Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

20.02.2023

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

Gastbeitrag. Die EU hat einen neuen Rechtsrahmen für die Beaufsichtigung von IT-Systemen beschlossen. Welcher Folgen dieser hat, erläutern Markus Aigner und Helena Nyikos von der Anwaltssozietät Wolf Theiss.

/artikel/dora-verordnung

✨ AI Kontextualisierung

Mit der am 16. Jänner 2023 in Kraft getretenen Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA), hat die Europäische Union ein einheitliches europäisches Aufsichtsregime zur Gewährleistung der Funktionsfähigkeit von Informations- und Kommunikationstechnologie-Systemen (IKT) im Finanzsektor erlassen. Dieser weist derzeit eine starke Abhängigkeit von IKT Systemen auf, wobei die fortschreitende Digitalisierung eine noch intensivere Einbindung von IKT erwarten lässt.

Mit DORA wurde nun ein Rahmenwerk zur Überprüfung sowie Beaufsichtigung von IKT-Systemen im Finanzsektor eingeführt, welches primär darauf abzielt, einheitliche Bestimmungen für Finanzunternehmen festzulegen. Dadurch soll europaweit die IKT-Sicherheit gestärkt sowie IKT- und Cybersicherheitsrisiken entgegengewirkt werden. Die Bestimmungen der Verordnung sind allerdings erst ab 17. Jänner 2025 anwendbar, womit der Finanzbranche noch ausreichend Vorbereitungszeit bleibt.

Worauf sich die Finanzbranche jetzt einstellen muss

Doch worauf muss sich die Finanzbranche jetzt einstellen, welche Anpassungen sind notwendig und sind ausschließlich Finanzdienstleister erfasst?

DORA teilt sich im Wesentlichen in die Abschnitte IKT-Risikomanagement, Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Testen der digitalen operationalen Resilienz, Management des IKT-Drittparteienrisikos sowie administrative Bestimmungen.

Die Europäische Union hat den Adressatenkreis, welcher unter dem Sammelbegriff “Finanzunternehmen” zusammengefasst wird, bewusst weit gefasst, um u.a. sowohl den klassischen Finanzmarkt (z.B. Kreditinstitute, Zahlungsinstitute und Wertpapierfirmen), die Versicherungsbranche, aber auch alternative Finanzierungsanbieter (Crowdfunding und Krypto-Dienstleister) zu verpflichten. Beachtenswert dabei ist, dass auch IKT-Unternehmen selbst in den Anwendungsbereich der Verordnung fallen. Dieser Schritt wurde bewusst gewählt, da die Europäische Union die Auslagerung (das “Outsourcing”) spezifisch in der Verordnung adressiert und offenbar auch als eigenes Risikofeld betrachtet.

Ein wesentlicher Eckpfeiler von DORA ist der Grundsatz der Verhältnismäßigkeit, gemäß dem Finanzunternehmen die Vorgaben angepasst an ihre Größe, ihr Risikoprofil sowie die Komplexität ihrer Tätigkeit umzusetzen bzw. anwenden müssen. Damit sollen u.a. überschießenden Verpflichtungen für kleinere Unternehmen vermieden werden.

Darüber hinaus können viele der Verpflichtungen innerhalb eines Konzerns sowie auch an externe Dritte ausgelagert werden. Die Letztverantwortung verbleibt allerdings immer beim Management des Finanzunternehmens.

Aufbau von IKT-Risikomanagementstrukturen

Finanzunternehmen sind verpflichtet eine umfassende interne IKT-Risikomanagement und -kontrollstruktur zu errichten, welche insbesondere einen Verantwortlichen für die Überwachung von ausgelagerten IKT-Dienstleistungen, eine Fortbildungsverpflichtung des Managements, aber auch Pläne für den Umgang mit IKT-Vorfällen und die Eindämmung von Schäden bzw. die Fortführung des Finanzunternehmens im Falle eines IKT-Vorfalls vorzusehen hat. Darüber hinaus müssen Finanzunternehmen im Rahmen ihres Gesamtrisikomanagements einen IKT-Risikomanagementrahmen erstellen und dokumentieren. Dieser soll dazu dienen Risiken zu erkennen und zu minimieren. Der Rahmen ist mindestens einmal jährlich zu überprüfen und anzupassen.

Generell besteht die Verpflichtung für angemessenen Schutz der IKT-Systeme zu sorgen, sämtliche verwendeten Systeme, Protokolle und Tools auf dem neuesten Stand zu halten und die IKT-Systeme laufend zu überwachen sowie potentielle Risiken zu identifizieren. Daneben müssen angemessene Back-ups und Methoden zur Wiedergewinnung und Wiederherstellung von Daten etabliert werden, wobei Zentralverwahrer einen zusätzlichen “Ausweichstandort” haben müssen, der im Bedarfsfall die Geschäftsabwicklung übernehmen kann.

Was tun, wenn die IKT-Systeme beeinträchtigt werden?

Sollte es zu einem IKT-Vorfall kommen, der erhebliche Auswirkungen auf die Systeme eines Finanzunternehmens hat, unterliegt dieses umfassenden Meldeverpflichtungen gegenüber der für das Finanzunternehmen zuständigen Aufsichtsbehörde – für Österreich in der Regel die Finanzmarktaufsichtsbehörde (FMA). Darüber hinaus bestehen, sofern finanzielle Interessen von Kunden betroffen sind, ebenso gegenüber diesen Meldeverpflichtungen. Auf freiwilliger Basis können auch Cyberbedrohungen gemeldet werden.

“Stresstests” für die IT

Ein Herzstück von DORA bilden die bedrohungsorientierten Penetrationstests (Threat-Led Penetration Testing – kurz TLPT). Finanzunternehmen werden verpflichtet, ihre IKT-Systeme regemäßigen Stresstests zu unterziehen, um etwaige Schwächen und Lücken aufzudecken sowie die Abläufe bei Beeinträchtigungen der IKT-Infrastruktur zu üben.

Das Konzept von Stresstests ist dem Aufsichtsrecht allerdings nicht fremd. Im Bereich der Kapitalvorschriften wurden schon also Folge der Bankenkrise 2008 die medial immer wieder präsenten Bankenstresstests eingeführt, bei denen das Kapital der Banken auf Krisenresistenz getestet wird. In Branchen, die mit sensiblen Daten arbeiten, ist die Beauftragung von professionellen Hackern zur Überprüfung der eigenen Sicherheitssysteme ohnedies bereits weit verbreitet.

Die Umsetzung dieser Vorgaben dürfte daher für die meisten Unternehmen unproblematisch sein. Auf IT-Sicherheit bzw. professionelle Hackerangriffe spezialisierte Unternehmen dürften von DORA jedenfalls profitieren.

IKT-Outsourcing

Ein weiteres Kernstück von DORA stellt das Risikomanagement von ausgelagerten IKT-Leistungen dar. Die Europäische Union hat die Definition des “IKT-Drittdienstleisters” dabei bewusst weit gefasst, um das Outsourcing von IKT-Leistungen im Finanzbereich möglichst umfassend in den Anwendungsbereich der Verordnung mitaufzunehmen. Darunter fallen z.B. auch die Cloud Anbieter und Entwickler von Banking-Apps.

Das neue Rahmenwerk sieht weitgehende Verpflichtungen für die laufende Überprüfung von Drittdienstleistern sowie verpflichtende Vertragsbestandteile und Mindeststandards für Verträge mit IKT-Drittdienstleistern vor. Geplante Neuabschlüsse von Outsourcing-Verträgen sind der Aufsichtsbehörde anzuzeigen, sofern sich diese auf kritische oder wichtige IKT-Leistungen beziehen. Weiters müssen Finanzunternehmen Notfallpläne erstellen, die eine Wiedereingliederung von ausgelagerten IKT-Leistungen in die eigenen Strukturen ermöglicht und die Betriebsstabilität im Falle des Wegfalls des IKT-Drittdienstleisters sichert.

Beachtenswert ist in diesem Zusammenhang die Unterwerfung von als kritisch eingestuften IKT-Drittdienstleistern – das sind Unternehmen, die für die Funktionsfähigkeit von Finanzunternehmen wesentliche Leistungen anbieten – unter die Aufsicht der Aufsichtsbehörden. Dies stellt sowohl für die betroffenen IKT-Unternehmen, als auch für die Behörden eine große Umstellung dar, da insbesondere letztere hierfür vermehrt technisches Know-how aufbauen werden müssen.

Befugnisse der Aufsichtsbehörden

Den Aufsichtsbehörden werden umfangreiche Prüfungsbefugnisse eingeräumt, welche von klassischen Auskunftsrechten über Inspektionen, Vor-Ort-Prüfungen bis hin zu Vorladungen sowie Befragungen reichen.

Die vorgesehenen Strafen sehen u.a. Zwangsgelder in Höhe von bis zu 1 PRozent des weltweiten Tagesumsatzes (pro Tag!) sowie eine Veröffentlichung der Verstöße (Naming and Shaming) vor.

Grundsätzlich sind die Durchsetzungsbestimmungen aber weitestgehend von den Mitgliedstaaten selbst festzulegen und können auch strafrechtliche Konsequenzen umfassen.

Ausblick

Mit DORA hat der europäische Gesetzgeber ein umfassendes und sowohl für Finanzunternehmen als auch die Aufsichtsbehörden herausforderndes Regelwerk geschaffen. Ob dieses für mehr IKT-Sicherheit und Stabilität sorgen und größere Ausfälle im Finanzmarkt vermeiden wird, bleibt allerdings abzuwarten. Dass IKT-Systeme nunmehr regelmäßig verpflichtend durchleuchtet werden müssen, ist aber jedenfalls zu begrüßen, auch wenn dies weitestgehend bereits der gelebten Praxis entspricht.

Über die Autor:innen

Markus Aigner ist Banking & Finance Senior Associate bei der Anwaltssozietät Wolf Theiss. Helena Nyikos ist Banking & Finance Legal Trainee bei Wolf Theiss.

Deine ungelesenen Artikel:

die Redaktion

19.04.2024

Connect Day 24: Jetzt anmelden und vom qualitativ hochwertigen Matchmaking profitieren

Der Connect Day 24 wird am 4. Juni in der Wirtschaftskammer Österreich (WKO) im 4. Bezirk über die Bühne gehen. Wir bieten euch einen Überblick, wie Startups, Investor:innen und insbesondere Corporates sowie KMU vom Matchmaking profitieren können.

/artikel/connect-day-2024

die Redaktion

19.04.2024

Connect Day 24: Jetzt anmelden und vom qualitativ hochwertigen Matchmaking profitieren

/artikel/connect-day-2024

Die ViennaUP 2024 steht in ihren Startlöchern und damit auch der Connect Day 24, der auch dieses Jahr traditionsgemäß als größte Networking-Veranstaltung des Startup-Festivals am 4. Juni in Wien über die Bühne gehen wird. Zur Größenordnung: Letztes Jahr zählte der Connect Day über 1000 Teilnehmer:innen – darunter 200 Investor:innen. Zudem gab es unter den teilnehmenden Startups, Corporates und Investor:innen über 1500 Matchmaking-Meetings (brutkasten berichtete).

Und auch für dieses Jahr bietet die Austria Wirtschaftsservice GmbH (aws) als Veranstalterin wieder ein umfangreiches Rahmenprogramm, um Startups, Investor:innen und Corporates sowie KMU miteinander zu vernetzen. Im Zentrum stehen unterschiedlichste Formate, die ein qualitativ hochwertiges Matchmaking unter den Teilnehmer:innen ermöglichen.

Der Corporate Reverse Pitch

Traditionsgemäß ist der Corporate Reverse Pitch im Rahmen des Connect Day ein starker Anziehungspunkt für viele Teilnehmer:innen. Das Format wird bereits seit sechs Jahren umgesetzt und hat zahlreiche erfolgreiche Kooperationsprojekte zwischen Startups und Unternehmen initiiert.

Das Besondere: Startups und Corporates begegnen sich durch dieses einzigartige Format auf Augenhöhe. Moritz Weinhofer von aws connect Industry-Startup.Net erläutert den Ablauf: “Beim Corporate-Reverse Pitch tauschen wir die Rollen. Normalerweise präsentieren Startups ihre Company und Lösungen. Beim Corporate-Reverse Pitch hingegen müssen Corporates ihre Lösungen präsentieren, nach denen sie suchen. Im Idealfall entsteht daraus eine Kooperation mit einem Startup”.

So pitchten in den vergangenen Jahren bekannte Unternehmen wie KTM, Hutchison Drei Austria und auch internationale Unternehmen wie SAAB ihre gesuchten Innovationslösungen. Der Corporate Reverse Pitch wird in diesem Jahr von ABA, aws connect Industry-StartUp.Net and EIT Manufacturing ermöglicht.

Zudem tragen zahlreiche weitere Partner zum Connect Day bei. Einer von ihnen ist die Erste Bank. Emanuel Bröderbauer, Head of Marketing Gründer & SME bei der Erste Bank, hebt die Bedeutung der Vernetzung von Corporates, Startups und Investor:innen für den Wirtschaftsstandort Österreich hervor: “Damit Österreich nicht den Anschluss an die großen Wirtschaftsnationen bei der Bewältigung aktueller und zukünftiger Herausforderungen verliert, bedarf es der Stärken etablierter Unternehmen, Startups und Investor:innen. Der Connect Day hilft, diese Kräfte zu bündeln.” Und er merkt an: “Der Connect Day ist eine Veranstaltung mit Mehrwert und daher sind wir als Erste Bank auch heuer wieder gerne als Partner dabei.”

Internationale Startups am Connect Day und B2B-Matchmaking

Neben der Begegnung auf Augenhöhe zeichnet sich Connect Day auch durch seine internationale Ausrichtung aus. So werden am 4. Juni neben heimischen Startups auch zahlreiche internationale Startups ihre Lösungen pitchen. Darunter befinden sich beispielsweise auch Startups aus asiatischen Märkten, die über das GO AUSTRIA Programm des Global Incubator Network (GIN) nach Österreich gebracht werden. Somit erhalten Corporates, Investor:innen und KMU auch einen Überblick über verschiedene Lösungen, die über den “Tellerrand Österreich” hinausreichen.

Damit Startups, Investor:innen sowie Corporates und KMU Kooperationsmöglichkeiten möglichst effektiv ausloten können, findet auch in diesem Jahr wieder B2B-Matchmaking statt. Neben dem 1:1 On-site-Matchmaking, das pro Session 15 Minuten dauert, bietet die Austria Wirtschaftsservice (aws) auch ein Long-Term-Matchmaking an. So können Teilnehmer:innen sogar nach der Veranstaltung weiter mit Personen in Kontakt treten, die sie eventuell verpasst haben. Das B2B-Matchmaking wird von Enterprise Europe Network und aws Connect ermöglicht.

Zudem findet am 4. Juni auch eine Afterparty statt, die ebenfalls zum Networking genutzt werden kann und von Green Tech Valley Cluster sowie aws Connect gehosted wird.

Tipp: Für das On-Site-Matchmaking bedarf es einer Vorbereitung, um am Event-Tag möglichst viele Kooperationsmöglichkeiten auszuloten. Die Veranstalter bieten hierfür einen übersichtlichen Leitfaden mit allen wichtigen Informationen. Zudem wird den Teilnehmer:innen empfohlen, vorab die b2match-App herunterzuladen, die für iOS und Android zur Verfügung steht.

Wer kann am Connect Day teilnehmen?

Die Zulassung zur Teilnahme am Connect Day 24 steht laut Veranstalter allen offen, die an einer Zusammenarbeit zwischen Startups und Unternehmen interessiert sind. Es gibt jedoch auch gewisse Kriterien zu erfüllen. Der Veranstalter stellt so sicher, dass ein hochwertiges Matchmaking unter den Teilnehmer:innen stattfindet. Hier ein kurzer Überblick, worauf insbesondere Startups und Corporates/KMU achten müssen:

Startups dürfen nicht älter als sechs Jahre sein und über maximal 250 Mitarbeiter:innen verfügen. Zudem sollen sie mindestens einen Prototypen oder ein MVP vorweisen, das skalierbar ist. Startups, die sich für ein Matchmaking mit Investoren bewerben, werden von einer Jury gescreent.
Corporates/KMU müssen auf der Suche nach innovativen Produkten und Dienstleistungen sein. Zudem müssen sie die Bereitschaft mitbringen, mit Startups zusammenzuarbeiten. Dazu zählen etwa Pilotprojekte, gemeinsame Forschung und Entwicklung, aber auch Vertriebspartnerschaften.

+++ Hier findet ihr alle Voraussetzung für die Anmeldung zum Connect Day – Jetzt anmelden und vom Matchmaking profitieren +++

Tipp der Redaktion: Von aws Connect ganzjährig profitieren

Der Connect Day zeigt die Kollaboration der Ökosystem-Player untereinander und auch die Networking-Expertisen, besonders von aws Connect. Die Austria Wirtschaftsservice GmbH bietet mit den aws Connect Programmen ganzjährig ihre Matching-Services für Kooperationen, Investments und Internationalisierung an.

Auf der Online-Plattform sind aktuell rund 3200 Startups, KMU, Corporates, Investor:innen und Forschungseinrichtungen gelistet. Seit dem Start wurden so über 470 Kooperationen und Investments vermittelt.

Zu den vielfältigen Vernetzungsmöglichkeiten zählt übrigens auch der aws KI-Marktplatz. Hier treffen sich Unternehmen und Forschungseinrichtungen, die KI anbieten, mit Unternehmen, die KI für die Umsetzung ihrer Zukunftsprojekte einsetzen wollen.

+++ Jetzt für aws Connect anmelden und vom Matchmaking profitieren +++

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag