FONDS professionell Österreich, Ausgabe 2/2024

Kampf gegen Cyberangriffe Der europäische Gesetzgeber hat neue Rechtsakte geschaffen, um den Gefahren von Cyberkriminalität zu begegnen. Für die betrof- fenen Unternehmen bedeutet vor allem eines: zusätzliche Pflichten. S eit Anfang März 2024 plagt Leicester ein zweifelhaftes Schauspiel. Die Stra- ßenlaternen lassen sich nicht mehr abschal- ten, sodass die Straßen rund um die Uhr hell beleuchtet werden.Was auf den ersten Blick wie ein technisches Gebrechen wirkt, ist jedoch nur die Spitze des Eisbergs eines noch viel größeren Problems. Die Stadt wurde Opfer eines Cyberangriffs, bei dem das IT-System der Stadtverwaltung von Hackern infiltriert wurde.Den Kriminellen gelang es dabei, unzählige sensible Daten von der Stadtverwaltung zu stehlen. Einige dieser Daten wurden zwischenzeitlich sogar veröffentlicht. Doch dem nicht genug: Die Kriminellen legten imZuge ihres Cyberan- griffs die Computersysteme der Stadt lahm. Betroffen waren davon auch jene, die die Straßenbeleuchtung regeln, was dazu ge- führt hat, dass die Straßenlaternen seither im Dauerbetrieb laufen. Zum Angriff be- kannt hat sich eine Gruppe, die bereits zuvor mehrere Cyberattacken auf öffent- liche Einrichtungen verübt hat. Dieser Fall ist jedoch nur ein Beispiel von vielen für das vermehrte Aufkommen von Cyberkri- minalität. Die EU sagt dieser Bedrohung für Wirtschaft und Gesellschaft nun durch DORA und NIS II den Kampf an. DORA Mit DORA hat die EU eine neue euro- päische Verordnung zur Vereinheitlichung der Anforderungen für digitale operatio- nelle Resilienz im Finanzsektor geschaffen. Unter „digitale operationelle Resilienz“ver- steht man die Fähigkeit eines Finanzunter- nehmens, seine operative Integrität und Be- triebszuverlässigkeit aufzubauen und durch entsprechende Maßnahmen sicherzustel- len, dass es seine Finanzdienstleistungen kontinuierlich – nämlich auch bei Störun- gen der Netzwerk- und Informationssyste- me (IKT) – erbringen kann. Das Ziel von DORA besteht daher in der Stärkung der digitalen Widerstandsfähigkeit der Finanz- branche gegen Cyberbedrohungen und der Sicherstellung der Betriebskontinuität. Zu diesem Zweck müssen die betroffe- nen Unternehmen zukünftig über einen umfassenden Kontrollrahmen für ein wirk- sames und umsichtiges Management der IKT-Risiken verfügen und diesen auch lau- fend (etwa durch Tests) überwachen.Dieser Risikomanagementrahmen muss dabei spezielle Strategien, Leitlinien und Verfah- ren für die Sicherstellung und Aufrechter- haltung beziehungsweise Wiederherstel- lung der digitalen operationalen Resilienz vorsehen.Wie mit IKT-bezogenen Vorfällen umzugehen ist und wie diese verhindert werden sollen, bestimmen die Unterneh- men abhängig von ihrem konkreten Risi- koprofil grundsätzlich selbst. Kommt es zu einem IKT-bezogenen Vorfall und wird dieser vom betroffenen Unternehmen als „schwerwiegend“ klassifiziert (weil etwa eine definierte Wesentlichkeitsschwelle überschritten wurde), müssen die Unter- nehmen eine entsprechende Meldung an die zuständige Behörde (in Österreich größtenteils die Finanzmarktaufsichtsbe- hörde FMA) erstatten. Sofern von diesem Vorfall auch finanzielle Interessen von Kun- den betroffen sind, müssen die Unterneh- men auch die Kunden informieren. Die Letztverantwortung für die Festle- gung, Genehmigung und Überwachung Cyberangriffe stellen für Unter- nehmen eine ernsthafte Gefahr dar. Nun reagiert die EU mit neuen Vorgaben zur Cybersicherheit: Diese werden den Umgang mit digitalen Risiken nachhaltig prägen. STEUER & RECHT Regulierung 238 fondsprofessionell.at 2/2024 FOTO: © CHEBIX | STOCK.ADOBE.COM | GENERIERT MIT KI