Verwendung finden wird (zwei Jahre nach Inkraftreten). 

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung oder der Vorstand (“GPs”) – verantwortlich ist für das Management der IKT-Risiken. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss immer auf dem neuesten Stand sein. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich.

 

Wen betrifft die DORA-Verordnung?

Zum einen betrifft es uns als Risk Partners, zum anderen die Fondsverwalter. Von den Verwaltern alternativer Investmentfonds sind nur die KVGen mit Vollerlaubnis der BaFin erfasst. Registrierte AIF-KVGen sind davon ausgenommen. Dies sollte – trotz fehlender gesonderter Regelung – auch für EuVECA-Manager gelten, da sie typischerweise als registrierte AIF-KVGen von dieser Ausnahme erfasst sein dürften.

DORA baut auf den bestehenden aufsichtsrechtlichen Anforderungen auf. Viele der Regelungen sind den betroffenen Unternehmen daher bereits aus den sektoralen IT-Vorgaben bekannt. DORA harmonisiert diese Regelungen, ist jedoch insgesamt detaillierter und schränkt bestehende Ermessensspielräume weiter ein. Die neuen regulatorischen Anforderungen lassen sich in fünf Hauptbereiche gliedern (orientiert an den Kollegen von POELLATH):

IKT-Risikomanagement und IKT-Governance:

Die Verantwortung für das Risikomanagement liegt bei der Geschäftsleitung. IKT-Risiken müssen in dieses Risikomanagement integriert werden. Während dies bereits den bisherigen aufsichtsrechtlichen Anforderungen entsprach, ist es nun gesetzlich festgeschrieben. Im Rahmen der IKT-Governance, also der rechtlichen und organisatorischen Rahmenbedingungen der IT, muss IKT in die Unternehmensstrategie eingebunden werden. Zudem werden verpflichtende Updates und Kontrollmechanismen für IKT-Systeme eingeführt. Strategien zur Datensicherung und -wiederherstellung müssen ebenfalls entwickelt werden, um Systemausfälle zu minimieren.

Meldepflicht für IKT-bezogene Vorfälle:

Die BaFin übernimmt künftig die Rolle eines nationalen Melde-Hubs für IKT-Vorfälle im Finanzsektor. Ein „IKT-bezogener Vorfall“ ist ein ungeplantes Ereignis, das die Sicherheit von Netzwerken und Informationssystemen beeinträchtigt und negative Auswirkungen auf die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Daten oder Dienstleistungen eines Finanzunternehmens hat (Art. 3 Abs. 1 Nr. 8 DORA). Um Cyberangriffe frühzeitig zu erkennen und IKT-Vorfälle zu vermeiden, müssen Schutzmechanismen sowie Frühwarnsysteme implementiert werden. Alle IKT-bezogenen Vorfälle müssen protokolliert werden. Zusätzlich wird ein Verfahren zur Klassifizierung von Vorfällen eingeführt, und schwerwiegende Vorfälle müssen zwingend gemeldet werden.

Testen der digitalen operativen Resilienz:

DORA verpflichtet Finanzunternehmen, ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung sieht verschiedene geeignete Tests vor, um den Software-Code, die Netzwerksicherheit und die Kompatibilität von Hard- und Software zu prüfen. Ziel dieser Tests ist es, Schwachstellen in der eigenen digitalen operativen Resilienz aufzudecken und zu beheben.

IKT-Drittparteimanagement/Auslagerung:

Da immer mehr IKT-Leistungen an Technologiedienstleister ausgelagert werden, müssen Unternehmen im Rahmen ihres Risikomanagements auch Drittparteirisiken identifizieren. Die BaFin nimmt entsprechende Anzeigen im Zusammenhang mit dem IKT-Drittparteimanagement entgegen und prüft diese auf potenzielle Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie bestimmte Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung wird weit gefasst und umfasst – mit Ausnahme analoger Telefondienste – alle digitalen und Datendienste, die Nutzern über Systeme zur Verfügung gestellt werden, einschließlich Hardware-as-a-Service und Hardwaredienstleistungen (Art. 3 Abs. 1 Nr. 21 DORA).

Überwachung kritischer IKT-Drittdienstleister:

DORA etabliert ein Rahmenwerk zur Überwachung kritischer IKT-Technologieanbieter, das in Deutschland bereits in Grundzügen existierte. Die Kompetenzen der BaFin werden dabei erheblich erweitert und umfassen unter anderem die Anforderung von Unterlagen, das Verhängen von Zwangsgeldern sowie Vor-Ort-Prüfungen. Die BaFin ist verantwortlich für die Einstufung eines IKT-Dienstleisters als kritisch und für die damit verbundene Überwachung. Die Kosten für diese Überwachung müssen die als kritisch eingestuften Dienstleister selbst tragen.

Lesen Sie auch unsere anderen Blogposts

Venture Capital

Wir informieren im VC-Magazin zu Haftungsrisiken bei VC-Fonds

Wir wurden im Dezember vom VC-Magazin gefragt, ob wir Einblicke in Haftungs- und Risikomanagementfragen zu Venture Capital Fonds geben können. Gerne! So hat Florian zusammen mit dem Team nicht nur Einblicke in aktuelle Herausforderungen gegeben, sondern auch praktische Lösungsansätze vorgeschlagen, um Risiken eines VC-Fonds effektiv zu minimieren und sinnvoll zu transferieren. Sie finden daher im Artikel des VC-Magazins:   Mehrwerte maßgeschneiderter Versicherungskonzepte für VC-Fonds (Fokus: D&O/E&O-Versicherung #Moonshotprotect), Schlüsselmaßnahmen zur Risikoprävention (Lernkurve aus unserer Schadenwelt), enthaftende Vertragsregelungen als präventive Maßnahme, und

Weiterlesen »
26. Januar 2024
Risk Partners

13. Hamburger Financial Lines Forum

Risk Partners auf dem Financial Lines Forum 13. Hamburger Financial Lines Forum. Am 12. und 13. Oktober fand das 13. Hamburger Financial Lines Forum mit Beteiligung der Risk Partners statt, eine traditionsreiche Veranstaltung, die auch in diesem Jahr wieder zum Austausch aktueller Trends diente. Das Programm begann mit einem Überblick über die aktuellen Entwicklungen und die Abwicklung von Schadensfällen in den Financial Lines, präsentiert von Gabriele Schreiber-Sahin, Michael Hendricks. Dr. Oliver Sieg beleuchtete im Anschluss die Organhaftung und die europäische

Weiterlesen »
28. Oktober 2023
Geschäftsleitung

Forschungspanne im Stockholmer Karolinska-Institut: Ein Kühlungsausfall vernichtet Zellkulturen jahrzehntelanger Forschung

Forschungspanne im Stockholmer Karolinska-Institut: Ein Kühlungsausfall vernichtet Zellkulturen jahrzehntelanger Forschung – kann man sich dagegen versichern? Ein existenzbedrohender Vorfall, den wir Ihnen jedoch gerne einmal aus Sicht eines auf Life Sciences spezialisierten Versicherungsmaklers beleuchten wollen. Was ist passiert? Am Stockholmer Karolinska-Institut, dem wichtigsten medizinischen Forschungszentrum Schwedens, hat fünf Tage lang ein Kühlungssystem versagt. Biologisches Material, das über 30 Jahre hinweg gesammelt wurde und laut Institutsmitteilung weltweit einzigartig war, wurde dadurch zerstört. Das Material lagerte in Tiefkühltanks, in denen die Temperatur

Weiterlesen »
7. Juni 2024
Geschäftsleitung

OLG Schleswig – Verjährung des Haftungsanspruchs beim Direktanspruch in der D&O-Versicherung

OLG Schleswig: Verjährung des Haftungsanspruchs beim Direktanspruch in der D&O-Versicherung. Es gibt ein neues, spannendes Urteil aus der Welt der D&O-Versicherung. Jüngst hatten wir über die Entscheidung des OLG Köln im Kontext der Direktklage berichtet. Nun hat auch das OLG Schleswig eine wegweisende Entscheidung getroffen. Worum ging es? Im Mittelpunkt stand die Frage der Verjährung. Hierbei muss jedoch berücksichtigt werden, dass die Frage der Verjährung im D&O-Schadenfall nicht trivial ist. So gibt es zum einen den originären Schadenersatzanspruch (gesetzliche Organhaftung

Weiterlesen »
24. April 2024
Being Public

Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz … ist nunmehr in Kraft. Hey #VCs, habt ihr bereits ein System eingerichtet für sicheres #Whistleblowing? Und wie sieht es mit Versicherungsschutz in der D&O-Versicherung aus?  Heute vor einem Monat trat das deutsche Hinweisgeberschutzgesetz in Kraft. Seit dem 2. Juli 2023 sind damit nicht nur Unternehmen mit mehr als 50 Mitarbeitern, sondern auch Fondsmanager bzw. ManCos (Kapitalverwaltungsgesellschaften gemäß § 17 Absatz 1 des Kapitalanlagegesetzbuchs) verpflichtet, ein Hinweisgebersystem einzurichten und zu betreiben, unabhängig (!) von der Anzahl der Mitarbeiter. Ab dem 2. Dezember

Weiterlesen »
31. Oktober 2023
Life Sciences

Studie St. Gallen: 6 Mrd. USD pro Medikament

HSG St. Gallen: Medikament kostet im Schnitt 6,16 Mrd. USD. Sind die Zeiten für neue Medikamente für unter 1 Mrd. USD vorbei? Gesetzt waren Zahlen in der Branche, die von 700-1.000 Mio. USD als Kosten für die Entwicklung eines neuen Medikaments sprachen. In einer Studie der Hochschule St. Gallen über den Betrachtungszeitraum 2001-2020 wurde festgestellt, dass die Kosten für die Entwicklung neuer Medikamente drastisch gestiegen sind. Es wurde geschätzt, dass die Kosten für die Entwicklung eines neuen Medikaments inzwischen bei

Weiterlesen »
26. September 2023