Institutional Money, Ausgabe 2 | 2025
V erursachte das Thema „Blackout“imKino oder bei der Lektüre einschlägiger Belletristik wohliges apo- kalyptisches Schauern, so hat die Unverfänglichkeit spätestens mit der Invasion der Ukraine durch russische Truppen und die Sorge um kontinentweise Versorgungs- engpässe rund um Erdgas ein Ende gefunden. Kaum war das Thema aus den Schlagzeilen verschwunden, kam der 28. April 2025. Auf der Iberischen Halbinsel brach das Stromnetz zusammen, es gingen buchstäblich die Lichter aus. Bei Redaktionsschluss galten regional begrenzte Strom- ausfälle in Süden Spaniens als Initialpunkt eines kaskaden- artigen Zusammenbruchs. Zwischenzeitlich gab es Spekula- tionen um Terror- oder Hackerangri e. Während an erster Stelle natürlich die Sorge um das physische Wohl der Bevölkerung und die Aufrechterhaltung lebensnotwendiger Infrastruktur stehen, darf in einem zwei- ten Schritt die Frage nach potenzielle Verwerfungen im Finanzmarkt gestellt werden. Hier gibt es drei mögliche Fragestellungen. Erstens: Sind börsennotierte Unternehmen gegen Blackout-Risiken gefeit? Zweitens: Sind es die Dienst- leister – also Banken, Börsen oder Asset Manager? Und drit- tens: Gibt es entsprechende Regularien und Vorgaben? Die ernüchternde Antwort auf die Fragen 1 und 2: Man weiß es nicht. Ein Regelwerk gibt es nur rudimentär. Dieses läuft auf die DORA-Verordnungen hinaus, die seit Beginn des Jahres greifen, den Spezialfall „Blackout“ aber nur indi- rekt umfassen. Interessant wäre in diesem Zusammenhang, wie die Finanzmarktaufsichtsbehörden bei dem Thema auf- gestellt sind.Hinsichtlich der Thematik lässt sich von Seiten der Ba n ein kurz au ackerndes Interesse bemerken, bei den sechs Hauptrisiken für 2025 (siehe QR-Code zu „Risi- ken im Fokus der BaFin 2025“ übernächste Seite) wird „Blackout“ jedoch nicht gesondert erwähnt – der bedeu- tungsnächste Begri ist „Cybercrime“. FMA als Vorreiterin Bemerkenswerterweise hat im Kontrast dazu die österrei- chische Finanzmarktaufsicht (FMA) hat dieses Thema aktiv aufgegri en und im Jahr 2022 ein Blackout Maturity Level Assessment für den österreichischen Pensionskassensektor durchgeführt. Die Initialzündung kam dabei von Stanislava Saria, Abteilungsleiterin für Querschnittsthemen und Infor- mationsmanagement der Versicherungsaufsicht und der Pensionskassenaufsicht. „Mir ist keine andere Aufsichts- behörde bekannt, die die Vorbereitung auf das Blackout- Szenario evaluiert hat“, meint die Expertin und führt aus: „Für mich war das einfach ein logischer Bestandteil unseres Cyber-Security-Toolkits, das wir in der Versicherungs- und Pensionskassenaufsicht seit 2018 aufgebaut haben, um die Widerstandsfähigkeit der Unternehmen gegenüber Cyber- bedrohungen und Betriebsstörungen überprüfen zu kön- nen. Und es zeigte sich auch, dass uns auch der europäische Gesetzgeber später recht gegeben hat – und 2024 das Szena- rio von weitverbreiteten Stromausfällen in den Katalog von Szenarien aufgenommen hat, die Finanzunternehmen in ihren IKT-Reaktions- und Wiederherstellungsplänen berück- sichtigen müssen.“ Hier spielt die FMA-Spezialistin auf die DORA an – dazu später mehr. Im Großen und Ganzen lässt sich jedenfalls feststellen: Die Pensionskassen haben ihre Hausaufgaben gemacht.Drei Viertel der Institute nennen das Blackout-Szenario explizit in ihrer Business Continuity Policy im Bereich der Informa- tions- und Kommunikationstechnologie (IKT). Die Hälfte der Häuser hat darüber hinaus dedizierte Notfallpläne für Die österreichische Finanzmarktaufsicht (FMA) ist vorgeprescht und hat bereits zwei Empfehlungsrichtlinien für Blackout-Prävention und -Schadensbegrenzung herausgebracht. BlackAUT -Pionier FMA 264 N o . 2/2025 | institutional-money.com STEUER & RECHT | BlackAUT FOTO: © SOLVENCY » Für mich war das einfach ein logischer Bestandteil unseres Cyber-Security-Toolkits, das wir in der Versicherungs- und Pensions- kassenaufsicht (…) aufgebaut haben. « Stanislava Saria, Leiterin Pensionskassen & Versicherungen, FMA
Made with FlippingBook
RkJQdWJsaXNoZXIy ODI5NTI=