Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

20.02.2023

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

Gastbeitrag. Die EU hat einen neuen Rechtsrahmen für die Beaufsichtigung von IT-Systemen beschlossen. Welcher Folgen dieser hat, erläutern Markus Aigner und Helena Nyikos von der Anwaltssozietät Wolf Theiss.

/artikel/dora-verordnung

✨ AI Kontextualisierung

Mit der am 16. Jänner 2023 in Kraft getretenen Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA), hat die Europäische Union ein einheitliches europäisches Aufsichtsregime zur Gewährleistung der Funktionsfähigkeit von Informations- und Kommunikationstechnologie-Systemen (IKT) im Finanzsektor erlassen. Dieser weist derzeit eine starke Abhängigkeit von IKT Systemen auf, wobei die fortschreitende Digitalisierung eine noch intensivere Einbindung von IKT erwarten lässt.

Mit DORA wurde nun ein Rahmenwerk zur Überprüfung sowie Beaufsichtigung von IKT-Systemen im Finanzsektor eingeführt, welches primär darauf abzielt, einheitliche Bestimmungen für Finanzunternehmen festzulegen. Dadurch soll europaweit die IKT-Sicherheit gestärkt sowie IKT- und Cybersicherheitsrisiken entgegengewirkt werden. Die Bestimmungen der Verordnung sind allerdings erst ab 17. Jänner 2025 anwendbar, womit der Finanzbranche noch ausreichend Vorbereitungszeit bleibt.

Worauf sich die Finanzbranche jetzt einstellen muss

Doch worauf muss sich die Finanzbranche jetzt einstellen, welche Anpassungen sind notwendig und sind ausschließlich Finanzdienstleister erfasst?

DORA teilt sich im Wesentlichen in die Abschnitte IKT-Risikomanagement, Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Testen der digitalen operationalen Resilienz, Management des IKT-Drittparteienrisikos sowie administrative Bestimmungen.

Die Europäische Union hat den Adressatenkreis, welcher unter dem Sammelbegriff “Finanzunternehmen” zusammengefasst wird, bewusst weit gefasst, um u.a. sowohl den klassischen Finanzmarkt (z.B. Kreditinstitute, Zahlungsinstitute und Wertpapierfirmen), die Versicherungsbranche, aber auch alternative Finanzierungsanbieter (Crowdfunding und Krypto-Dienstleister) zu verpflichten. Beachtenswert dabei ist, dass auch IKT-Unternehmen selbst in den Anwendungsbereich der Verordnung fallen. Dieser Schritt wurde bewusst gewählt, da die Europäische Union die Auslagerung (das “Outsourcing”) spezifisch in der Verordnung adressiert und offenbar auch als eigenes Risikofeld betrachtet.

Ein wesentlicher Eckpfeiler von DORA ist der Grundsatz der Verhältnismäßigkeit, gemäß dem Finanzunternehmen die Vorgaben angepasst an ihre Größe, ihr Risikoprofil sowie die Komplexität ihrer Tätigkeit umzusetzen bzw. anwenden müssen. Damit sollen u.a. überschießenden Verpflichtungen für kleinere Unternehmen vermieden werden.

Darüber hinaus können viele der Verpflichtungen innerhalb eines Konzerns sowie auch an externe Dritte ausgelagert werden. Die Letztverantwortung verbleibt allerdings immer beim Management des Finanzunternehmens.

Aufbau von IKT-Risikomanagementstrukturen

Finanzunternehmen sind verpflichtet eine umfassende interne IKT-Risikomanagement und -kontrollstruktur zu errichten, welche insbesondere einen Verantwortlichen für die Überwachung von ausgelagerten IKT-Dienstleistungen, eine Fortbildungsverpflichtung des Managements, aber auch Pläne für den Umgang mit IKT-Vorfällen und die Eindämmung von Schäden bzw. die Fortführung des Finanzunternehmens im Falle eines IKT-Vorfalls vorzusehen hat. Darüber hinaus müssen Finanzunternehmen im Rahmen ihres Gesamtrisikomanagements einen IKT-Risikomanagementrahmen erstellen und dokumentieren. Dieser soll dazu dienen Risiken zu erkennen und zu minimieren. Der Rahmen ist mindestens einmal jährlich zu überprüfen und anzupassen.

Generell besteht die Verpflichtung für angemessenen Schutz der IKT-Systeme zu sorgen, sämtliche verwendeten Systeme, Protokolle und Tools auf dem neuesten Stand zu halten und die IKT-Systeme laufend zu überwachen sowie potentielle Risiken zu identifizieren. Daneben müssen angemessene Back-ups und Methoden zur Wiedergewinnung und Wiederherstellung von Daten etabliert werden, wobei Zentralverwahrer einen zusätzlichen “Ausweichstandort” haben müssen, der im Bedarfsfall die Geschäftsabwicklung übernehmen kann.

Was tun, wenn die IKT-Systeme beeinträchtigt werden?

Sollte es zu einem IKT-Vorfall kommen, der erhebliche Auswirkungen auf die Systeme eines Finanzunternehmens hat, unterliegt dieses umfassenden Meldeverpflichtungen gegenüber der für das Finanzunternehmen zuständigen Aufsichtsbehörde – für Österreich in der Regel die Finanzmarktaufsichtsbehörde (FMA). Darüber hinaus bestehen, sofern finanzielle Interessen von Kunden betroffen sind, ebenso gegenüber diesen Meldeverpflichtungen. Auf freiwilliger Basis können auch Cyberbedrohungen gemeldet werden.

“Stresstests” für die IT

Ein Herzstück von DORA bilden die bedrohungsorientierten Penetrationstests (Threat-Led Penetration Testing – kurz TLPT). Finanzunternehmen werden verpflichtet, ihre IKT-Systeme regemäßigen Stresstests zu unterziehen, um etwaige Schwächen und Lücken aufzudecken sowie die Abläufe bei Beeinträchtigungen der IKT-Infrastruktur zu üben.

Das Konzept von Stresstests ist dem Aufsichtsrecht allerdings nicht fremd. Im Bereich der Kapitalvorschriften wurden schon also Folge der Bankenkrise 2008 die medial immer wieder präsenten Bankenstresstests eingeführt, bei denen das Kapital der Banken auf Krisenresistenz getestet wird. In Branchen, die mit sensiblen Daten arbeiten, ist die Beauftragung von professionellen Hackern zur Überprüfung der eigenen Sicherheitssysteme ohnedies bereits weit verbreitet.

Die Umsetzung dieser Vorgaben dürfte daher für die meisten Unternehmen unproblematisch sein. Auf IT-Sicherheit bzw. professionelle Hackerangriffe spezialisierte Unternehmen dürften von DORA jedenfalls profitieren.

IKT-Outsourcing

Ein weiteres Kernstück von DORA stellt das Risikomanagement von ausgelagerten IKT-Leistungen dar. Die Europäische Union hat die Definition des “IKT-Drittdienstleisters” dabei bewusst weit gefasst, um das Outsourcing von IKT-Leistungen im Finanzbereich möglichst umfassend in den Anwendungsbereich der Verordnung mitaufzunehmen. Darunter fallen z.B. auch die Cloud Anbieter und Entwickler von Banking-Apps.

Das neue Rahmenwerk sieht weitgehende Verpflichtungen für die laufende Überprüfung von Drittdienstleistern sowie verpflichtende Vertragsbestandteile und Mindeststandards für Verträge mit IKT-Drittdienstleistern vor. Geplante Neuabschlüsse von Outsourcing-Verträgen sind der Aufsichtsbehörde anzuzeigen, sofern sich diese auf kritische oder wichtige IKT-Leistungen beziehen. Weiters müssen Finanzunternehmen Notfallpläne erstellen, die eine Wiedereingliederung von ausgelagerten IKT-Leistungen in die eigenen Strukturen ermöglicht und die Betriebsstabilität im Falle des Wegfalls des IKT-Drittdienstleisters sichert.

Beachtenswert ist in diesem Zusammenhang die Unterwerfung von als kritisch eingestuften IKT-Drittdienstleistern – das sind Unternehmen, die für die Funktionsfähigkeit von Finanzunternehmen wesentliche Leistungen anbieten – unter die Aufsicht der Aufsichtsbehörden. Dies stellt sowohl für die betroffenen IKT-Unternehmen, als auch für die Behörden eine große Umstellung dar, da insbesondere letztere hierfür vermehrt technisches Know-how aufbauen werden müssen.

Befugnisse der Aufsichtsbehörden

Den Aufsichtsbehörden werden umfangreiche Prüfungsbefugnisse eingeräumt, welche von klassischen Auskunftsrechten über Inspektionen, Vor-Ort-Prüfungen bis hin zu Vorladungen sowie Befragungen reichen.

Die vorgesehenen Strafen sehen u.a. Zwangsgelder in Höhe von bis zu 1 PRozent des weltweiten Tagesumsatzes (pro Tag!) sowie eine Veröffentlichung der Verstöße (Naming and Shaming) vor.

Grundsätzlich sind die Durchsetzungsbestimmungen aber weitestgehend von den Mitgliedstaaten selbst festzulegen und können auch strafrechtliche Konsequenzen umfassen.

Ausblick

Mit DORA hat der europäische Gesetzgeber ein umfassendes und sowohl für Finanzunternehmen als auch die Aufsichtsbehörden herausforderndes Regelwerk geschaffen. Ob dieses für mehr IKT-Sicherheit und Stabilität sorgen und größere Ausfälle im Finanzmarkt vermeiden wird, bleibt allerdings abzuwarten. Dass IKT-Systeme nunmehr regelmäßig verpflichtend durchleuchtet werden müssen, ist aber jedenfalls zu begrüßen, auch wenn dies weitestgehend bereits der gelebten Praxis entspricht.

Über die Autor:innen

Markus Aigner ist Banking & Finance Senior Associate bei der Anwaltssozietät Wolf Theiss. Helena Nyikos ist Banking & Finance Legal Trainee bei Wolf Theiss.

Deine ungelesenen Artikel:

die Redaktion

25.04.2024

Wie Gründer:innen die ViennaUP 2024 fürs Fundraising nutzen können

Die von der Wirtschaftsagentur Wien initiierte ViennaUP 2024 wird dieses Jahr vom 3. bis 9. Juni in Wien über die Bühne gehen. Das Startup-Festival bietet Gründer:innen zahlreiche Möglichkeiten, um mit Investor:innen in Kontakt zu treten. Wir haben im Vorfeld mit der österreichischen Investorin Laura Raggl von ROI Ventures gesprochen, welche Events man nicht verpassen sollte.

/artikel/viennaup-2024-fundraising-laura-raggl

die Redaktion

25.04.2024

Wie Gründer:innen die ViennaUP 2024 fürs Fundraising nutzen können

/artikel/viennaup-2024-fundraising-laura-raggl

Die Vorbereitungen für Österreichs größtes Startup Festival laufen bereits auf Hochtouren. Zum mittlerweile vierten Mal wird die ViennaUP vom 3. bis 9. Juni in Wien über die Bühne gehen. Auch in diesem Jahr tragen über 35 Partnerorganisationen aus der lokalen und internationalen Startup-Community das dezentrale Startup-Festival.

Das Programm bietet über 50 Veranstaltungen, die an bekannten Orten in der ganzen Stadt stattfinden werden – angefangen von Co-Working-Spaces über Konferenzsäle bis hin zur weltbekannten Hofburg. Neben Gründer:innen, Technikbegeisterten und Vertreter:innen aus der Kreativ-Szene sind auch in diesem Jahr wieder Investor:innen aus dem In- und Ausland mit am Start.

Laura Raggl gibt Tipps für Gründer:innen

Unter den Investor:innen ist auch Laura Raggl, die mit ihrer 2022 gestarteten Angel-Investoren-Gruppe ROI Ventures aktuell über 18 Startup-Beteiligungen hält. Dazu zählen bekannte Startups wie Magic.dev, das erst im Feber den Abschluss einer Finanzierungsrunde in Höhe von 117 Millionen US-Dollar bekannt gab.

“Mit der Teilnahme an der ViennaUP verfolge ich in erster Linie das Ziel, mich mit internationalen Investor:innen zu connecten und spannende Startups zu treffen. Ich habe mir bereits für jeden Tag ein Event ausgesucht”, so Raggl über ihre bevorstehende Teilnahme.

Ihren ganz persönlichen Start der ViennaUP macht sie mit der Veranstaltung Conversations with Calm/Storm Ventures. Das Event wird von Europas aktivsten HealthTech-Investor Calm/Storm Ventures organisiert und bietet neben Networking-Session auch ein inhaltliches Rahmenprogramm. So wird beispielsweise Carina Roth in einer der Sessions ihre Learnings teilen, wie sie von einer Gründerin zu einer Investorin wurde.

(c) Wirtschaftsagentur Wien / Karin Hackl

Connect Day und Investors Breakfast

Gründer:innen, die sich gerade im Fundraising befinden und mit Investor:innen in Kontakt treten wollen, sollen sich laut Raggl unbedingt auch für den Connect Day anmelden. Dieser zählt zur größten Networking-Veranstaltung des Startup-Festivals und wird am 4. Juni stattfinden. Traditionsgemäß ist der Corporate Reverse Pitch im Rahmen des Connect Day ein starker Anziehungspunkt für viele Teilnehmer:innen. Corporates präsentieren dabei ihre Lösungen, nach denen sie suchen.

Zudem empfiehlt Raggl Gründer:innen auch das 1:1 On-site-Matchmaking zu nutzen. “Gründer:innen sollten natürlich keine Events verpassen, wo Investor:innen vor Ort sind. Der Connect Day eignet sich dafür natürlich ideal. Bereits im Vorfeld des Events kann man eine Vorauswahl treffen und sich über eine Plattform vernetzen”, so Raggl. Mehr über die Teilnahmemöglichkeiten könnt ihr auch hier nachlesen.

Den Auftakt zum Connect Day bildet übrigens das Investors Breakfast, das von invest.austria organisiert wird und auf die Zielgruppe der Investor:innen zugeschnitten ist. Bei einem traditionellen Wiener Frühstück treffen sich Business Angels und Vertreter:innen aus der VC und PE-Community. Im Zentrum steht der Austausch, um sich unter anderem für künftige Co-Investments zusammenzuschließen.

© Wirtschaftsagentur Wien / Philipp Lipiarski

Lead Today. Shape. Tomorrow, Manufacturing Day, Impact Days und Tipps zum Networking

Weiters empfiehlt Raggl für Gründer:innen auch das zweitägige Event Lead Today. Shape Tomorrow., das vom 5. Juni bis zum 6 Juni im Wiener MAK von Female Founders organisiert wird. Im Rahmen der Veranstaltung kommen Startups, Investor:innen und Vertreter:innen aus dem Innovationscommunity zusammen. Neben Workshops und Roundtables wird es auch hier die Möglichkeit für 1:1 Meetings geben.

Zudem rät die Investorin Gründer:innen: “Mit einer guten Vorbereitung kann man am Event zielgerichteter Investor:innen ansprechen. Zudem sollte man darauf achten, welchen Investmentfokus die jeweiligen Investor:innen haben, mit denen man in Kontakt treten möchte.” Und sie merkt an: “Investor:innen kann man auch schon vor den Events anschreiben. Man muss dabei nicht unbedingt sofort das ganze Pitch Deck mitschicken, jedoch sollte man einen kurzes Umriss des Startups geben.”

Weitere Veranstaltungen, die Gründer:innen im Blick behalten sollten, sind laut Raggl die Impact Days, die vom 5. bis 7. Juni in der Hofburg stattfinden und der Manufacturing Day. Dieser geht am 6. Juni in der Aula der Wissenschaft über die Bühne. Auch hier werden internationale Investor:innen und Startup-Gründer:innen vor Ort sein, um Kooperationsmöglichkeiten auszuloten.

“Bei der ViennaUP kommen immer auch internationale Startups nach Wien. Als Investorin ist dies ein großer Mehrwert, um mit Gründer:innen hier in Wien direkt in Kontakt zu treten. Dazu zählen auch einige unserer Portfolio-Startups”, so Raggl.

Homebase und Wiener Kaffeehäuser vermitteln das Wiener Lebensgefühl

Netzwerken kann man aber nicht nur auf den zahlreichen Events der Programm-Partner. Auch in diesem Jahr bietet die ViennaUP mit der Homebase am Karlsplatz eine zentralen Treffpunkt. Teilnehmer:innen aus dem In- und Ausland können dort bei einem speziellen Musikprogramm das Wiener Lebensgefühl genießen. Zudem beteiligen sich auch Kaffeehäuser als Partner im Rahmen der ViennaUP.

Wien als die lebenswerteste Stadt der Welt bietet auch abseits der ViennaUP für Gründer:innen eine idealen Nährboden, um sich ein Business aufzubauen. Davon ist auch Raggl überzeugt: “Wien ist ein unfassbar attraktiver Standort. Die Büroflächen sind im internationalen Vergleich noch relativ günstig, aber auch die Lebenskosten sind niedriger als in anderen europäischen Metropolen. Das wirkt sich schlussendlich auch auf den Runway von Gründer:innen aus”. Abschließend verweist sie auf die Programme der Wirtschaftsagentur Wien, die Gründer:innen ganzjährig unterstützen. Mehr darüber könnt ihr auch auf der Website der Wirtschaftsagentur Wien erfahren.

Linktippzur Page der ViennaUP

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag