Knapp 66.000 Cyberstraftaten wurden 2023 in Österreich registriert, ein Plus von 9,4 Prozent zum Jahr davor. Besonders weitreichend können die Konsequenzen sein, wenn das Opfer ein Finanzbetrieb ist. Wird eine Bank oder einer ihrer Dienstleister "erfolgreich" angegriffen, kann sich der Schaden aufgrund der starken Vernetzung weit über nationale oder Firmengrenzen hinaus ausbreiten.

Auf diese Gefahrenlage reagiert die Europäische Kommission mit der DORA-Verordnung (Digital Operational Resilience Act). Darin verpflichtet sie die Finanzbranche zur europaweit einheitlichen Cybervorsorge. Betroffen sind 20 Sparten von Banken, Versicherungen oder Asset Managern bis hin zu Ratingagenturen. Sie alle brauchen künftig einen Plan für das IKT-Management (Informations- und Kommunikationstechnologie), Stresstests sind nötig, jeder einzelne IKT-Zulieferer ist in einem Informationsregister zu dokumentieren, wichtige IT-Drittanbieter müssen vorgegebene Kriterien erfüllen und werden außerdem der Finanzaufsicht unterworfen (damit kommen zum ersten Mal etwa Dienstleister wie Microsoft und Co. unter direkte Aufsicht) und so weiter. Als Verordnung muss DORA "eins zu eins" angewendet werden, eine nationale Umsetzung braucht es nicht. Start: 17. Jänner 2025.

Gewerblicher Vertrieb ist doch betroffen
Trotz der kurzen Restfrist ist noch vieles unklar, wie FONDS professionell in einem Artikel schreibt, der in voller Länge in der aktuellen Printausgabe erschienen ist. Zum Beispiel ist bei den gewerblichen Versicherungsvermittlern noch nicht geklärt, wer inwieweit betroffen ist.

Selbstständige Makler oder Agenten mit unter 250 Mitarbeitern und einem Jahresumsatz von weniger als 50 Millionen Euro und/oder 43 Millionen Euro Bilanzsumme wurden eigentlich von der DORA-Anwendung ausgenommen. Nur drei Versicherungsmakler in Österreich kommen laut Wirtschaftskammerzahlen überhaupt auf über 250 Mitarbeiter – ihre Umsätze werden nicht bekannt gegeben. Viele im Vertrieb haben DORA damit gedanklich schon abgehakt. Dennoch dürften viel mehr Vermittler von DORA betroffen sein, als die WKO-Zahlen es nahelegen.

Direkte und indirekte Änderungen
Zum einen indirekt: Zuletzt mehrten sich Branchenberichte, wonach die Assekuranzen ihre DORA-bezogenen Verschärfungen im IKT-Bereich wohl über neue Regeln an die Vermittler weitergeben. Große Versicherer wollten gegenüber der Redaktion noch nichts Konkretes sagen. Über Änderungen werde noch diskutiert.

Zum anderen wird es aber auch etliche direkt betroffene Vermittler geben. Sobald ein Makler nämlich IKT-Dienste anbietet, gilt die Vermittler-Ausnahme nicht, wie eine Expertin des Versicherungsmakler-Fachverbands mahnt. Wer etwa Buchhaltungs- oder Abwicklungsdienste anbietet, für den gelten die DORA-Vorgaben.

Schulungen betroffen
Juristen sehen sogar einen größeren Betroffenenkreis: Es seien "hier wohl auch exotischere Sachverhalte wie digitale Mitarbeiterschulungen umfasst, da auch solche ein dauerhafter digitaler Dienst sind", sagt Nino Tlapak, auf IT-Recht spezialisierter Anwalt (Kanzlei Dorda). Er bezieht sich dabei auf die extrem breite IKT-Definition in DORA: In die Verordnung fallen ausdrücklich alle Dienste, "die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden". Nur analoge Telefondienste (die ohnehin keine Rolle mehr spielen) werden ausgenommen.

Ob etwa eine jährlich wiederkehrende Datenbereitstellung als "dauerhaft" gilt, sei vorerst ungeklärt. Sobald ein Vermittler Plattformdienste oder Reportings bereitstellt, wäre er aber nach aktueller Wahrnehmung ein IKT-Anbieter und müsste von einem Versicherer etwa ins Register eingetragen werden. Es bestehe großer Auslegungsbedarf, so Tlapak.

Plattformen uneins
Auslegungsfragen müssen sich außerdem Vergleichsplattformen oder Maklerpools stellen, die IT-Services anbieten, aber in Österreich weitgehend weniger als 250 Mitarbeiter haben. Eine Nachfrage der Redaktion zeigt, dass hier die Auslegung sehr unterschiedlich ist (mehr zu lesen im Printheft).

Rechtsanwältin und Kapitalmarktspezialistin Katrin Repic (Kanzlei Dorda) betont, dass große Akteure wie Banken, Versicherungen oder Wertpapierfirmen relativ gut gerüstet seien, weil sie ­gemäß nationalen und europäischen Vorschriften bereits hohe IT-Standards haben. "Was aber wirklich eine Herausforderung ist, sind die Unmengen an bisher nicht als Auslagerung einzuordnenden Verträgen zwischen Finanzunternehmen und IKT-Dienstleistern, die allesamt bis 17. Jänner überarbeitet sein müssen", so Repic. (eml)

Der vollständige Artikel ist in der FONDS professionell-Printausgabe 2/2024 erschienen. Er kann nach Anmeldung auch im E-Magazin gelesen werden.