EU-Verordnung DORA bringt neue Pflichten für Versicherungsvermittler und -berater (auch in Nebentätigkeit)
Seit dem 17. Januar 2025 müssen große Versicherungsvermittlerunternehmen umfassende Pflichten zur Abwehr von Cybergefahren in der Finanzbranche erfüllen. Denn seitdem gilt die EU-Verordnung DORA (Digital Operational Resilience Act) ( Verordnung (EU) 2022/2554). Das DORA flankierende deutsche Finanzmarktdigitalisierungsgesetz (FinmadiG) ist bereits Ende 2024 in Kraft getreten FinmadiG .
Damit reagieren die EU und der deutsche Gesetzgeber auf die massiv gestiegene Bedrohung durch Cyberangriffe auf Unternehmen. Den dadurch entstandenen gesamtwirtschaftlichen Schaden schätzt das Bundeskriminalamt allein in Deutschland für 2023 auf 148 Milliarden Euro.
Ziel von DORA ist es, einen einheitlichen Überwachungsrahmen mit Anforderungen an die IT-Systeme aller im Finanzsektor tätigen Unternehmen zu schaffen. Dabei werden auch interne und externe Dienstleister aus dem Bereich der Informations- und Kommunikationstechnologie (IKT), Cloudanbieter und Datenanalysedienste erfasst. DORA ist ein Quantensprung in der IT-Sicherheit: Die Verordnung legt den Fokus nicht nur auf die Prävention von IKT-Vorfällen, sondern stellt die Unternehmen vor die Herausforderung, sich mit den Maßnahmen im Ernstfall auseinandersetzen und diese zu trainieren.
Wen betrifft DORA?
DORA betrifft Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Kryptodienstleister/-innen, Transaktionsregister, Verwaltungsgesellschaften, Versicherungsvermittler/-innen (auch in Nebentätigkeit), Versicherungs- und Rückversicherungsunternehmen, sofern sie eine gewisse Größe haben.
Unter den Anwendungsbereich fallen alle Versicherungsvermittler/-innen, die mehr als 250 Personen beschäftigen und deren Jahresumsatz 50 Millionen Euro übersteigt oder deren Jahresbilanzsumme 43 Millionen Euro überschreitet. Der deutsche Gesetzgeber hat in der Begründung zum FinmadiG klargestellt, dass sich die Umsatzschwellen ausschließlich auf die Umsätze aus dem Versicherungsgeschäft beziehen.
Was regelt DORA und was müssen die betroffenen Unternehmen tun?
Die DORA-Verordnung umfasst folgende Säulen:
- den IKT-Risikomanagementrahmen
- das Management von IKT-Vorfällen
- das regelmäßige Testen der digitalen Resilienz
- das Drittparteimanagement
- das EU Überwachungsrahmenwerk kritischer IKT-Drittdienstleister
- den Austausch von Informationen (information sharing)
IKT-Risikomanagementrahmen
Finanzunternehmen müssen über einen umfassenden Risikomanagementrahmen verfügen, diesen dokumentieren, prüfen lassen und den zuständigen Aufsichtsbehörden vorlegen. Für Banken und Versicherungen ist die BaFin die zuständige Aufsichtsbehörde. Versicherungsvermittler/-innen fallen unter die Aufsicht der IHK, sofern sie keine Erlaubnis nach § 32 Abs. 1 KWG besitzen.
Der Risikomanagementrahmen beinhaltet neben umfassenden Governancevorgaben auch Strategien und Verfahren, die den Schutz von Soft- und Hardware, aber auch IT-relevanter Räumlichkeiten und Rechenzentren gewährleisten sollen. Darüber hinaus müssen darin Regeln zur Vermeidung, Erkennung, Verfolgung und Protokollierung von IT-Sicherheitsvorfällen und der Umgang mit Drittparteien festgelegt werden.
Management von IKT-Vorfällen
Schwerwiegende IKT-Vorfälle müssen unmittelbar an die IHK als zuständige Aufsichtsbehörde gemeldet werden, die den Vorfall an die Europäischen Aufsichtsbehörden (ESA) weiterleitet. Die Entscheidung, ob es sich um einen schwerwiegenden Vorfall handelt, trifft das Unternehmen anhand der von den Europäischen Aufsichtsbehörden vorgegeben Kriterien: Delegierte Verordnung - EU - 2024/1772 - EN - EUR-Lex (europa.eu). Diese entscheiden dann, ob zum Beispiel ein grenzüberschreitender Sachverhalt vorliegt und andere nationale Aufsichtsbehörden informiert werden müssen.
Sobald wesentliche Veränderungen eingetreten sind, muss das Unternehmen der IHK einen Zwischenbericht und, sobald der Vorfall abgeschlossen und die Ursachen erforscht und behoben sind, einen Abschlussbericht vorlegen.
Testen der digitalen Resilienz
DORA schreibt den Unternehmen vor, ihre digitale Widerstandsfähigkeit regelmäßig zu testen. Alle aufgedeckten Probleme müssen anschließend klassifiziert, dokumentiert und behoben werden. Dabei ist ein risikobasierter Ansatz zu verfolgen. Ausgewählte, besonders systemrelevante Unternehmen müssen alle drei Jahre fortgeschrittene Tests mittels bedrohungsgeleiteter Penetrationstests (TLPT) durchführen. Den genauen Umfang legt die zuständige Aufsichtsbehörde fest.
Drittparteienmanagement
Versicherungsvermittlerunternehmen dürfen nur dann vertragliche Vereinbarungen mit Drittdienstleistern eingehen, wenn diese die Anforderungen von DORA an die digitale operationelle Resilienz erfüllen. Sind besonders kritische und wichtige Funktionen des Unternehmens betroffen, müssen die höchsten Anforderungen gestellt werden. Die Einhaltung ist von den Unternehmen unter Berücksichtigung allgemeiner Prüfungsstandards zu überwachen. Darüber hinaus muss das Versicherungsvermittlerunternehmen entsprechende Ausstiegsszenarien im Falle von Verstößen oder Risiken seitens des Dienstleisters in seinem Risikomanagementrahmenplan festhalten und die vertraglichen Vereinbarungen mit den Drittdienstleistern dementsprechend gestalten.
Zudem müssen Versicherungsvermittlerunternehmen ein Register über die vertraglichen Vereinbarungen über die Nutzung von IKT- Drittdienstleistungen führen. Darin sind alle Dienstleister, die Art der Vereinbarung, die Einstufung des Dienstleisters und die ausgelagerten Funktionen aufzuführen. Das Informationsregister ist der IHK mindestens einmal jährlich und nach jeder Veränderung vorzulegen.
EU-Überwachungsrahmenwerk kritischer IKT-Dienstleister
In der Finanzbranche wird vielfach auf externe IT-Dienstleister (Cloud, Software, etc.) zurückgegriffen. DORA weitet die Risikobewertung auf diese Drittdienstleister aus und unterzieht besonders Kritische einem eigenen europäischen Überwachungsrahmenwerk.
Die Einstufung als kritischer IKT-Drittdienstleister wird von den Europäischen Aufsichtsbehörden (ESA) vorgenommen. Entscheidende Kriterien sind unter anderem grenzüberschreitende oder sehr gefahrgeneigte Tätigkeiten. Anhand eines individuellen Überwachungsplanes werden die kritischen IKT-Drittdienstleister beaufsichtigt. Bei einem Verstoß gegen die Empfehlungen der ESA durch den IKT-Drittdienstleister kann die IHK als Aufsichtsbehörde von dem Versicherungsvermittlerunternehmen verlangen, die Dienstleistungen auszusetzen oder den Vertrag zu beenden, sofern es eine Vertragsbeziehung zu dem kritischen Dienstleister hat.
Austausch von Informationen
DORA ermutigt Finanzunternehmen, sich gegenseitig über Cyberbedrohungen zu informieren, um insgesamt die Resilienz des Finanzsektors zu stärken. Bei dem sogenannten Information Sharing ist auf die gesetzliche Pflicht zu achten, die IHK als zuständige Aufsichtsbehörde rechtzeitig einzubinden.
Viele neue Pflichten
Insgesamt bringt DORA einen großen Pflichtenkatalog für die Finanzmarktbranche und die Versicherungsvermittlerunternehmen mit sich. Bei Verstößen gegen die DORA-Pflichten drohen empfindliche Geldbußen von bis zu 500.000 Euro. Während Banken und Versicherungen schon mit den "Versicherungs- und Bankenrechtlichen Anforderungen an die IT" (VAIT und BAIT) Erfahrungen in dem Bereich sammeln konnten, ist das Thema IT-Aufsicht für Versicherungsvermittlerunternehmen weitgehend neu. Es empfiehlt sich daher, frühzeitig Kontakt mit der zuständigen IHK aufzunehmen.
Weitere Informationen finden Sie auf der Internetseite der DIHK.