Risk Partners Life Sciences Roundtable 2024. Vielen Dank! Jetzt bereits für den 26.06.2025 anmelden >

Kontakt

DORA-Verordnung findet ab Januar 2025 Anwendung.
Bedeutung für unsere Private Equity und Venture Capital Mandanten

Was etwas sperrig mit dem langen Namen „Digital Operational Resilience Act“ (kurz: DORA) daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVG jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als „lohnende Zielgruppe“ bei im Ausland sitzenden Cyber Kriminellen identifiziert wurden und nun systematisch „bearbeitet werden“. So sehen wir eine Zunahme an umgeleiteten Capital Calls, Payout Distributions oder umgeleitete Investments mit zum Teil aufwendigen Strategien der Angreifer. Es ist daher insbesondere hinsichtlich der Sensibilisierung einer unserer strategischen Fokusthemen für 2024/2025. 

Zur DORA-Verordnung: mit dieser  will die Europäische Kommission die Maßgaben zur IKT (Informations- und Kommunikationsrichtlinie)-Resilienz europaweit harmonisieren und Cybersicherheit im Finanzsektor zu verbessern. Ein besonderer Stichtag ist der 17. Januar 2025, an dem die Verordnung Verwendung finden wird (zwei Jahre nach Inkraftreten). 

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung („GPs“) – verantwortlich ist für das Management der IKT-Risiken ist. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss jederzeit auf dem neuesten Stand gehalten werden. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich mit diesem.

Wen betrifft die DORA-Verordnung?

Die DORA-Verordnung betrifft einerseits uns als Risk Partners (Versicherungsmakler) und andererseits vollregulierte KVG’en. Registrierte AIF-KVG’en sind davon ausgenommen. Zudem ist anzunehmen, dass die Ausnahme auch für EuVECA-Manager gelten, da diese typischerweise den registrierten AIF-KVG’en gleichgestellt werden.

Vollregulierte KVG’en sowie solche, die sich im Prozess der Vollregulierung befinden, sollten sicherstellen, dass sie DORA-konform aufgestellt sind.

Hinweis: Für GPs stellt ein Verstoß gegen die DORA-Verordnung einen Compliance-Verstoß dar, der gleichzeitig als Organisationsverschulden zu sehen ist. Dies führt in der Rechtsprechung schnell in die (unbegrenzte) persönliche Haftung der GPs führen.

Die DORA-Verordnung basiert auf den bestehenden aufsichtsrechtlichen Anforderungen und greift viele Regelungen auf, die den betroffenen Unternehmen bereits aus den sektoralen IT-Vorgaben bekannt sind. Sie harmonisiert diese Vorgaben, geht jedoch in ihrer Ausgestaltung detaillierter vor und reduziert die bisherigen Ermessensspielräume deutlich. Die neuen regulatorischen Anforderungen lassen sich in fünf Hauptbereiche gliedern (orientiert an den Kollegen von POELLATH):

IKTRisikomanagement und IKTGovernance:

Die DORA Verordnung legt fest, dass die Verantwortung für das Risikomanagement direkt bei der Geschäftsleitung liegt. IKT-Risiken müssen verpflichtend in das unternehmensweite Risikomanagement integriert werden. Während diese Anforderung bereits in bisherigen aufsichtsrechtlichen Vorgaben enthalten war, ist sie nun durch die DORA Verordnung rechtlich verbindlich geregelt.

Im Bereich der IKT-Governance, also der organisatorischen und rechtlichen Rahmenbedingungen für IT-Strukturen, verlangt die Verordnung, dass IKT in die Unternehmensstrategie eingebunden wird. Darüber hinaus schreibt die DORA Verordnung regelmäßige Updates und Kontrollmechanismen für IT-Systeme vor. 

Gemäß Vortrag von Dr. Fechler vom 26.09.2024

Zusätzlich müssen Strategien zur Datensicherung und Wiederherstellung entwickelt werden, um die Auswirkungen potenzieller Systemausfälle zu minimieren.

Meldepflicht für IKT-bezogene Vorfälle:

Gemäß der DORA Verordnung wird die BaFin zukünftig als zentrales nationales Melde-Hub für IKT-Vorfälle im Finanzsektor fungieren. Ein „IKT-bezogener Vorfall“ ist definiert als ein ungeplantes Ereignis, das die Sicherheit von Netzwerken oder Informationssystemen beeinträchtigt und zu negativen Folgen für die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Daten sowie für die Dienstleistungen eines Finanzunternehmens führen kann (Art. 3 Abs. 1 Nr. 8 DORA).

Die DORA Verordnung fordert, dass Unternehmen Schutzmechanismen und Frühwarnsysteme einrichten, um Cyberangriffe rechtzeitig zu erkennen und IKT-Vorfälle zu vermeiden. Sämtliche IKT-bezogenen Vorfälle müssen protokolliert werden. Zusätzlich wird ein Verfahren zur Klassifizierung dieser Vorfälle eingeführt, wobei schwerwiegende Vorfälle einer verpflichtenden Meldung unterliegen.

Testen der digitalen operativen Resilienz:

DORA verpflichtet vollregulierte KVG’en ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung sieht verschiedene geeignete Tests vor, um den Software-Code, die Netzwerksicherheit und die Kompatibilität von Hard- und Software zu prüfen. Ziel dieser Tests ist es, Schwachstellen in der eigenen digitalen operativen Resilienz aufzudecken und zu beheben.

IKT-Drittparteimanagement / Auslagerung:

Da immer mehr IKT-Leistungen an Technologiedienstleister ausgelagert werden, müssen Unternehmen im Rahmen ihres Risikomanagements auch Drittparteirisiken identifizieren. Diese Aufgabe dürfte gerade in der deutschen PE/VC-Landschaft erhebliche Aufwände durch Anpassungsbedarf verursachen. Die BaFin nimmt zudem entsprechende Anzeigen im Zusammenhang mit dem IKT-Drittparteimanagement entgegen und prüft diese auf potenzielle Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie bestimmte Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung wird in der Verordnung weit gefasst und umfasst – mit Ausnahme analoger Telefondienste – alle digitalen und Datendienste, die Nutzern über Systeme zur Verfügung gestellt werden. 

Überwachung kritischer IKT-Drittdienstleister:

DORA etabliert ein Rahmenwerk zur Überwachung kritischer IKT-Technologieanbieter, das in Deutschland bereits in Grundzügen existierte. Die Kompetenzen der BaFin werden dabei erheblich erweitert und umfassen unter anderem die Anforderung von Unterlagen, das Verhängen von Zwangsgeldern sowie Vor-Ort-Prüfungen. Die BaFin ist verantwortlich für die Einstufung eines IKT-Dienstleisters als kritisch und für die damit verbundene Überwachung. Die Kosten für diese Überwachung müssen die als kritisch eingestuften Dienstleister selbst tragen. Die typische KVG dürfte hiervon nicht betroffen sein. 

Mit Blick auf mögliche Risikotransferoptionen gibt es leider keine spezifische DORA-Versicherung. Die gute Nachricht ist jedoch, dass bereits bestehende ganzheitliche Versicherungskonzepte bei unseren Mandanten – in der Regel ein Dreiklang aus E&O-Versicherung, Cyber-Versicherung und Crime-Versicherung – die Risiken für KVG’en effektiv abdecken.

GPs können sich hingegen auf ihre bestehende Strafrechtsschutz- und D&O-Versicherung verlassen. Neben der Notwendigkeit, die jeweiligen Bedingungen auch in einer „DORA-Ära“ aktuell zu halten, sollten PE/VC-AIFM ihre Versicherungssummen kritisch überprüfen. Denn sowohl die Eintrittswahrscheinlichkeit als auch die potenzielle Höhe der Schadenfälle dürften in Zukunft steigen.

Gerne halten wir Sie im Rahmen unseres Blogs zu Trends im Versicherungsmarkt auf dem Laufenden. Vereinbaren Sie einen unverbindlichen Austausch mit uns: Wunschtermin buchen!

Lesen Sie auch unsere anderen Blogposts

4 Säulen der Cyber-Versicherung für Venture Capital und Private Equity
Cyber Security

Cyber-Versicherung Venture Capital und Private Equity

Warum die Cyber-Versicherung nicht das Kernrisiko von VC & PE Fonds transferiert und warum wir in Risk Partners Cyber-Rahmenverträge investiert haben. Warum Cyber-Risiken für Venture-Capital- und Private-Equity-Fonds relevant sind Mit dem zunehmenden Wachstum der Cyber-Crime-Industrie (vgl. Bundesamt für Verfassungsschutz) sind auch Venture-Capital- (VC) und Private-Equity-Fonds (PE) bzw. deren Fondsmanager stärker Cyber-Risiken ausgesetzt. Seit Jahren spiegelt sich das bei den Schadenfällen wider, die wir begleiten dürfen, in der Fondsmanager Jahr für Jahr Platz 1 bei den von uns betreuten Branchen einnehmen.

Weiterlesen »
29. Dezember 2024
Being Public

Earnings Call: eine 0 zu viel – der Lyft-CEO-Fehler

„Look, it was a bad error, and that’s on me,” CEO von LYFT Inc. Der Vorfall und möglicher Versicherungsschutz. Ggf. haben Sie auch von dem jüngsten Vorfall mit LYFT gehört. Im Quartals Earnings Report gab LYFT ursprünglich an, dass die Gewinnmargen um 500 Basispunkte steigen, bevor dies während der Telefonkonferenz auf 50 Basispunkte korrigiert wurde. Dieser Schreibfehler führte dazu, dass der Aktienkurs im nachbörslichen Handel um mehr als 60 % stieg. Diese Situation ist genau das, was Investor Relations-Teams, die

Weiterlesen »
17. Februar 2024
Geschäftsleitung

So schützen sich Geschäftsleitende vor persönlicher Haftung bei Cyber-Incidents – #29Minutes by Control Risk & Risk Partners

So schützen sich Geschäftsleitende vor persönlicher Haftung bei Cyber-Incidents – #29Minutes by Control Risk & Risk Partners Blicken wir auf unsere Schadenerfahrung im Bereich Organhaftung in den letzten Jahren, so nehmen Innenansprüche mit dem Vorwurf unzureichendem Cyber Risk Management sowie Notfallmanagement bei einer Cyberattacke leider stark zu. Neben speziellen Risikotransferlösungen (Cyber- und VSV-Versicherung) gibt es auch ganz praktische Tipps, um im Fall der Fälle richtig zu reagieren.  Nach einem Austausch auf einer Risiko Management Konferenz in Q1 diesen Jahres haben

Weiterlesen »
8. November 2023
Being Public

Risk Partners unterstützt erfolgreiches Uplisting in den Prime Standard von Formycon AG

Wir gratulieren Formycon AG herzlich zum erfolgreichen Uplisting in den Prime Standard der Deutschen Börse am 12. November 2024! Willkommen in der Prime Standard-Liga: Ein neuer Champion der Life Sciences und Biosimilars hat erfolgreich den Schritt vom Scale-Segment vollzugen. Mit Stolz gratulieren wir Enno Spillner, Dr. Caroline Redeker, Daniel Marquard und dem gesamten Team der Formycon AG zu diesem großartigen Erfolg und einem weiteren wichtigen Meilenstein auf ihrem Weg zum globalen Champion im Bereich Biosimilars! Formycon AG hat sich auf

Weiterlesen »
14. November 2024
Life Sciences

Finance Day 2023

Wachstumskapital für Biotechnologie: Gestern, Heute, Morgen! Vor ein paar Tagen waren Jutta Zaglauer und Florian Eckstein aus unserem Team auf dem Finance Day 2023 anlässlich des 25-jährigen Jubiläums Biotechnologie im IZB – Innovation and Startup Center for Biotechnology. Das Event bot einen spannenden Austausch und Einblicke in aktuelle Finanzierungs- und Kapitalmarktfragen von Biotechnologie-Unternehmen. Als erfahrener Spezialversicherungsmakler für die Bereiche Life Sciences, Venture Capital und IPOs, waren gleich alle drei Eckpunkte unseres „magischen Expertise-Dreiecks“ Teil der spannenden Agenda. Interessant war es auch die Bedeutung maßgeschneiderter

Weiterlesen »
6. November 2023
Being Public

Staatsanwaltschaft ermittelt: Täuschungsverdacht bei Kurzarbeit (Sono Motors)

Keinen Startup-Bonus bei Straf- und Ordnungswidrigkeiten. Der Vorfall und möglicher Versicherungsschutz. Wie vom Team um Hannah Schwär vom Capital Magazin exklusiv recherchiert wurde, drohen den Gründern von Sono Motors nun auch Probleme mit der Staatsanwaltschaft. Laut dem Capital Magazin steht Subventionsbetrug im Rahmen der Kurzarbeit und den Programmen rund um die Coronakrise im Raum. Eine Meldung des Unternehmens, das via De-SPAC an der NASDAQ gelistet ist, an die SEC erfolgte bereits. Während der Schadenbetrag in Höhe von 40.000 EUR noch

Weiterlesen »
19. März 2024