FONDS professionell Deutschland, Ausgabe 2/2024
beschäftigen oder mehr als 50 Millionen Euro Jahresumsatz erwirtschaften. „Eines der beiden Kriterien muss erfüllt sein. Hat eine Gesellschaft nur 200 Mitarbeiter, aber 60 Millionen Umsatz, gilt die Verordnung. Ebenso, wenn sie mit 300 Mitarbeitern bloß 30 Millionen Euro umsetzt“, erläutert Christian Waigel, Partner der Münchner Kanzlei Waigel Rechtsanwälte. Dagegen fällt ein Pool, der nur eine Zulassung ge- mäß Paragraf 34f Gewerbeordnung hat, ebenso wie alle 34f-Vermittler und 34h- Honorarberater nicht unter DORA. Das gilt auch für die meisten Versicherungs- vermittler (siehe Kasten nächste Seite). In manchen Fällen muss eine Finanz- firma genau prüfen, ob DORA für sie ein- schlägig ist, beispielsweise wenn ein Versi- cherungspool aufgrund seiner Größe nicht betroffen ist, aber ein Wertpapierinstitut als Tochter hat. „Es geht nicht um die recht- liche Einordnung einer einzelnen Gesell- schaft, sondern um die Hard- und Software des Konzerns als Ganzes. Wenn Mutter und Tochter die gleiche IT nutzen, fällt faktisch auch das Mutterunternehmen un- ter DORA, auch wenn es regulatorisch nicht betroffen wäre“, erläutert Sarah Lemke, Syndikusrechtsanwältin bei der Hamburger Netfonds-Gruppe. Kernpunkte Die von der Verordnung vorgegebenen Standards und Prozesse sind eher technisch formuliert, darum lassen sich die Regeln für Laien nur skizzieren. Wichtig ist, dass Finanzunternehmen, die unter DORA fal- len, im Rahmen ihres Risikomanagements auch die IT-Risiken abdecken müssen. „Die Firmen müssen laut den Artikeln 5 bis 15 Prozesse zur Governance und zur Kontrol- le der IT-Systeme und ihrer Nutzer auf- setzen und überwachen, um die Risiken zu kontrollieren. Dazu gehört auch, auf Ma- nagementebene einen Verantwortlichen für die IT zu benennen“, erklärt Thomas Walkner, Managing Principal bei der Unternehmensberatung Capco. Das meint anfangs einfach auch, sich einen Überblick über alle Systeme und Partner, also die Drittanbieter, zu verschaffen. „Zudemmüs- sen die Prozesse dokumentiert werden.Das tun viele Gesellschaften bislang nicht“, mahnt Lemke. Die Artikel 17 bis 23 be- schreiben die Prozesse zur Meldung eines IKT-Vorfalls. Damit gemeint ist laut Defini- tion ein „nicht geplantes Ereignis oder eine Reihe verbundener Ereignisse, das oder die die Sicherheit der Netzwerk- und Informa- tionssysteme beeinträchtigt“. Adressat der Meldungen ist immer die Bafin. Die Artikel 24 bis 27 beschreiben die Pflicht zu Tests der Resilienz der Systeme. „Die Finanzunternehmen müssen Cyber- attacken simulieren und prüfen, ob ihre IT diesen standhält. Auch hier ist wieder die Dokumentation wichtig“, so Lemke. „Ein Beispiel wäre ein DDoS-Angriff, bei dem versucht wird, die Webseite mit dauernden Aufrufen lahmzulegen“, konkretisiert Walk- ner. Auch Phishing-Attacken auf Mitarbei- ter gehören dazu. Der vierte große Teil in den Artikeln 28 bis 44 umfasst die Pflichten zum IKT-Dritt- parteirisikomanagement, das heißt die Kontrolle der externen IT-Dienstleister. Nach Ansicht aller Experten ist dieser Teil insbesondere auch für Pools und Vermö- gensverwalter relevant, da viele von ihnen zahlreiche IT-Dienstleistungen auslagern. „Die Verträge mit den Drittanbietern müs- sen so gestaltet sein, dass deren Sorgfalts- pflichten klar definiert sind und die Finanz- unternehmen die Einhaltung der Pflichten kontrollieren können“, erläutert Walkner. Lemke zufolge müssen Finanzunterneh- men ihre Due Diligence auf die IKT-Anbie- ter ausdehnen. Sie sollten unter anderem prüfen, ob die Dienstleister über einschlä- gige Zertifizierungen verfügen, Erfahrung mit solchen Auslagerungen haben und ausreichend versichert sind. Erleichterungen Diese Vorschriften sind sehr umfassend. Für Großbanken und international agie- rende Versicherer mögen sie zu stemmen sein, kleinere Einheiten wie Pools oder unabhängige Vermögensverwalter tun sich damit aber schwer. Daher sieht DORA für kleinere und mittlere Unternehmen diverse Ausnahmen vor, die von den Aufsichts- behörden noch genauer festgelegt werden. „Grundlage hierfür ist unter anderem Arti- kel 4 der Verordnung. Er trägt der Tatsache Rechnung, dass die von DORA betroffe- nen Unternehmen eine sehr heterogene Gruppe bilden, die von der großen Univer- salbank bis hin zum kleinen Vermögens- verwalter reicht“, sagt Philipp Hendel, Part- ner der Münchner Kanzlei DRRP. Außer- dem gewährt der EU-Gesetzgeber bereits an etlichen Stellen in der Verordnung de- taillierte Ausnahmen für kleine Wertpapier- institute und sogenannte Kleinstunter- nehmen, die weniger als zehn Mitarbeiter beschäftigen und deren Jahresumsatz unter zwei Millionen Euro liegt. Zudem konkre- » Die von DORA betroffenen Unter- nehmen bilden eine sehr heterogene Gruppe. « Philipp Hendel, DRRP fondsprofessionell.de 2/2024 407 FOTO: © TOM ROCH | KANZLEI DRRP
RkJQdWJsaXNoZXIy ODI5NTI=