FONDS professionell Österreich, Ausgabe 2/2024

des Risikomanagementrahmens liegt beim Leitungsorgan (Geschäftsleitung/Vorstand). DORA sieht zu diesem Zweck vor, dass die verantwortlichen Personen regelmäßige Schulungen absolvieren müssen, um die IKT-Risiken des Unternehmens und deren Auswirkungen verstehen und entspre- chend bewerten zu können. Anwendungsbereich Der Anwendungsbereich von DORA ist weit und erstreckt sich auf Finanzunterneh- men und „IKT-Drittdienstleister“. Erfasst werden daher klassische Finanzunterneh- men wie Wertpapierfirmen, Kredit-, Zah- lungs- und E-Geld-Institute sowie Versiche- rungsunternehmen.Unter „IKT-Drittdienst- leistern“ sind im Wesentlichen Unterneh- men zu verstehen, die für Finanzunterneh- men IKT-Dienstleistungen erbringen. Dazu zählen etwa Anbieter von Cloud-Compu- ting- oder Datenanalysediensten. Auch für diese gelten daher die Anforderungen von DORA. Eine bedeutende Ausnahme be- steht jedoch für Versicherungsvermittler, Rückversicherungsvermittler und Versiche- rungsvermittler in Nebentätigkeit: Diese Fallen nur dann in den Anwendungsbe- reich von DORA, wenn sie zumindest 250 Personen beschäftigen und einen Jahres- umsatz von 50 Millionen Euro und/oder einen Bilanzgewinn von 43 Millionen Euro erreichen. Darüber hinaus sind auch gewerbliche Vermögensberater nicht vom Anwendungsbereich von DORA erfasst. NIS-II-Richtlinie Die Verpflichtung zur Stärkung der Widerstandsfähigkeit gegen Cyberangriffe bleibt jedoch nicht auf den Finanzsektor beschränkt. Anders als mit DORA zielt der europäische Gesetzgeber mit NIS II jedoch nicht auf die Sicherstellung der Betriebs- stabilität von Finanzunternehmen, sondern vielmehr auf die EU-weite Harmonisierung der Cybersicherheit ab. NIS II bringt zu diesem Zweck eine Vielzahl von Neuerun- gen, wozu insbesondere die erhebliche Ausweitung des Anwendungsbereichs zählt. Neben den bereits bisher erfassten Sektoren (Energie, Verkehr, Bankwesen, Gesundheitswesen usw.) sind zukünftig auch Unternehmen anderer kritischer Sek- toren (Post- und Kurierdienste, Lebensmit- tel, Chemie, öffentliche Verwaltung …) vomAnwendungsbereich der Richtlinie er- fasst. Darüber hinaus wurde der Anwen- dungsbereich auch auf Unternehmen mitt- lerer Größe (über 50 Mitarbeiter und Jah- resumsatz über zehn Millionen Euro) er- weitert. Damit sollen jene Unternehmen vor Cyberangriffen geschützt werden, die für Wirtschaft und Gesellschaft von beson- derer Bedeutung sind. Daneben trifft NIS II eine Unterscheidung zwischen wesent- lichen und wichtigen Einrichtungen und legt für beide Kategorien zum Teil von- einander abweichende Regelungen fest. Risikomanagement Die vom Anwendungsbereich erfassten Unternehmen sind zukünftig verpflichtet, umfassende Risikomanagementmaßnah- men in Bezug auf Cybersicherheit sowie entsprechende Berichtspflichten zu etablie- ren. Gleich wie bei DORA liegt die Ver- antwortung dafür bei der Unternehmens- leitung, die über ausreichend Kenntnisse und Fähigkeiten verfügen muss und für Pflichtverletzungen entsprechend haftet. Im Rahmen der Berichtspflichten müssen erhebliche Sicherheitsvorfälle (schwerwie- gende Betriebsstörungen oder finanzielle Verluste) schnell gemeldet werden, um eine potenzielle Ausbreitung zu verhin- dern. Betroffene Unternehmen müssen sol- che Fälle im Rahmen einer Frühwarnung spätestens binnen 24 Stunden an die zu- ständige Stelle melden, wobei innerhalb von 72 Stunden eine aktualisierte Meldung zu erstatten ist. Darüber hinaus legt NIS II einheitliche Anforderungen an das Risiko- management der Unternehmen fest. Ziel ist es dabei, die Risiken der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. NIS II legt zu diesem Zweck zehn Schlüsselelemente fest, die betroffene Unternehmen adressieren und umsetzen müssen (etwa Schulungen im Bereich der Cybersicherheit, Konzepte für den Einsatz von Kryptografie und Ver- schlüsselung, die Verwendung von Lösun- gen zur Multi-Faktor- oder kontinuierli- chen Authentifizierung). Handlungsbedarf Da NIS II vom europäischen Gesetz- geber als Richtlinie konzipiert wurde,muss diese noch – anders als die unmittelbar anwendbare DORA – in nationales Recht umgesetzt werden. Seit Anfang April 2024 liegt ein erster Gesetzesentwurf vor. Auch wenn dieser noch Gegenstand weiterer Diskussionen und Beratungen ist, wird daraus bereits jetzt klar, dass betroffene Unternehmen im Fall von Verstößen mit Strafen in Millionenhöhe rechnen müssen. Gleiches gilt übrigens für Verstöße gegen DORA. Für die Umsetzung bleibt den Unterneh- men auch nur mehr wenig Zeit. Die NIS- II-Vorgaben gelten bereits ab 18.10.2024. Die Vorgaben von DORA sind bis zum 17.1.2025 umzusetzen. Es ist daher höchste Zeit, dass betroffene Unternehmen in die- sem Bereich tätig werden. Denn eines ist wohl gewiss, Leicester wird nicht der letzte Fall von Cyberkriminalität bleiben. Die Autoren: Dr. Raphael Toman LL.M. (NYU) ist Partner, Florian Hieslmayr Rechtsanwaltsanwärter in der auf Finanzmarktrecht spezialisierten Kanzlei BRANDL TALOS Rechtsanwälte GmbH. FP Dr. Raphael Toman, BRANDL TALOS Rechtsanwälte Florian Hieslmayr, BRANDL TALOS Rechtsanwälte fondsprofessionell.at 2/2024 239

RkJQdWJsaXNoZXIy ODI5NTI=