Risk Partners Life Sciences Roundtable 2024. Vielen Dank! Jetzt bereits für den 26.06.2025 anmelden >

DORA-Verordnung findet ab Januar 2025 Anwendung.
Bedeutung für unsere Private Equity und Venture Capital Mandanten

Was etwas sperrig mit dem langen Namen „Digital Operational Resilience Act“ (kurz: DORA) daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVG jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als „lohnende Zielgruppe“ bei im Ausland sitzenden Cyber Kriminellen identifiziert wurden und nun systematisch „bearbeitet werden“. So sehen wir eine Zunahme an umgeleiteten Capital Calls, Payout Distributions oder umgeleitete Investments mit zum Teil aufwendigen Strategien der Angreifer. Es ist daher insbesondere hinsichtlich der Sensibilisierung einer unserer strategischen Fokusthemen für 2024/2025. 

Zur DORA-Verordnung: mit dieser  will die Europäische Kommission die Maßgaben zur IKT (Informations- und Kommunikationsrichtlinie)-Resilienz europaweit harmonisieren und Cybersicherheit im Finanzsektor zu verbessern. Ein besonderer Stichtag ist der 17. Januar 2025, an dem die Verordnung Verwendung finden wird (zwei Jahre nach Inkraftreten). 

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung („GPs“) – verantwortlich ist für das Management der IKT-Risiken ist. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss jederzeit auf dem neuesten Stand gehalten werden. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich mit diesem.

Wen betrifft die DORA-Verordnung?

Die DORA-Verordnung betrifft einerseits uns als Risk Partners (Versicherungsmakler) und andererseits vollregulierte KVG’en. Registrierte AIF-KVG’en sind davon ausgenommen. Zudem ist anzunehmen, dass die Ausnahme auch für EuVECA-Manager gelten, da diese typischerweise den registrierten AIF-KVG’en gleichgestellt werden.

Vollregulierte KVG’en sowie solche, die sich im Prozess der Vollregulierung befinden, sollten sicherstellen, dass sie DORA-konform aufgestellt sind.

Hinweis: Für GPs stellt ein Verstoß gegen die DORA-Verordnung einen Compliance-Verstoß dar, der gleichzeitig als Organisationsverschulden zu sehen ist. Dies führt in der Rechtsprechung schnell in die (unbegrenzte) persönliche Haftung der GPs führen.

Die DORA-Verordnung basiert auf den bestehenden aufsichtsrechtlichen Anforderungen und greift viele Regelungen auf, die den betroffenen Unternehmen bereits aus den sektoralen IT-Vorgaben bekannt sind. Sie harmonisiert diese Vorgaben, geht jedoch in ihrer Ausgestaltung detaillierter vor und reduziert die bisherigen Ermessensspielräume deutlich. Die neuen regulatorischen Anforderungen lassen sich in fünf Hauptbereiche gliedern (orientiert an den Kollegen von POELLATH):

IKTRisikomanagement und IKTGovernance:

Die DORA Verordnung legt fest, dass die Verantwortung für das Risikomanagement direkt bei der Geschäftsleitung liegt. IKT-Risiken müssen verpflichtend in das unternehmensweite Risikomanagement integriert werden. Während diese Anforderung bereits in bisherigen aufsichtsrechtlichen Vorgaben enthalten war, ist sie nun durch die DORA Verordnung rechtlich verbindlich geregelt.

Im Bereich der IKT-Governance, also der organisatorischen und rechtlichen Rahmenbedingungen für IT-Strukturen, verlangt die Verordnung, dass IKT in die Unternehmensstrategie eingebunden wird. Darüber hinaus schreibt die DORA Verordnung regelmäßige Updates und Kontrollmechanismen für IT-Systeme vor. 

Gemäß Vortrag von Dr. Fechler vom 26.09.2024

Zusätzlich müssen Strategien zur Datensicherung und Wiederherstellung entwickelt werden, um die Auswirkungen potenzieller Systemausfälle zu minimieren.

Meldepflicht für IKT-bezogene Vorfälle:

Gemäß der DORA Verordnung wird die BaFin zukünftig als zentrales nationales Melde-Hub für IKT-Vorfälle im Finanzsektor fungieren. Ein „IKT-bezogener Vorfall“ ist definiert als ein ungeplantes Ereignis, das die Sicherheit von Netzwerken oder Informationssystemen beeinträchtigt und zu negativen Folgen für die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Daten sowie für die Dienstleistungen eines Finanzunternehmens führen kann (Art. 3 Abs. 1 Nr. 8 DORA).

Die DORA Verordnung fordert, dass Unternehmen Schutzmechanismen und Frühwarnsysteme einrichten, um Cyberangriffe rechtzeitig zu erkennen und IKT-Vorfälle zu vermeiden. Sämtliche IKT-bezogenen Vorfälle müssen protokolliert werden. Zusätzlich wird ein Verfahren zur Klassifizierung dieser Vorfälle eingeführt, wobei schwerwiegende Vorfälle einer verpflichtenden Meldung unterliegen.

Testen der digitalen operativen Resilienz:

DORA verpflichtet vollregulierte KVG’en ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung sieht verschiedene geeignete Tests vor, um den Software-Code, die Netzwerksicherheit und die Kompatibilität von Hard- und Software zu prüfen. Ziel dieser Tests ist es, Schwachstellen in der eigenen digitalen operativen Resilienz aufzudecken und zu beheben.

IKT-Drittparteimanagement / Auslagerung:

Da immer mehr IKT-Leistungen an Technologiedienstleister ausgelagert werden, müssen Unternehmen im Rahmen ihres Risikomanagements auch Drittparteirisiken identifizieren. Diese Aufgabe dürfte gerade in der deutschen PE/VC-Landschaft erhebliche Aufwände durch Anpassungsbedarf verursachen. Die BaFin nimmt zudem entsprechende Anzeigen im Zusammenhang mit dem IKT-Drittparteimanagement entgegen und prüft diese auf potenzielle Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie bestimmte Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung wird in der Verordnung weit gefasst und umfasst – mit Ausnahme analoger Telefondienste – alle digitalen und Datendienste, die Nutzern über Systeme zur Verfügung gestellt werden. 

Überwachung kritischer IKT-Drittdienstleister:

DORA etabliert ein Rahmenwerk zur Überwachung kritischer IKT-Technologieanbieter, das in Deutschland bereits in Grundzügen existierte. Die Kompetenzen der BaFin werden dabei erheblich erweitert und umfassen unter anderem die Anforderung von Unterlagen, das Verhängen von Zwangsgeldern sowie Vor-Ort-Prüfungen. Die BaFin ist verantwortlich für die Einstufung eines IKT-Dienstleisters als kritisch und für die damit verbundene Überwachung. Die Kosten für diese Überwachung müssen die als kritisch eingestuften Dienstleister selbst tragen. Die typische KVG dürfte hiervon nicht betroffen sein. 

Mit Blick auf mögliche Risikotransferoptionen gibt es leider keine spezifische DORA-Versicherung. Die gute Nachricht ist jedoch, dass bereits bestehende ganzheitliche Versicherungskonzepte bei unseren Mandanten – in der Regel ein Dreiklang aus E&O-Versicherung, Cyber-Versicherung und Crime-Versicherung – die Risiken für KVG’en effektiv abdecken.

GPs können sich hingegen auf ihre bestehende Strafrechtsschutz- und D&O-Versicherung verlassen. Neben der Notwendigkeit, die jeweiligen Bedingungen auch in einer „DORA-Ära“ aktuell zu halten, sollten PE/VC-AIFM ihre Versicherungssummen kritisch überprüfen. Denn sowohl die Eintrittswahrscheinlichkeit als auch die potenzielle Höhe der Schadenfälle dürften in Zukunft steigen.

Gerne halten wir Sie im Rahmen unseres Blogs zu Trends im Versicherungsmarkt auf dem Laufenden. Vereinbaren Sie einen unverbindlichen Austausch mit uns: Wunschtermin buchen!

Lesen Sie auch unsere anderen Blogposts

Venture Capital

Wir informieren im VC-Magazin zu Haftungsrisiken bei VC-Fonds

Wir wurden im Dezember vom VC-Magazin gefragt, ob wir Einblicke in Haftungs- und Risikomanagementfragen zu Venture Capital Fonds geben können. Gerne! So hat Florian zusammen mit dem Team nicht nur Einblicke in aktuelle Herausforderungen gegeben, sondern auch praktische Lösungsansätze vorgeschlagen, um Risiken eines VC-Fonds effektiv zu minimieren und sinnvoll zu transferieren. Sie finden daher im Artikel des VC-Magazins: Mehrwerte maßgeschneiderter Versicherungskonzepte für VC-Fonds (Fokus: D&O/E&O-Versicherung #Moonshot Protect), Schlüsselmaßnahmen zur Risikoprävention (Lernkurve aus unserer Schadenwelt), enthaftende Vertragsregelungen als präventive Maßnahme, und

Weiterlesen »
Being Public

Prospekthaftung Versicherung (POSI): Risk Partners publiziert für Euch

Risk Partners auf Going Public und dem Kapitalmarktblog zur Prospekthaftung-versicherung In den vergangenen Monaten haben wir unser Fachwissen zur Prospekthaftungsversicherung auf zwei renommierten Plattformen mit einem breiten Publikum teilen dürfen. Hier ein Überblick: Kapitalmarkt.blog Im Beitrag „POSI-Versicherung – Die Schutzweste am Kapitalmarkt“ erklären wir, warum die Prospekthaftungsversicherung ein unverzichtbares Instrument für Unternehmen ist, die am Kapitalmarkt aktiv werden. Der Artikel zeigt praxisnah, wie eine solche Versicherung nicht nur Haftungsrisiken minimiert, sondern auch das Vertrauen von Investoren stärkt. GoingPublic Magazin In

Weiterlesen »
4 Säulen der Cyber-Versicherung für Venture Capital und Private Equity
Cyber Security

Cyber-Versicherung Venture Capital und Private Equity

Warum die Cyber-Versicherung nicht das Kernrisiko von VC & PE Fonds transferiert und warum wir in Risk Partners Cyber-Rahmenverträge investiert haben. Warum Cyber-Risiken für Venture-Capital- und Private-Equity-Fonds relevant sind Mit dem zunehmenden Wachstum der Cyber-Crime-Industrie (vgl. Bundesamt für Verfassungsschutz) sind auch Venture-Capital- (VC) und Private-Equity-Fonds (PE) bzw. deren Fondsmanager stärker Cyber-Risiken ausgesetzt. Seit Jahren spiegelt sich das bei den Schadenfällen wider, die wir begleiten dürfen, in der Fondsmanager Jahr für Jahr Platz 1 bei den von uns betreuten Branchen einnehmen.

Weiterlesen »
Cyber Security

„Digital Operational Resilience Act“ (DORA-Verordnung) aus Sicht von Venture Capital und Private Equity Fonds

DORA-Verordnung findet ab Januar 2025 Anwendung. Bedeutung für unsere Private Equity und Venture Capital Mandanten Was etwas sperrig mit dem langen Namen „Digital Operational Resilience Act“ (kurz: DORA) daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVG jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als „lohnende Zielgruppe“ bei im Ausland sitzenden Cyber

Weiterlesen »
Being Public

Global Integrity and Compliance Forum 2024 

𝗚𝗹𝗼𝗯𝗮𝗹 𝗜𝗻𝘁𝗲𝗴𝗿𝗶𝘁𝘆 𝗮𝗻𝗱 𝗖𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲 𝗙𝗼𝗿𝘂𝗺 𝟮𝟬𝟮𝟰 „D&O and Co. – Plan B to cover personal liability!“ Am vergangenen Freitag hatte Florian die Ehre, am Global Integrity and Compliance Forum an der Ludwig-Maximilians-Universität München teilzunehmen. Unter dem Motto „The RULE of LAW in the Era of Integrity & Compliance” versammelten sich internationale Rechtsexpert:innen, Unternehmensleiter:innen sowie Inhouse Councils & Compliance-Beauftragte aus aller Welt, um über die Zukunft der „Good Corporate Governance“ im Jahr 2024 zu diskutieren. Zentrale Diskussionen und Erkenntnisse Eines der

Weiterlesen »
Life Sciences

Finance Day 2024

Wachstumskapital für Biotechnologieund Life Sciences – Finance Day 2024 Vor ein paar Tagen waren Jutta und Florian aus unserem Team auf dem Finance Day 2024 der analytica Messe in München. Das Event bot wieder spannende Experten-Panels zu aktuellen Finanzierungs- und Kapitalmarktfragen von Life Sciences-Unternehmen. Da gleich drei unserer Beratungsschwerpunkte, nämlich die Bereiche Life Sciences, Venture Capital und IPOs im Fokus der Panels standen, war ein Besuch für uns als Spezialversicherungsmakler natürlich Pflicht. Unser Team hat sich zudem sehr gefreut, viele unserer Partner und Mandanten wieder

Weiterlesen »