FONDS professionell Deutschland, Ausgabe 2/2024
tisiert Artikel 16 die Ausnahmen für kleine und nicht verflochtene Wertpapierfirmen beim IKT-Risikomanagement. Hierzu ha- ben die europäischen Aufsichtsbehörden bereits technische Regulierungsstandards (Regulatory Technical Standards, RTS) ver- öffentlicht, die Details klären. „DORA-ready“? Wie sieht es mit der Umsetzung aus – schließlich müssen die Firmen schon in einem guten halben Jahr „DORA-ready“ sein? Die Bafin ist der Ansicht, dass „der deutsche Finanzsektor und die Aufsicht grundsätzlich in einer guten Startposition für die Anwendbarkeit von DORA ab 2025“ sind, wie die Behörde mitteilt. Die Aufsicht begründet das damit, dass bereits Anforderungen an das IKT-Risikomanage- ment in Form der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) und der „Versicherungsaufsichtlichen Anforderun- gen an die IT“ (VAIT) existieren, die in Tei- len auch die Grundlage für DORA bilden. Allerdings haben diese Anforderungen kei- nen Gesetzescharakter. Wer sich bereits an die Bafin-Anforderungen hält, dürfte Exper- ten zufolge jedenfalls kaum Probleme haben, die neue Verordnung zu erfüllen. „Die BAIT und die VAIT stimmen tatsäch- lich in vielen Punkten mit DORA überein. Allerdings gibt es im Detail einige Unter- schiede. Die Institute müssen also genau prüfen, ob und falls ja, was noch zu tun ist“, ergänzt Walkner. Die Redaktion hat sich bei den größeren Allfinanz-Pools umgehört, wie sie mit dem Thema umgehen. Demnach fühlen sich einige gut vorbereitet und sehen keine gro- ßen Hürden. Andere dagegen arbeiten im Moment offensichtlich mit Hochdruck an der Umsetzung. Anwalt Hendel sieht auch bei kleineren Vermögensverwaltern noch einiges zu tun. Eine Ausnahme: Für das Management der externen IT-Dienstleister gebe es bereits eine Reihe nationaler Vor- schriften. „Wenn hier in der Vergangenheit bereits viel Augenmerk auf die Prozesse gelegt wurde, dürfte es an dieser Stelle nicht viel umzustellen geben“, meint er. Ein Problem bleibt in jedem Fall: Wäh- rend einige RTS wie erwähnt schon ver- öffentlicht wurden, stehen viele andere Details noch aus. Dazu zählen unter ande- rem die RTS zu den Simulationen der Cyberattacken oder die RTS „zur Festle- gung der Meldung schwerwiegender IKT- Vorfälle“. Wie auch immer: Es empfiehlt sich, lieber heute als morgen mit der Pla- nung zu beginnen. JENS BREDENBALS FP » Die Firmen müssen Prozesse zur Governance und zur Kontrolle der IT-Systeme aufsetzen. « Thomas Walkner, Capco Das gilt für gewerbliche Vermittler DORA gilt nicht für Finanzanla- genvermittler gemäß Paragraf 34f Gewerbeordnung (GewO) und Hono- rar-Finanzanlagenberater mit Erlaub- nis nach Paragraf 34h GewO. Das stellt ChristianWaigel von der Kanzlei Waigel Rechtsanwälte klar. Auch Ver- sicherungsvermittler sind größten- teils von DORA befreit. 34f/h: „Wir stehen im Einklang mit der Finanzaufsicht Bafin auf dem Standpunkt, dass eine Zulassung nach Paragraf 34f GewO noch nicht zur Einstufung eines Unternehmens als Wertpapierfirma führt“, so Waigel. Er bezieht sich auf eine Einschätzung der Behörde, nach der sich die EU-Offenlegungsverordnung nicht auf Finanz- anlagenvermittler bezieht. Diese seien innerhalb der Bereichsausnahme von Paragraf 2 Absatz 6 Satz 1 Nummer 8 Kredit- wesengesetz (KWG) tätig und daher weder ein Wertpapierdienstleistungs- unternehmen noch eine Wertpapier- firma und auch nicht Adressat der Offenlegungsverordnung. „Damit würde auch DORA für diese Vermittler nicht gelten. Sie sind keine Wertpapierfirma nach Artikel 2 Absatz 1e DORA“, erklärt Waigel. 34d: Versicherungsvermittler fallen zwar prinzipiell unter DORA, allerdings macht die Ver- ordnung Ausnahmen bei Vermittlern, bei denen es sich um Kleinstunternehmen oder kleine und mittlere Unternehmen handelt. Als Kleinstunter- nehmen gelten dabei Unternehmen, die weniger als zehn Mitarbeiterinnen und Mitarbeiter und einen Jahresumsatz von unter zwei Millionen Euro haben; kleine Unternehmen beschäftigen weniger als 50 Mitarbeiter und setzen unter zehn Millionen Euro im Jahr um. Daher müssen nur größere Makler oder Finanzvertriebe der Verord- nung nachkommen. Auswirkungen in der Praxis: Auch wenn nur sehr wenige gewerbliche Vermittler selbst von DORA betroffen sind, werden sie die Umstel- lungen spüren. „Mit einer Anbindung an einen Pool nutzen sie dessen Systeme und stellen für ihn ein Risiko dar“, sagt Thomas Walkner von der Unternehmensberatung Capco. „Der Pool wird daher, falls noch nicht geschehen, neue Standards für die Makler erarbeiten, etwa neue Vorgaben zur Authentifizierung oder die Pflicht zur Nutzung von VPN-Tunneln.“ DORA DigitalOperational ResilienceAct STEUER & RECHT DORA 408 fondsprofessionell.de 2/2024 FOTO: © DIRK BEICHERT BUSINESSPHOTO | CAPCO
RkJQdWJsaXNoZXIy ODI5NTI=