Kurze Erinnerung: DORA-Verordnung im Überblick – Wichtige Infos vor der Anwendung.
Aufruf: Fragen Sie bei Ihrem Versicherer, bei Ihrer Wertpapierfirma nach. Und senden Sie uns etwaige Vorgaben zur Prüfung weiter an redaktion@ivva.at
Seit 17.01.2025 wird die Verordnung (EU) 2022/2554 des Europäischen Parlaments und Rates, besser bekannt als Digital Operational Resilience Act (nachstehend DORA), angewendet. Durch die neue Regelung sollen bestehende Lücken der bereits geregelten operationellen Resilienz („Widerstandsfähigkeit) gefüllt und die Cybersicherheit des EU-Finanzsektors gestärkt werden.
Für wen gilt DORA?
Gemäß Artikel 2 der Verordnung umfasst DORA 21 Kategorien von Unternehmen und damit beinahe alle von der Finanzmarktaufsicht (FMA) beaufsichtigten Unternehmen. Etwa Kreditinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, aber auch Versicherungsvermittler sowie IKT-Drittanbieter, die Verträge mit Finanzunternehmen abschließen.
IKT steht übrigens für Informations- und Kommunikationstechnologie, worunter laut DORA fast alles fällt, außer die normale Telefonie. Zusammenfassend kann man sagen betrifft DORA die verschiedensten „Arten von Finanzunternehmen“ und in letzter Konsequenz auch deren Berater und Vermittler.
Ja, für kleine Vermittler ist in dieser EU-Richtlinie der „Grundsatz der Verhältnismäßigkeit“ vorgesehen, das heißt vereinfacht gesagt, dass bei „Kleinen“ ein anderer Maßstab angelegt werden soll, wie bei den Großen. Daher gibt es Ausnahmen und Erleichterungen.
Problem: Unserer Ansicht nach scheint für DORA noch nicht wirklich Problembewusstsein zu bestehen, trotzdem die FMA bereits seit Monaten darauf hinweist, dass sie intensiv prüfen werde.
Uns sind bis dato auch noch keine Vorgaben bekannt, die etwa ein Versicherer, eine Wertpapierfirma ihren Beratern und Vermittlern gemacht hätte. Sollten Sie doch solche erhalten haben, senden Sie uns diese – gerne unter Zusicherung von Vertraulichkeit – an redaktion@ivva.at.
Fakt ist aber, dass der Versicherer, die Wertpapierfirma dafür verantwortlich ist, „dass alles passt“, alles getan wurde, um es Hackern so schwer wie möglich zu machen, etc. Daher gehen wir davon aus, dass in unserem Fall die Versicherer den Vermittlern ganz exakte Vorgaben machen werden, was man tun muss und auf keinn Fall tun darf.
Seit 17. Jänner Pflicht
Unser Tipp: Fragen Sie bei Ihren Geschäftspartnern nach, wie sie sich die DORA-konforme Zusammenarbeit vorstellen.
Wir erwarten, dass spätestens nach den ersten Prüfungen seitens der FMA klar ist, wie sich die FMA die Zusammenarbeit der Kleinen mit den Großen vorstellt. Und spätestens dann wird Ihnen Ihr Partner Aufgaben, Pflichten und Verantwortungen überbinden, so wie der Datenverantwortliche dies im Zuge der DSGVO auch dem Auftragsverarbeiter vorschreibt.
Das könnte Vorgaben hinsichtlich der eigenen verwendeten EDV- und IT-Technik umfassen (etwa ständiges Einspielen von Sicherheits-Updates, nur bestimmte Software verwenden, nur Windows 11 oder moderner, ein VPN nutzen, usw. Auch könnte Ihnen die Verpflichtung, die eigenen Risiken nach den Kriterien der DORA zu prüfen und Risken bewusst zu vermeiden, vorgeschrieben werden, um einen angemessenen Schutz gewährleisten zu können.
Ist ein formeller Prozess für die Behandlung und Klassifizierung von IKT-Vorfällen (Etwa Hacker-Angriff etc.) vorhanden? Wurde ein Governance- und Kontrollrahmen im Zusammenhang mit IKT-Risiken eingerichtet? Wurden alle IKT-Assets klassifiziert und inventarisiert? Diese und noch weitere wichtige Fragen gilt es zu klären, um optimal auf die Anwendung der DORA-Verordnung vorbereitet zu sein.
Gefahr: Wer diese DORA-Anforderungen des Versicherers dann nicht rasch erfüllen kann oder will, wird einfach von der Zusammenarbeit ausgeschlossen werden.
Daher fragen Sie jetzt nach und bereiten Sie sich schon selbst vor. Um eventuell vorhandene Lücken schließen zu können.
Zum Erinnern:
Die 5 Säulen der Resilienz
IKT-Risikomanagement: Im Unternehmen soll ein Rahmen geschaffen werden, um mögliche Risiken zu ermitteln und diese gegebenenfalls zu steuern und zu reduzieren. Es bedarf einem Aufbau von Schutz- und Präventionsmaßnahmen sowie einer stetigen Überwachung von Risiken.
IKT-bezogene Vorfälle: Es bedarf einer Standardisierung und Klassifizierung von Cyber-Vorfällen, wobei vorher definierte Prozesse und Vorlagen bei der Meldung verwendet werden sollen. Es sind Anfangs-, Zwischen- und Abschlussberichte über Vorfälle vorzulegen
Testen der digitalen Ausfallsicherheit: Um der Einhaltung der DORA-Vorschriften zu entsprechen, sind jährlich Tests der digitalen operativen Belastbarkeit durchzuführen. Mängel und Lücken sollen durch diese Tests entdeckt und schnellstmöglich beseitigt werden.
Management von IKT-Drittrisiken: Risiken, welche aus der Inanspruchnahme von Leistungen von Drittanbietern entstehen, sind zu überwachen. Es ist wichtig sicherzustellen, dass die Verträge zwischen dem Unternehmen und dem Drittanbieter jegliche Einzelheiten zu Überwachung und Erreichbarkeit umfassen.
Informationsaustausch: Unternehmen sollen untereinander in Austausch treten und ihre Erkenntnisse und Erfahrungen über Cyber-Bedrohungen teilen.
Sind Sie bereit für die Anwendung der Verordnung?
Nochmals der Aufruf: Fragen Sie bei Ihrem Versicherer nach.
Und senden Sie uns etwaige Vorgaben zur Prüfung weiter an redaktion@ivva.at
Beste Grüße von Mag. Stephan Novotny und dem IVVA Team
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtsstraße 16/12