Risk Partners Life Sciences Roundtable 2024 am 18.07.24. Vielen Dank! Jetzt bereits für 2025 anmelden >
Kontakt

DORA-Verordnung findet ab Januar 2025 Anwendung.
Bedeutung für unsere Private Equity und Venture Capital Mandanten

Was etwas sperrig mit Digital Operational Resilience Act daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVGen jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als “lohnende Zielgruppe” bei im Ausland sitzenden Cyber Kriminellen identifiziert wurden und nun systematisch “bearbeitet werden”. So sehen wir eine Zunahme an umgeleiteten Capital Calls, Payout Distributions oder umgeleitete Investments mit zum Teil aufwendigen Strategien der Angreifer. Es ist daher insbesondere hinsichtlich der Sensibilisierung einer unserer strategischen Fokusthemen für 2024/2025. 

Zur DORA-Verordnung: mit dieser  will die Europäische Kommission die Maßgaben zur IKT (Informations- und Kommunikationsrichtlinie)-Resilienz europaweit harmonisieren und Cybersicherheit im Finanzsektor zu verbessern. Ein besonderer Stichtag ist der 17. Januar 2025, an dem die Verordnung Verwendung finden wird (zwei Jahre nach Inkraftreten). 

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung oder der Vorstand (“GPs”) – verantwortlich ist für das Management der IKT-Risiken. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss immer auf dem neuesten Stand sein. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich.

 

Wen betrifft die DORA-Verordnung?

Zum einen betrifft es uns als Risk Partners, zum anderen die Fondsverwalter. Von den Verwaltern alternativer Investmentfonds sind nur die KVGen mit Vollerlaubnis der BaFin erfasst. Registrierte AIF-KVGen sind davon ausgenommen. Dies sollte – trotz fehlender gesonderter Regelung – auch für EuVECA-Manager gelten, da sie typischerweise als registrierte AIF-KVGen von dieser Ausnahme erfasst sein dürften.

DORA baut auf den bestehenden aufsichtsrechtlichen Anforderungen auf. Viele der Regelungen sind den betroffenen Unternehmen daher bereits aus den sektoralen IT-Vorgaben bekannt. DORA harmonisiert diese Regelungen, ist jedoch insgesamt detaillierter und schränkt bestehende Ermessensspielräume weiter ein. Die neuen regulatorischen Anforderungen lassen sich in fünf Hauptbereiche gliedern (orientiert an den Kollegen von POELLATH):

IKT-Risikomanagement und IKT-Governance:

Die Verantwortung für das Risikomanagement liegt bei der Geschäftsleitung. IKT-Risiken müssen in dieses Risikomanagement integriert werden. Während dies bereits den bisherigen aufsichtsrechtlichen Anforderungen entsprach, ist es nun gesetzlich festgeschrieben. Im Rahmen der IKT-Governance, also der rechtlichen und organisatorischen Rahmenbedingungen der IT, muss IKT in die Unternehmensstrategie eingebunden werden. Zudem werden verpflichtende Updates und Kontrollmechanismen für IKT-Systeme eingeführt. Strategien zur Datensicherung und -wiederherstellung müssen ebenfalls entwickelt werden, um Systemausfälle zu minimieren.

Meldepflicht für IKT-bezogene Vorfälle:

Die BaFin übernimmt künftig die Rolle eines nationalen Melde-Hubs für IKT-Vorfälle im Finanzsektor. Ein „IKT-bezogener Vorfall“ ist ein ungeplantes Ereignis, das die Sicherheit von Netzwerken und Informationssystemen beeinträchtigt und negative Auswirkungen auf die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von Daten oder Dienstleistungen eines Finanzunternehmens hat (Art. 3 Abs. 1 Nr. 8 DORA). Um Cyberangriffe frühzeitig zu erkennen und IKT-Vorfälle zu vermeiden, müssen Schutzmechanismen sowie Frühwarnsysteme implementiert werden. Alle IKT-bezogenen Vorfälle müssen protokolliert werden. Zusätzlich wird ein Verfahren zur Klassifizierung von Vorfällen eingeführt, und schwerwiegende Vorfälle müssen zwingend gemeldet werden.

Testen der digitalen operativen Resilienz:

DORA verpflichtet Finanzunternehmen, ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung sieht verschiedene geeignete Tests vor, um den Software-Code, die Netzwerksicherheit und die Kompatibilität von Hard- und Software zu prüfen. Ziel dieser Tests ist es, Schwachstellen in der eigenen digitalen operativen Resilienz aufzudecken und zu beheben.

IKT-Drittparteimanagement/Auslagerung:

Da immer mehr IKT-Leistungen an Technologiedienstleister ausgelagert werden, müssen Unternehmen im Rahmen ihres Risikomanagements auch Drittparteirisiken identifizieren. Die BaFin nimmt entsprechende Anzeigen im Zusammenhang mit dem IKT-Drittparteimanagement entgegen und prüft diese auf potenzielle Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie bestimmte Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung wird weit gefasst und umfasst – mit Ausnahme analoger Telefondienste – alle digitalen und Datendienste, die Nutzern über Systeme zur Verfügung gestellt werden, einschließlich Hardware-as-a-Service und Hardwaredienstleistungen (Art. 3 Abs. 1 Nr. 21 DORA).

Überwachung kritischer IKT-Drittdienstleister:

DORA etabliert ein Rahmenwerk zur Überwachung kritischer IKT-Technologieanbieter, das in Deutschland bereits in Grundzügen existierte. Die Kompetenzen der BaFin werden dabei erheblich erweitert und umfassen unter anderem die Anforderung von Unterlagen, das Verhängen von Zwangsgeldern sowie Vor-Ort-Prüfungen. Die BaFin ist verantwortlich für die Einstufung eines IKT-Dienstleisters als kritisch und für die damit verbundene Überwachung. Die Kosten für diese Überwachung müssen die als kritisch eingestuften Dienstleister selbst tragen.

Lesen Sie auch unsere anderen Blogposts

Geschäftsleitung

So schützen sich Geschäftsleitende vor persönlicher Haftung bei Cyber-Incidents – #29Minutes by Control Risk & Risk Partners

So schützen sich Geschäftsleitende vor persönlicher Haftung bei Cyber-Incidents – #29Minutes by Control Risk & Risk Partners Blicken wir auf unsere Schadenerfahrung im Bereich Organhaftung in den letzten Jahren, so nehmen Innenansprüche mit dem Vorwurf unzureichendem Cyber Risk Management sowie Notfallmanagement bei einer Cyberattacke leider stark zu. Neben speziellen Risikotransferlösungen (Cyber- und VSV-Versicherung) gibt es auch ganz praktische Tipps, um im Fall der Fälle richtig zu reagieren.  Nach einem Austausch auf einer Risiko Management Konferenz in Q1 diesen Jahres haben

Weiterlesen »
8. November 2023
Risk Partners

13. Hamburger Financial Lines Forum

Risk Partners auf dem Financial Lines Forum 13. Hamburger Financial Lines Forum. Am 12. und 13. Oktober fand das 13. Hamburger Financial Lines Forum mit Beteiligung der Risk Partners statt, eine traditionsreiche Veranstaltung, die auch in diesem Jahr wieder zum Austausch aktueller Trends diente. Das Programm begann mit einem Überblick über die aktuellen Entwicklungen und die Abwicklung von Schadensfällen in den Financial Lines, präsentiert von Gabriele Schreiber-Sahin, Michael Hendricks. Dr. Oliver Sieg beleuchtete im Anschluss die Organhaftung und die europäische

Weiterlesen »
28. Oktober 2023
Being Public

Revolution in D&O Versicherung in Nevada (US-Versicherungsmarkt) verschoben

Die Revolution in der D&O Versicherung in Nevada nun doch abgeblasen. Auf dem US Markt gab es im Sommer im Bundesstaat Nevada ein interessantes Gesetz (Bill No. 398) mit potentiell erheblichen Implikationen für den D&O-Versicherungsmarkt. Der Gouverneur von Nevada hatte den Gesetzentwurf am 3. Juni 2023 genehmigt, sodass das Gesetz am 1. Oktober 2023 in Kraft trat. Wir hatten diese Gesetzgebung (in den USA ist die Versicherungsaufsicht auf Bundesstaatenebene organisiert) als zu beobachten für unsere Mandanten eingeordnet, können dieses Gesetz

Weiterlesen »
9. Dezember 2023
Being Public

Global Integrity and Compliance Forum 2024 

𝗚𝗹𝗼𝗯𝗮𝗹 𝗜𝗻𝘁𝗲𝗴𝗿𝗶𝘁𝘆 𝗮𝗻𝗱 𝗖𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲 𝗙𝗼𝗿𝘂𝗺 𝟮𝟬𝟮𝟰 „D&O and Co. – Plan B to cover personal liability!” Am vergangenen Freitag hatte Florian die Ehre, am Global Integrity and Compliance Forum an der Ludwig-Maximilians-Universität München teilzunehmen. Unter dem Motto „The RULE of LAW in the Era of Integrity & Compliance” versammelten sich internationale Rechtsexpert:innen, Unternehmensleiter:innen sowie Inhouse Councils & Compliance-Beauftragte aus aller Welt, um über die Zukunft der „Good Corporate Governance“ im Jahr 2024 zu diskutieren. Zentrale Diskussionen und Erkenntnisse Eines der

Weiterlesen »
14. Juni 2024
Being Public

Staatsanwaltschaft ermittelt: Täuschungsverdacht bei Kurzarbeit (Sono Motors)

Keinen Startup-Bonus bei Straf- und Ordnungswidrigkeiten. Der Vorfall und möglicher Versicherungsschutz. Wie vom Team um Hannah Schwär vom Capital Magazin exklusiv recherchiert wurde, drohen den Gründern von Sono Motors nun auch Probleme mit der Staatsanwaltschaft. Laut dem Capital Magazin steht Subventionsbetrug im Rahmen der Kurzarbeit und den Programmen rund um die Coronakrise im Raum. Eine Meldung des Unternehmens, das via De-SPAC an der NASDAQ gelistet ist, an die SEC erfolgte bereits. Während der Schadenbetrag in Höhe von 40.000 EUR noch

Weiterlesen »
19. März 2024
Life Sciences

Atrialis GmbH – experts in clinical trial insurance

Atrialis GmbH – experts in clinical trial insurance & Risk Partners spielen künftig im gleichen Team. LifeSciences – Führende Risikokonzepte für führende Wissenschaft!  Unter diesem Leitmotiv dürfen wir seit vielen Jahren innovative Unternehmen aus dem Umfeld von Biotechnologie, Pharma und Medizinprodukten umfänglich in Risikofragen beraten und mit passenden Versicherungslösungen in allen Wachstums- und Studienphasen, von Gründung bis Börsengang und darüber hinaus (z.B. Versicherung einer klinischen Studie), begleiten. Gemeinsam mit meinem Team der Risk Partners GmbH möchten wir unseren Fokus, die Leidenschaft

Weiterlesen »
31. Oktober 2023