Institutional Money, Ausgabe 3 | 2024

herige nationale Regelungen und Doppelregulierungen in den Mitgliedsstaaten zukünftig entfallen. Die BaFin hat bereits angekündigt, die nationalen Vorgaben der VAIT für DORA-Anwender zu streichen. Diesen Schritt begrüßen die Unternehmen“, so Asmussen. Er verweist aber auf ein Pro- blem: „Große Unternehmen müssen ab Januar sogenannte Threat Led Penetration Testings durchführen können. Pro- blematisch ist, dass die vorgeschriebenen externen Red Team Tester derzeit nicht in notwendiger Anzahl zur Verfügung stehen. Interne Tester dürfen zwar eingesetzt werden, müs- sen aber zahlreiche neue Vorgaben erfüllen“, sagt Asmussen. Aber auch die „normalen“ Penetrationstests, die alle Unter- nehmen einmal im Jahr durchzuführen haben, kommen hier, was die Unterstützung durch externe Anbieter betrifft, an eine Kapazitätsgrenze. Die Versicherer können bei der Einführung von IKT- Sicherheitsmaßnahmen ihre Erfahrungen gleich auf ihr aktives Geschäft übertragen. Schließlich tut sich mit Cyber- policen ein interessantes neues Geschäftsfeld auf. Im Jahr 2023 sind die Bruttobeitragseinnahmen im inländischen Direktgeschäft gegenüber 2022 um rund ein Viertel auf 309 Millionen Euro gewachsen. „Für 2024 erwarten wir ein ab- geschwächtes Wachstum um rund 15 Prozent“, gibt Asmus- sen Einblicke in das wachsende Cyberpolicengeschäft der deutschen Versicherer. Für EbAV zu wenig Proportionalität „IT-Sicherheit wird immer wichtiger – auch für EbAV“, be- stätigt auch Beate Petry, „für viele EbAV, die Unternehmens- einrichtungen sind, hatte die IT-Sicherheit bei den Trägerun- ternehmen bereits vor DORA einen sehr hohen Stellen- wert.“ Petry vertritt die Seite der EbAV. Sie ist Head of Pen- sion & Other Benefits bei BASF SE und designierte Vor- standsvorsitzende der Arbeitsgemeinschaft für betriebliche Altersversorgung e.V. (aba) (siehe Interview mit ihr in diesem Heft) . Sie beklagt den weitgehend einheitlichen Maßstab, den DORA an alle Finanzmarktteilnehmer anlegt, nahezu ohne Berücksichtigung der Proportionalität. „Diese EU- Verordnung und ihre Flut an detaillierten Level-II- und -III- Regulierungen werden auch auf EbAV angewendet. Da- durch müssen aufwendige Prozesse und Dokumentations- pflichten erfüllt werden, die nicht unbedingt passen.“ Sie meint, dass es mehr Spielräume für eine proportionale, risi- koangemessene Aufsichtspraxis geben sollte. 100 Prozent Sicherheit gibt es nicht Ob die Unternehmen des Finanzsektors es schaffen, durch die in DORA vorgesehenen Maßnahmen mit ihrer Cyber- sicherheit „vor die Welle“ zu kommen, ist keineswegs sicher. „Es wäre naiv zu glauben, dass man es hinbekommt, dass eine rechtliche Regulierung einen Cyberangriff vermeiden kann. Auch DORA kann lediglich helfen, Risiken zu mini- mieren. Mit einem State-of-the-Art-Risikomanagement haben Sie eine leidlich gute Chance, relativ unbeschadet aus einer Cyberattacke rauszukommen – wenn es gut läuft“, dämpft Pohle die Hoffnungen auf 100 Prozent Sicherheit. ANKE DEMBOWSKI Nicht nur sektorspezifische Maßnahmen der EU Die EU-Regulierungsgeber versuchen auf verschiedenen Wegen, das Umfeld gegen Cyberrisiken resilienter zu machen. W ährend es bei DORA speziell um die Cyber- sicherheit von Unternehmen des Finanz- sektors geht, hat die EU-Kommission weitere Maßnahmen zur digitalen Sicherheit eingeführt. Bereits im Dezember 2020 hat die Kommission ihre europäische Cybersicherheitsstrategie vorgestellt, mit der die digitale Zukunft Europas gestaltet werden soll. Außerdem trat am 16. Januar 2023 die über- arbeitete Network and Information Security Directive (NIS 2) in Kraft, und die Mitglieds- staaten haben bis zum 17. Oktober 2024 Zeit, die Maßnahmen der Vereinbarung in nationales Recht zu gießen. Damit soll die Widerstands- fähigkeit kritischer Einrichtungen gestärkt wer- den. Darüber hinaus gibt es speziell für kritische Einrichtungen die Critical Entities Resilience (CER) Directive. Hier haben die EU-Staaten bis zum 17. Juli 2026 Zeit, um kritische Einrichtun- gen zu ermitteln und die neuen Resilienzanfor- derungen zu erfüllen. Und beim Cyber Resi- lience Act (CRA), für den die EU-Kommission im September 2022 bereits einen Entwurf vor- gelegt hat, geht es hauptsächlich um Hard- und Software, die im Einsatz ist und für welche die Regulierung Mindestsicherheitsanforderungen vorgibt. Der ehemalige EU-Kommissar für den Binnen- markt, Thierry Breton, sagte zu den umfangrei- chen Regulierungen: „Cyberbedrohungen entwi- ckeln sich schnell, sie sind zunehmend komplex und anpassungsfähig. Um sicherzustellen, dass unsere Bürgerinnen und Bürger und unsere In- frastrukturen geschützt sind, müssen wir meh- rere Schritte vorausdenken. In Cybersicherheit zu investieren bedeutet, in die gesunde Zukunft unserer Onlineumgebungen und in unsere stra- tegische Autonomie zu investieren.“ Der damalige EU-Kommissar Thierry Breton 256 N o . 3/2024 | institutional-money.com STEUER & RECHT | Digital Operational Resilience Act FOTO: © DOMINIK BUTZMANN | GDV; CREATIVE COMMONS ATTRIBUTION 2.0 GENERIC » Es ist wichtig, dass bisherige nationale Regelungen und Doppelregulierungen in den Mitgliedsstaaten – zum Beispiel VAIT – zukünftig entfallen. « Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV)