FONDS professionell Österreich, Ausgabe 2/2024

makler in Österreich kommen laut Wirt- schaftskammerzahlen überhaupt auf über 250 Mitarbeiter – ihre Umsätze werden nicht bekannt gegeben. Dennoch dürften viel mehr Vermittler von DORA betroffen sein, als diese Zahlen nahelegen. Zum einen indirekt: Zuletzt mehrten sich Berichte, wonach die Assekuranzen ihre Verschärfungen im IKT-Bereich wohl auch über neue „Dos and Don’ts“ an die Ver- mittler weitergeben. Große Versicherer zeigten sich diesbezüglich gegenüber der Redaktion zurückhaltend. Etwaige Ände- rungen stünden noch in Diskussion. Zum anderen wird es aber auch etliche direkt betroffene Vermittler geben. Sobald ein Makler nämlich IKT-Dienste anbietet, gilt die Vermittler-Ausnahme nicht, wie eine Expertin des Versicherungsmakler- Fachverbands mahnt. Wer Buchhaltungs- oder Abwicklungsdienste anbietet, würde etwa darunter fallen. Juristen sehen durchaus einen größeren Betroffenenkreis: Es seien „hier wohl auch exotischere Sachverhalte wie digitale Mitar- beiterschulungen umfasst, da auch solche ein dauerhafter digitaler Dienst sind“, sagt Nino Tlapak, auf IT-Recht spezialisierter Anwalt (Kanzlei Dorda). Er verweist damit auf die extrem breite IKT-Definition in DORA: In die Verordnung fallen ausdrück- lich alle Dienste, „die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden“. Nur analoge Telefondienste (die keine Rolle mehr spie- len) werden ausgenommen. Ob etwa eine jährlich wiederkehrende Datenbereitstel- lung als „dauerhaft“ gilt, sei vorerst unge- klärt. Sobald ein Vermittler Plattformdiens- te oder Reportings bereitstellt, wäre er aber nach aktueller Wahrnehmung ein IKT- Anbieter und müsste von einem Versiche- rer etwa ins Register eingetragen werden. Es bestehe noch großer Auslegungsbedarf, so Tlapak. Auslegungsfragen müssen sich etwa Ver- gleichsplattformen oder Maklerpools stel- len, die IT-Services anbieten, aber in Öster- reich weitgehend weniger als 250 Mitarbei- ter haben. Bei Durchblicker ist man sich sicher, unter die Ausnahme zu fallen. Bei Wefox hingegen verweist man auf die zwei- deutige Rechtslage. Alle seien gut beraten, Rechtsbeistand einzuholen, so Geschäfts- führer Rene Besenbäck. Gleichwohl wür- den aber Plattformen ohnehin bereits jetzt viele der DORA-Erfordernisse umsetzen. Das sieht auch Rechtsanwältin und Ka- pitalmarktspezialistin Katrin Repic (Kanzlei Dorda) so: Große Akteure wie Banken, Ver- sicherungen oder Wertpapierfirmen, die gemäß nationalen und europäischen Vor- schriften bereits hohe IT-Standards haben, seien relativ gut gerüstet. „Was aber wirklich eine Herausforderung ist, sind die Unmen- gen an bisher nicht als Auslagerung einzu- ordnenden Verträgen zwischen Finanzun- ternehmen und IKT-Dienstleistern, die alle- samt bis 17. Jänner überarbeitet sein müs- sen“, so Repic. Die Expertin berichtet aus der Erfahrung mit Mandanten über einen weiteren Nebeneffekt: Kleinere IKT-Anbie- ter, die DORA umsetzen müssten, damit sie weiter mit Finanzunternehmen koope- rieren können, würden durchaus Strategie- änderungen überlegen. Die Cybersicher- heitsbemühungen der EU seien wichtig, aber etwas mehr Verhältnismäßigkeit sei wünschenswert, so Repic. EDITH HUMENBERGER-LACKNER FP Katrin Repic, Rechtsanwältin (Kanzlei Dorda), betont, dass große Akteure DORA-fit sind. Die Vertragsänderungen sind aber ein hoher Aufwand. Nino Tlapak, Kanzlei Dorda, sieht Auslegungs- bedarf. Möglicherweise könnten auch digitale Schulungen von Mitarbeitern als IKT-Dienst zählen. Die DORA-Verordnung Der „Digital Operational Resilience Act“ (EU) 2022/2554 schreibt Finanzunternehmen vor, wie sie ihre Cybersicherheit stärken müssen. Anwendungsstart der DORA: 17. 1. 2025. Eine wesentliche Neuerung durch DORA: Nicht nur Finanzinstitute wie Banken oder Versicherun- gen werden von der Aufsicht überwacht, sondern auch wichtige IKT-Zulieferer. Als Verordnung ist DORA ohne nationale Adap- tion vollumfänglich umzusetzen. Begleitend hat die EU mehrere Richtlinien und delegierte Rechtsakte erlassen: Die NIS-2-RL über ein hohes gemeinsames Cybersicherheits- niveau, die DORA-RL hinsichtlich der digitalen operationalen Resilienz und die RL über die Resilienz kritischer Einrichtungen. FONDS & VERSICHERUNG DORA Maklerpools 176 fondsprofessionell.at 2/2024 FOTO: © KATRIN REPIC: © ISABELLE KOEHLER I BELLE&SASS I DORDA, NINO TLAPAK: © NATASCHA UNKART I STUDIOKOEKART I DORDA