FONDS professionell Deutschland, Ausgabe 2/2024

Bevor es zu spät ist Damit sich Finanzunternehmen gegen Cyberattacken wappnen, hat die EU ein Regelwerk namens DORA verabschiedet. Teile davon sind auch für Maklerpools und Vermögensverwalter relevant. C yberattacken nehmen weltweit immer weiter zu. Auch Finanzunternehmen in Deutschland werden angegriffen.Öffent- lich werden nur wenige Fälle. Im Sommer 2021 hatten Hacker etwa die Haftpflicht- kasse ins Visier genommen, nachdem kurz zuvor die Axa-Gruppe Opfer einer soge- nannten Ransomware-Attacke geworden war. Zu Jahresbeginn 2020 hatten Internet- kriminelle die FI-TS, eine Tochter des Spar- kassen-IT-Dienstleisters Finanz Informatik, angegriffen. Aber nicht nur die Finanz- konzerne selbst müssen sich mit Hackern auseinandersetzen: Im vergangenen Sep- tember hatte die Bonner Aufsichtsbehörde Bafin mit den Folgen einer Cyberattacke zu kämpfen. Weil arbeitsfähige Finanzunternehmen und eine hohe Datensicherheit letztlich für das gesamte Wirtschaftssystem relevant sind, hat der EU-Gesetzgeber beschlossen, einen einheitlichen Rechtsrahmen in der Union zu schaffen, um das Finanzsystem als solches vor Risiken für die Informa- tions- und Kommunikationstechnik (IKT) zu schützen. Das Ergebnis ist die Verord- nung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), kurz DORA. Sie ist wiederum Teil des Maßnah- menpakets der Europäischen Kommission zur Digitalisierung des europäischen Finanz- sektors vom September 2020. Das Regel- werk trat am 17. Januar 2023 in Kraft und muss binnen zwei Jahren umgesetzt wer- den, also zum 17. Januar 2025. Da die Ver- ordnung direkt in der gesamten EU gilt, muss sie nicht in nationales Recht über- führt werden. In Deutschland waren im Wesentlichen nur Änderungen nötig, um die Strafen und Bußgelder bei Nichtbeach- tung der DORA festzulegen, was mit dem Finanzmarktdigitalisierungsgesetz erfolgte. Kern der Verordnung, die neben Banken und Versicherern auch Vermögensverwalter und mit gewissen Abstrichen Maklerpools betrifft, sind Vorschriften zu vier großen Themen: dem IKT-Risikomanagement, der Meldung von IKT-bezogenen Vorfällen, Tests der digitalen operationalen Wider- standsfähigkeit (fachsprachlich Resilienz genannt) und dem IKT-Drittparteirisiko- management. FONDS professionell erläu- tert, was auf die Branche zukommt – und welche Ausnahmen für Vermittler und kleinere Unternehmen vorgesehen sind. Adressaten DORA gilt grundsätzlich für alle Finanz- unternehmen, also Banken, Zahlungs- dienstleister, Wertpapierinstitute (und da- mit Vermögensverwalter), Kapitalverwal- tungsgesellschaften und Versicherer. Die Bafin geht davon, dass in Deutschland rund 3.600 Gesellschaften betroffen sind. Auch Maklerpools, die im Versicherungs- bereich tätig sind, fallen unter die Verord- nung, sofern sie mehr als 250 Mitarbeiter » Finanzunternehmen müssen Cyberattacken simulieren. « Sara Lemke, Netfonds Finanzunternehmen sollen ihre IT- Systeme vor Cyberangriffen schützen. Weil solche Attacken potenziell der gesamten Wirtschaft schaden, verpflichtet eine neue EU-Verordnung die Branche nun zur Vorsorge. STEUER & RECHT DORA 406 fondsprofessionell.de 2/2024 FOTO: © ANDREY POPOV | STOCK.ADOBE.COM

RkJQdWJsaXNoZXIy ODI5NTI=