Risk Partners Life Sciences Roundtable 2024. Vielen Dank! Jetzt bereits für den 26.06.2025 anmelden >

Kontakt

DORA-Verordnung findet ab Januar 2025 Anwendung.
Bedeutung für unsere Private Equity und Venture Capital Mandanten

Was etwas sperrig mit dem langen Namen „Digital Operational Resilience Act“ (kurz: DORA) daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVG jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als „lohnende Zielgruppe“ bei im Ausland sitzenden Cyber Kriminellen identifiziert wurden und nun systematisch „bearbeitet werden“. So sehen wir eine Zunahme an umgeleiteten Capital Calls, Payout Distributions oder umgeleitete Investments mit zum Teil aufwendigen Strategien der Angreifer. Es ist daher insbesondere hinsichtlich der Sensibilisierung einer unserer strategischen Fokusthemen für 2024/2025. 

Zur DORA-Verordnung: mit dieser  will die Europäische Kommission die Maßgaben zur IKT (Informations- und Kommunikationsrichtlinie)-Resilienz europaweit harmonisieren und Cybersicherheit im Finanzsektor zu verbessern. Ein besonderer Stichtag ist der 17. Januar 2025, an dem die Verordnung Verwendung finden wird (zwei Jahre nach Inkraftreten). 

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung („GPs“) – verantwortlich ist für das Management der IKT-Risiken ist. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss jederzeit auf dem neuesten Stand gehalten werden. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich mit diesem.

Wen betrifft die DORA-Verordnung?

Die DORA-Verordnung betrifft einerseits uns als Risk Partners (Versicherungsmakler) und andererseits vollregulierte KVG’en. Registrierte AIF-KVG’en sind davon ausgenommen. Zudem ist anzunehmen, dass die Ausnahme auch für EuVECA-Manager gelten, da diese typischerweise den registrierten AIF-KVG’en gleichgestellt werden.

Vollregulierte KVG’en sowie solche, die sich im Prozess der Vollregulierung befinden, sollten sicherstellen, dass sie DORA-konform aufgestellt sind.

Hinweis: Für GPs stellt ein Verstoß gegen die DORA-Verordnung einen Compliance-Verstoß dar, der gleichzeitig als Organisationsverschulden zu sehen ist. Dies führt in der Rechtsprechung schnell in die (unbegrenzte) persönliche Haftung der GPs führen.

Die DORA-Verordnung basiert auf den bestehenden aufsichtsrechtlichen Anforderungen und greift viele Regelungen auf, die den betroffenen Unternehmen bereits aus den sektoralen IT-Vorgaben bekannt sind. Sie harmonisiert diese Vorgaben, geht jedoch in ihrer Ausgestaltung detaillierter vor und reduziert die bisherigen Ermessensspielräume deutlich. Die neuen regulatorischen Anforderungen lassen sich in fünf Hauptbereiche gliedern (orientiert an den Kollegen von POELLATH):

IKTRisikomanagement und IKTGovernance:

Die DORA Verordnung legt fest, dass die Verantwortung für das Risikomanagement direkt bei der Geschäftsleitung liegt. IKT-Risiken müssen verpflichtend in das unternehmensweite Risikomanagement integriert werden. Während diese Anforderung bereits in bisherigen aufsichtsrechtlichen Vorgaben enthalten war, ist sie nun durch die DORA Verordnung rechtlich verbindlich geregelt.

Im Bereich der IKT-Governance, also der organisatorischen und rechtlichen Rahmenbedingungen für IT-Strukturen, verlangt die Verordnung, dass IKT in die Unternehmensstrategie eingebunden wird. Darüber hinaus schreibt die DORA Verordnung regelmäßige Updates und Kontrollmechanismen für IT-Systeme vor. 

Gemäß Vortrag von Dr. Fechler vom 26.09.2024

Zusätzlich müssen Strategien zur Datensicherung und Wiederherstellung entwickelt werden, um die Auswirkungen potenzieller Systemausfälle zu minimieren.

Meldepflicht für IKT-bezogene Vorfälle:

Gemäß der DORA Verordnung wird die BaFin zukünftig als zentrales nationales Melde-Hub für IKT-Vorfälle im Finanzsektor fungieren. Ein „IKT-bezogener Vorfall“ ist definiert als ein ungeplantes Ereignis, das die Sicherheit von Netzwerken oder Informationssystemen beeinträchtigt und zu negativen Folgen für die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Daten sowie für die Dienstleistungen eines Finanzunternehmens führen kann (Art. 3 Abs. 1 Nr. 8 DORA).

Die DORA Verordnung fordert, dass Unternehmen Schutzmechanismen und Frühwarnsysteme einrichten, um Cyberangriffe rechtzeitig zu erkennen und IKT-Vorfälle zu vermeiden. Sämtliche IKT-bezogenen Vorfälle müssen protokolliert werden. Zusätzlich wird ein Verfahren zur Klassifizierung dieser Vorfälle eingeführt, wobei schwerwiegende Vorfälle einer verpflichtenden Meldung unterliegen.

Testen der digitalen operativen Resilienz:

DORA verpflichtet vollregulierte KVG’en ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung sieht verschiedene geeignete Tests vor, um den Software-Code, die Netzwerksicherheit und die Kompatibilität von Hard- und Software zu prüfen. Ziel dieser Tests ist es, Schwachstellen in der eigenen digitalen operativen Resilienz aufzudecken und zu beheben.

IKT-Drittparteimanagement / Auslagerung:

Da immer mehr IKT-Leistungen an Technologiedienstleister ausgelagert werden, müssen Unternehmen im Rahmen ihres Risikomanagements auch Drittparteirisiken identifizieren. Diese Aufgabe dürfte gerade in der deutschen PE/VC-Landschaft erhebliche Aufwände durch Anpassungsbedarf verursachen. Die BaFin nimmt zudem entsprechende Anzeigen im Zusammenhang mit dem IKT-Drittparteimanagement entgegen und prüft diese auf potenzielle Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie bestimmte Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung wird in der Verordnung weit gefasst und umfasst – mit Ausnahme analoger Telefondienste – alle digitalen und Datendienste, die Nutzern über Systeme zur Verfügung gestellt werden. 

Überwachung kritischer IKT-Drittdienstleister:

DORA etabliert ein Rahmenwerk zur Überwachung kritischer IKT-Technologieanbieter, das in Deutschland bereits in Grundzügen existierte. Die Kompetenzen der BaFin werden dabei erheblich erweitert und umfassen unter anderem die Anforderung von Unterlagen, das Verhängen von Zwangsgeldern sowie Vor-Ort-Prüfungen. Die BaFin ist verantwortlich für die Einstufung eines IKT-Dienstleisters als kritisch und für die damit verbundene Überwachung. Die Kosten für diese Überwachung müssen die als kritisch eingestuften Dienstleister selbst tragen. Die typische KVG dürfte hiervon nicht betroffen sein. 

Mit Blick auf mögliche Risikotransferoptionen gibt es leider keine spezifische DORA-Versicherung. Die gute Nachricht ist jedoch, dass bereits bestehende ganzheitliche Versicherungskonzepte bei unseren Mandanten – in der Regel ein Dreiklang aus E&O-Versicherung, Cyber-Versicherung und Crime-Versicherung – die Risiken für KVG’en effektiv abdecken.

GPs können sich hingegen auf ihre bestehende Strafrechtsschutz- und D&O-Versicherung verlassen. Neben der Notwendigkeit, die jeweiligen Bedingungen auch in einer „DORA-Ära“ aktuell zu halten, sollten PE/VC-AIFM ihre Versicherungssummen kritisch überprüfen. Denn sowohl die Eintrittswahrscheinlichkeit als auch die potenzielle Höhe der Schadenfälle dürften in Zukunft steigen.

Gerne halten wir Sie im Rahmen unseres Blogs zu Trends im Versicherungsmarkt auf dem Laufenden. Vereinbaren Sie einen unverbindlichen Austausch mit uns: Wunschtermin buchen!

Lesen Sie auch unsere anderen Blogposts

Being Public

„Ich glaube an ein starkes IPO-Comeback in 2024“ – Interview Plattform Life Sciences

Risk Partners in der Fachpresse. Florian wurde von den Journalisten der Plattform Life Sciences um ein Interview zu unserer Sichtweise auf das Jahr 2024 sowie der Unternehmensentwicklung der Risk Partners im vergangenen Jahr angesprochen. Neben herausfordernden Schadenfällen, Produktinnovationen (z.B. rundum die POSI-Versicherung) aus dem Hause Risk Partners geht Florian auch nochmal auf unsere Beweggründe für das „Team up“ mit den phantastischen Kollegen:innen von Atrialis GmbH – experts in clinical trials“ ein. Hier geht es zum Interview von Florian.  Lesen Sie

Weiterlesen »
11. Januar 2024
Life Sciences

Atrialis GmbH – experts in clinical trial insurance

Atrialis GmbH – experts in clinical trial insurance & Risk Partners spielen künftig im gleichen Team. LifeSciences – Führende Risikokonzepte für führende Wissenschaft!  Unter diesem Leitmotiv dürfen wir seit vielen Jahren innovative Unternehmen aus dem Umfeld von Biotechnologie, Pharma und Medizinprodukten umfänglich in Risikofragen beraten und mit passenden Versicherungslösungen in allen Wachstums- und Studienphasen, von Gründung bis Börsengang und darüber hinaus (z.B. Versicherung einer klinischen Studie), begleiten. Gemeinsam mit meinem Team der Risk Partners GmbH möchten wir unseren Fokus, die Leidenschaft

Weiterlesen »
31. Oktober 2023
Cyber Security

„Digital Operational Resilience Act“ (DORA-Verordnung) aus Sicht von Venture Capital und Private Equity Fonds

DORA-Verordnung findet ab Januar 2025 Anwendung. Bedeutung für unsere Private Equity und Venture Capital Mandanten Was etwas sperrig mit dem langen Namen „Digital Operational Resilience Act“ (kurz: DORA) daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVG jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als „lohnende Zielgruppe“ bei im Ausland sitzenden Cyber

Weiterlesen »
27. Dezember 2024
4 Säulen der Cyber-Versicherung für Venture Capital und Private Equity
Cyber Security

Cyber-Versicherung Venture Capital und Private Equity

Warum die Cyber-Versicherung nicht das Kernrisiko von VC & PE Fonds transferiert und warum wir in Risk Partners Cyber-Rahmenverträge investiert haben. Warum Cyber-Risiken für Venture-Capital- und Private-Equity-Fonds relevant sind Mit dem zunehmenden Wachstum der Cyber-Crime-Industrie (vgl. Bundesamt für Verfassungsschutz) sind auch Venture-Capital- (VC) und Private-Equity-Fonds (PE) bzw. deren Fondsmanager stärker Cyber-Risiken ausgesetzt. Seit Jahren spiegelt sich das bei den Schadenfällen wider, die wir begleiten dürfen, in der Fondsmanager Jahr für Jahr Platz 1 bei den von uns betreuten Branchen einnehmen.

Weiterlesen »
29. Dezember 2024
Life Sciences

Studie St. Gallen: 6 Mrd. USD pro Medikament

HSG St. Gallen: Medikament kostet im Schnitt 6,16 Mrd. USD. Sind die Zeiten für neue Medikamente für unter 1 Mrd. USD vorbei? Gesetzt waren Zahlen in der Branche, die von 700-1.000 Mio. USD als Kosten für die Entwicklung eines neuen Medikaments sprachen. In einer Studie der Hochschule St. Gallen über den Betrachtungszeitraum 2001-2020 wurde festgestellt, dass die Kosten für die Entwicklung neuer Medikamente drastisch gestiegen sind. Es wurde geschätzt, dass die Kosten für die Entwicklung eines neuen Medikaments inzwischen bei

Weiterlesen »
26. September 2023