Cyberattacken nehmen weltweit immer weiter zu. Auch Finanzunternehmen in Deutschland werden angegriffen. Öffentlich bekannt werden nur wenige Fälle. Weil arbeitsfähige Finanzunternehmen letztlich für das gesamte Wirtschaftssystem relevant sind, hat der EU-Gesetzgeber beschlossen, einen einheitlichen Rechtsrahmen in der Union zu schaffen, um das Finanzsystem als solches vor Risiken für die Informations- und Kommunikationstechnik (IKT) zu schützen. Das Ergebnis ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA). Das Regelwerk trat am 17. Januar 2023 in Kraft und muss binnen zwei Jahren umgesetzt werden, also zum 17. Januar 2025.

Die Verordnung gilt für Banken und Versicherer sowie auch für Vermögensverwalter – allerdings gibt es eine Reihe an Ausnahmen für kleinere und mittlere Unternehmen. Maklerpools sind betroffen, aber mit gewissen Abstrichen: Pools, die im Versicherungsbereich tätig sind, fallen unter die Verordnung, sofern sie mehr als 250 Mitarbeiter beschäftigen oder mehr als 50 Millionen Euro Jahresumsatz erwirtschaften. "Eines der beiden Kriterien muss erfüllt sein. Hat eine Gesellschaft nur 200 Mitarbeiter, aber 60 Millionen Umsatz, gilt die Verordnung. Ebenso, wenn sie mit 300 Mitarbeitern bloß 30 Millionen Euro umsetzt", erläutert Christian Waigel, Partner der Münchner Kanzlei Waigel Rechtsanwälte.

Genau prüfen
Dagegen fällt ein Pool, der nur eine Zulassung gemäß Paragraf 34f Gewerbeordnung hat, ebenso wie alle 34f-Vermittler und 34h-Honorarberater nicht unter DORA. Das gilt auch für die meisten Versicherungsvermittler. In manchen Fällen muss eine Finanzfirma genau prüfen, ob DORA für sie einschlägig ist, beispielsweise wenn ein Versicherungspool aufgrund seiner Größe nicht betroffen ist, aber ein Wertpapierinstitut als Tochter hat. "Es geht nicht um die rechtliche Einordnung einer einzelnen Gesellschaft, sondern um die Hard- und Software des Konzerns als Ganzes. Wenn Mutter und Tochter die gleiche IT nutzen, fällt faktisch auch das Mutterunternehmen unter DORA, auch wenn es regulatorisch nicht betroffen wäre", erläutert Sarah Lemke, Syndikusrechtsanwältin bei der Hamburger Netfonds-Gruppe.

Die von der Verordnung vorgegebenen Standards und Prozesse sind sehr technisch formuliert. Wichtig ist, dass Finanzunternehmen, die unter DORA fallen, im Rahmen ihres Risikomanagements auch die IT-Risiken abdecken müssen. "Die Firmen müssen laut den Artikeln 5 bis 15 Prozesse zur Governance und zur Kontrolle der IT-Systeme und ihrer Nutzer aufsetzen und überwachen, um die Risiken zu kontrollieren. Dazu gehört auch, auf Managementebene einen Verantwortlichen für die IT zu benennen", erklärt Thomas Walkner, Managing Principal bei der Unternehmensberatung Capco. Die Artikel 17 bis 23 beschreiben die Prozesse zur Meldung eines IKT-Vorfalls. Artikel 24 bis 27 umfassen die Pflichten zu Tests der Resilienz der Systeme. Der vierte große Teil in den Artikeln 28 bis 44 beinhaltet die Pflichten zum IKT-Drittparteirisikomanagement, das heißt die Kontrolle der externen IT-Dienstleister.  

Erleichterungen
Weil diese Vorschriften sehr detailliert sind, sieht DORA für kleinere und mittlere Unternehmen diverse Ausnahmen vor, die von den Aufsichtsbehörden noch genauer festgelegt werden. "Grundlage hierfür ist unter anderem Artikel 4 der Verordnung. Er trägt der Tatsache Rechnung, dass die von DORA betroffenen Unternehmen eine sehr heterogene Gruppe bilden, die von der großen Universalbank bis hin zum kleinen Vermögensverwalter reicht", sagt Philipp Hendel, Partner der Münchner Kanzlei DRRP. Außerdem gewährt der EU-Gesetzgeber bereits an etlichen Stellen in der Verordnung detaillierte Ausnahmen für kleine Wertpapierinstitute und sogenannte Kleinstunternehmen, die weniger als zehn Mitarbeiter beschäftigen und deren Jahresumsatz unter zwei Millionen Euro liegt. Zudem konkretisiert Artikel 16 die Ausnahmen für kleine und nicht verflochtene Wertpapierfirmen beim IKT-Risikomanagement. (jb)

Einen ausführlicheren Artikel zu DORA finden Sie in der aktuellen Ausgabe (2/2024) von FONDS professionell. Angemeldete Nutzer können den Beitrag auch hier im E-Magazin lesen.