Institutional Money, Ausgabe 2 | 2025

In DORA eingeflossen Während die beiden Blackout-Assessments der FMA die organisatorische Resilienz in Extremsituationen testeten, scha t DORA (Digital Operational Resilience Act) den ver- bindlichen Ordnungsrahmen, in dem diese Vorsorge dauer- haft zu verankern ist. Ab dem 17. Januar 2025 gilt die Ver- ordnung EU-weit unmittelbar – auch für Versicherungen und Pensionskassen. Was bislang über Notfallpläne, Wiederanlaufstrategien oder Risikoanalysen geregelt war, wird durch DORA syste- matisch vertieft und verp ichtend: Blackout-Szenarien, wie sie die FMA in den letzten Jahren konkret abgefragt hat, entsprechen exakt jenem Risikotyp, auf den DORA reagiert. Ob Stromausfall, Telekommunikationskollaps oder der Aus- fall von IKT-Drittanbietern – DORA schreibt vor, dass solche systemischen Vorfälle vorab durch angemessene Risikoana- lysen identi ziert, durch strukturierte Schutz- und Präven- tionsmaßnahmen abgefedert, regelmäßige Tests validiert und im Ernstfall durch Notfallpläne operativ bewältigt werden müssen. Besondere Betonung liegt dabei auf der Rolle des Leitungsorgans. Dieses trägt künftig nicht nur Verantwor- tung für eine formale IKT-Risiko-Policy, sondern muss bei- spielsweise auch die Wiederherstellungspläne explizit geneh- migen und deren Tests freigeben. Krisenkommunikations- strategien sind ebenso verp ichtend wie eine strukturierte Auseinandersetzung mit IKT-Dienstleistern und deren ope- rativen Auslagerungen. Hierbei handelt es sich um einen Punkt, der in den Blackout-Assessments mehrfach als Schwachstelle identi ziert wurde. Auch konkretisiert DORA technische Anforderungen, die den Übergang von theoretischer Notfallplanung zur opera- tiven Belastbarkeit markieren: Datenverschlüsselung, auto- matisierte Schwachstellenscans, Quellcodeprüfungen, Tests der physischen Sicherheit oder Hacking-Risiken. FMA-Schlussfolgerungen In der nalen Analyse stellt Saria fest, dass „für Asset Ma- nager und institutionelle Investoren es nicht ausreicht, bloß das Business Continuity Management im Blick zu haben. Vielmehr müssen sie sich auch die Frage stellen, wie stark die Emittenten, die sie in ihrem Portfolio halten, etwa im Hinblick auf die Folgen von Produktionsausfällen oder Lie- ferkettenunterbrechungen für einen Blackout anfällig sind. Das gehört zur initialen sowie zur Ongoing Due Diligence.“ Zwar habe man gesehen, dass Versicherungen sich schon verstärkt mit entsprechenden Maßnahmen auseinanderge- setzt hätten, „ausbaufähig war aber noch die Evaluierung der rechtlichen Implikationen im Bereich Business Conduct. Dazu gehört: Wurde für Blackout-Schäden Deckung über- nommen? Werden Leistungen (während eines Blackout) er- bracht? Wie werden Leistungen unmittelbar nach einem Blackout priorisiert? Wie wird mit einem Prämienverzug infolge eines Blackouts oder mit einer verzögerten Meldung des Schadens beziehungsweise Versicherungsfalls infolge eines Blackout umgegangen? Werden Kundinnen und Kunden im Vorfeld eines Blackouts über den Geschäftsbetrieb wäh- rend oder unmittelbar nach einem Blackout informiert?“ Saria hat jedenfalls vor, die „FMA-Blackout-Exercise nach den Pensionskassen und Versicherungsunternehmen auch auf weitere Finanzdienstleister auszurollen: Es ist schließlich nicht nur die nanzielle, sondern auch die operationale Resi- lienz des Finanzsektors, die immer mehr in den Fokus der Aufsicht rückt“, so die FMA-Expertin. HANS WEITMAYR Das DORA-Framework … … in einem rudimentären Überblick Das Leitungsorgan trägt die letztendliche Verantwortung für das Management der IKT-Risiken und definiert, beschließt und überwacht unter anderem die Umsetzung aller Vorkehrungen im IKT-Management. Quelle: FMA Schutz & Prävention Back-up & Wiederherstellung Erkennung Reaktion Identifizierung Art.8 Art.12 Art.9 Art.11 Art.10 Governance & Organisation Art.5 IKT-Risikomanagementrahmen Art.6 IKT-Systeme, Protokolle, Tools Art.7 Lernprozesse & Weiterentwicklung Art.13 Kommunikation Art.14 Blackout-Pläne im Vergleich 3 Mehr als ein Viertel der Mitarbeiter ohne Anweisung Bei den Versicherern lagen im Fall eines Blackouts in 58 Pro- zent der Fälle ausreichende Dienstanweisungen vor, in mehr als jedem vierten Fall gab es jedoch keine entsprechenden Richt- linien. Die Diskrepanz zu den Pensionskassen kann auch hier mit der zeitlichen Differenz erklärt und dahingehend interpretiert werden, dass Unternehem 2023 generell besser auf Blackouts vorbereitet waren als 2022. Quelle: FMA Pensionskassen 2022 Versicherungsunternehmen 2023 38 % 38 % 25 % 27 % 15 % 58 % nicht durchgehend berücksichtigt nicht berücksichtigt umfassend berücksichtigt Reifegrad N o . 2/2025 | institutional-money.com 267 BlackAUT | STEUER & RECHT