Risk Partners Life Sciences Roundtable 2024. Vielen Dank! Jetzt bereits für den 26.06.2025 anmelden >

Kontakt

DORA-Verordnung findet ab Januar 2025 Anwendung.
Bedeutung für unsere Private Equity und Venture Capital Mandanten

Was etwas sperrig mit dem langen Namen „Digital Operational Resilience Act“ (kurz: DORA) daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVG jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als „lohnende Zielgruppe“ bei im Ausland sitzenden Cyber Kriminellen identifiziert wurden und nun systematisch „bearbeitet werden“. So sehen wir eine Zunahme an umgeleiteten Capital Calls, Payout Distributions oder umgeleitete Investments mit zum Teil aufwendigen Strategien der Angreifer. Es ist daher insbesondere hinsichtlich der Sensibilisierung einer unserer strategischen Fokusthemen für 2024/2025. 

Zur DORA-Verordnung: mit dieser  will die Europäische Kommission die Maßgaben zur IKT (Informations- und Kommunikationsrichtlinie)-Resilienz europaweit harmonisieren und Cybersicherheit im Finanzsektor zu verbessern. Ein besonderer Stichtag ist der 17. Januar 2025, an dem die Verordnung Verwendung finden wird (zwei Jahre nach Inkraftreten). 

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung („GPs“) – verantwortlich ist für das Management der IKT-Risiken ist. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss jederzeit auf dem neuesten Stand gehalten werden. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich mit diesem.

Wen betrifft die DORA-Verordnung?

Die DORA-Verordnung betrifft einerseits uns als Risk Partners (Versicherungsmakler) und andererseits vollregulierte KVG’en. Registrierte AIF-KVG’en sind davon ausgenommen. Zudem ist anzunehmen, dass die Ausnahme auch für EuVECA-Manager gelten, da diese typischerweise den registrierten AIF-KVG’en gleichgestellt werden.

Vollregulierte KVG’en sowie solche, die sich im Prozess der Vollregulierung befinden, sollten sicherstellen, dass sie DORA-konform aufgestellt sind.

Hinweis: Für GPs stellt ein Verstoß gegen die DORA-Verordnung einen Compliance-Verstoß dar, der gleichzeitig als Organisationsverschulden zu sehen ist. Dies führt in der Rechtsprechung schnell in die (unbegrenzte) persönliche Haftung der GPs führen.

Die DORA-Verordnung basiert auf den bestehenden aufsichtsrechtlichen Anforderungen und greift viele Regelungen auf, die den betroffenen Unternehmen bereits aus den sektoralen IT-Vorgaben bekannt sind. Sie harmonisiert diese Vorgaben, geht jedoch in ihrer Ausgestaltung detaillierter vor und reduziert die bisherigen Ermessensspielräume deutlich. Die neuen regulatorischen Anforderungen lassen sich in fünf Hauptbereiche gliedern (orientiert an den Kollegen von POELLATH):

IKTRisikomanagement und IKTGovernance:

Die DORA Verordnung legt fest, dass die Verantwortung für das Risikomanagement direkt bei der Geschäftsleitung liegt. IKT-Risiken müssen verpflichtend in das unternehmensweite Risikomanagement integriert werden. Während diese Anforderung bereits in bisherigen aufsichtsrechtlichen Vorgaben enthalten war, ist sie nun durch die DORA Verordnung rechtlich verbindlich geregelt.

Im Bereich der IKT-Governance, also der organisatorischen und rechtlichen Rahmenbedingungen für IT-Strukturen, verlangt die Verordnung, dass IKT in die Unternehmensstrategie eingebunden wird. Darüber hinaus schreibt die DORA Verordnung regelmäßige Updates und Kontrollmechanismen für IT-Systeme vor. 

Gemäß Vortrag von Dr. Fechler vom 26.09.2024

Zusätzlich müssen Strategien zur Datensicherung und Wiederherstellung entwickelt werden, um die Auswirkungen potenzieller Systemausfälle zu minimieren.

Meldepflicht für IKT-bezogene Vorfälle:

Gemäß der DORA Verordnung wird die BaFin zukünftig als zentrales nationales Melde-Hub für IKT-Vorfälle im Finanzsektor fungieren. Ein „IKT-bezogener Vorfall“ ist definiert als ein ungeplantes Ereignis, das die Sicherheit von Netzwerken oder Informationssystemen beeinträchtigt und zu negativen Folgen für die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Daten sowie für die Dienstleistungen eines Finanzunternehmens führen kann (Art. 3 Abs. 1 Nr. 8 DORA).

Die DORA Verordnung fordert, dass Unternehmen Schutzmechanismen und Frühwarnsysteme einrichten, um Cyberangriffe rechtzeitig zu erkennen und IKT-Vorfälle zu vermeiden. Sämtliche IKT-bezogenen Vorfälle müssen protokolliert werden. Zusätzlich wird ein Verfahren zur Klassifizierung dieser Vorfälle eingeführt, wobei schwerwiegende Vorfälle einer verpflichtenden Meldung unterliegen.

Testen der digitalen operativen Resilienz:

DORA verpflichtet vollregulierte KVG’en ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung sieht verschiedene geeignete Tests vor, um den Software-Code, die Netzwerksicherheit und die Kompatibilität von Hard- und Software zu prüfen. Ziel dieser Tests ist es, Schwachstellen in der eigenen digitalen operativen Resilienz aufzudecken und zu beheben.

IKT-Drittparteimanagement / Auslagerung:

Da immer mehr IKT-Leistungen an Technologiedienstleister ausgelagert werden, müssen Unternehmen im Rahmen ihres Risikomanagements auch Drittparteirisiken identifizieren. Diese Aufgabe dürfte gerade in der deutschen PE/VC-Landschaft erhebliche Aufwände durch Anpassungsbedarf verursachen. Die BaFin nimmt zudem entsprechende Anzeigen im Zusammenhang mit dem IKT-Drittparteimanagement entgegen und prüft diese auf potenzielle Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie bestimmte Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung wird in der Verordnung weit gefasst und umfasst – mit Ausnahme analoger Telefondienste – alle digitalen und Datendienste, die Nutzern über Systeme zur Verfügung gestellt werden. 

Überwachung kritischer IKT-Drittdienstleister:

DORA etabliert ein Rahmenwerk zur Überwachung kritischer IKT-Technologieanbieter, das in Deutschland bereits in Grundzügen existierte. Die Kompetenzen der BaFin werden dabei erheblich erweitert und umfassen unter anderem die Anforderung von Unterlagen, das Verhängen von Zwangsgeldern sowie Vor-Ort-Prüfungen. Die BaFin ist verantwortlich für die Einstufung eines IKT-Dienstleisters als kritisch und für die damit verbundene Überwachung. Die Kosten für diese Überwachung müssen die als kritisch eingestuften Dienstleister selbst tragen. Die typische KVG dürfte hiervon nicht betroffen sein. 

Mit Blick auf mögliche Risikotransferoptionen gibt es leider keine spezifische DORA-Versicherung. Die gute Nachricht ist jedoch, dass bereits bestehende ganzheitliche Versicherungskonzepte bei unseren Mandanten – in der Regel ein Dreiklang aus E&O-Versicherung, Cyber-Versicherung und Crime-Versicherung – die Risiken für KVG’en effektiv abdecken.

GPs können sich hingegen auf ihre bestehende Strafrechtsschutz- und D&O-Versicherung verlassen. Neben der Notwendigkeit, die jeweiligen Bedingungen auch in einer „DORA-Ära“ aktuell zu halten, sollten PE/VC-AIFM ihre Versicherungssummen kritisch überprüfen. Denn sowohl die Eintrittswahrscheinlichkeit als auch die potenzielle Höhe der Schadenfälle dürften in Zukunft steigen.

Gerne halten wir Sie im Rahmen unseres Blogs zu Trends im Versicherungsmarkt auf dem Laufenden. Vereinbaren Sie einen unverbindlichen Austausch mit uns: Wunschtermin buchen!

Lesen Sie auch unsere anderen Blogposts

Life Sciences

Finance Day 2024

Wachstumskapital für Biotechnologieund Life Sciences – Finance Day 2024 Vor ein paar Tagen waren Jutta und Florian aus unserem Team auf dem Finance Day 2024 der analytica Messe in München. Das Event bot wieder spannende Experten-Panels zu aktuellen Finanzierungs- und Kapitalmarktfragen von Life Sciences-Unternehmen. Da gleich drei unserer Beratungsschwerpunkte, nämlich die Bereiche Life Sciences, Venture Capital und IPOs im Fokus der Panels standen, war ein Besuch für uns als Spezialversicherungsmakler natürlich Pflicht. Unser Team hat sich zudem sehr gefreut, viele unserer Partner und Mandanten wieder

Weiterlesen »
19. April 2024
Being Public

Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz … ist nunmehr in Kraft. Hey #VCs, habt ihr bereits ein System eingerichtet für sicheres #Whistleblowing? Und wie sieht es mit Versicherungsschutz in der D&O-Versicherung aus?  Heute vor einem Monat trat das deutsche Hinweisgeberschutzgesetz in Kraft. Seit dem 2. Juli 2023 sind damit nicht nur Unternehmen mit mehr als 50 Mitarbeitern, sondern auch Fondsmanager bzw. ManCos (Kapitalverwaltungsgesellschaften gemäß § 17 Absatz 1 des Kapitalanlagegesetzbuchs) verpflichtet, ein Hinweisgebersystem einzurichten und zu betreiben, unabhängig (!) von der Anzahl der Mitarbeiter. Ab dem 2. Dezember

Weiterlesen »
31. Oktober 2023
Being Public

Neues SEC Ruling: Transatlantische Annäherung beim Umgang mit Cyber Security Vorfällen

Foreign Filers / Private Issuers aufgepasst! 2023 brachte eine weitere Harmonisierung europäischer und US-Standards beim Cyber Incident Reporting. Nach dem SEC Ruling sind nun alle an der US-Börse gelisteten Unternehmen verpflichtet, bedeutende Datensicherheitsvorfälle innerhalb von vier Werktagen öffentlich bei der SEC zu melden. Darüber hinaus müssen sie in ihrem Jahresbericht (10-K) ihre Verfahren zur Erkennung und Bewältigung wesentlicher Cybersecurity-Risiken darlegen, einschließlich der Rolle des Vorstands. Beachten Sie: Diese Regelung gilt auch für ausländische private Emittenten (z.B. deutsche Firmen, die eine

Weiterlesen »
17. Januar 2024
Being Public

Revolution in D&O Versicherung in Nevada (US-Versicherungsmarkt) verschoben

Die Revolution in der D&O Versicherung in Nevada nun doch abgeblasen. Auf dem US Markt gab es im Sommer im Bundesstaat Nevada ein interessantes Gesetz (Bill No. 398) mit potentiell erheblichen Implikationen für den D&O-Versicherungsmarkt. Der Gouverneur von Nevada hatte den Gesetzentwurf am 3. Juni 2023 genehmigt, sodass das Gesetz am 1. Oktober 2023 in Kraft trat. Wir hatten diese Gesetzgebung (in den USA ist die Versicherungsaufsicht auf Bundesstaatenebene organisiert) als zu beobachten für unsere Mandanten eingeordnet, können dieses Gesetz

Weiterlesen »
9. Dezember 2023
Venture Capital

Wir informieren im VC-Magazin zu Haftungsrisiken bei VC-Fonds

Wir wurden im Dezember vom VC-Magazin gefragt, ob wir Einblicke in Haftungs- und Risikomanagementfragen zu Venture Capital Fonds geben können. Gerne! So hat Florian zusammen mit dem Team nicht nur Einblicke in aktuelle Herausforderungen gegeben, sondern auch praktische Lösungsansätze vorgeschlagen, um Risiken eines VC-Fonds effektiv zu minimieren und sinnvoll zu transferieren. Sie finden daher im Artikel des VC-Magazins: Mehrwerte maßgeschneiderter Versicherungskonzepte für VC-Fonds (Fokus: D&O/E&O-Versicherung #Moonshot Protect), Schlüsselmaßnahmen zur Risikoprävention (Lernkurve aus unserer Schadenwelt), enthaftende Vertragsregelungen als präventive Maßnahme, und

Weiterlesen »
26. Januar 2024
Being Public

Prospekthaftung Versicherung (POSI): Risk Partners publiziert für Euch

Risk Partners auf Going Public und dem Kapitalmarktblog zur Prospekthaftung-versicherung In den vergangenen Monaten haben wir unser Fachwissen zur Prospekthaftungsversicherung auf zwei renommierten Plattformen mit einem breiten Publikum teilen dürfen. Hier ein Überblick: Kapitalmarkt.blog Im Beitrag „POSI-Versicherung – Die Schutzweste am Kapitalmarkt“ erklären wir, warum die Prospekthaftungsversicherung ein unverzichtbares Instrument für Unternehmen ist, die am Kapitalmarkt aktiv werden. Der Artikel zeigt praxisnah, wie eine solche Versicherung nicht nur Haftungsrisiken minimiert, sondern auch das Vertrauen von Investoren stärkt. GoingPublic Magazin In

Weiterlesen »
29. Dezember 2024