Die neue EU-Verordnung DORA (Digital Operational Resilience Act) sorgt in der Finanzbranche aktuell für Aufsehen und Informationsbedarf. DORA gilt auch für Versicherungsunternehmen und Versicherungsvermittler. Dieser Beitrag bietet einen kurzen Überblick über die wichtigsten Neuerungen.
Artikel von:
Mag. Georg Wimmer
Versicherungsrechtsexperte bei KPMG Law – Buchberger Ettmayer Rechtsanwälte GmbH
Zahlreiche Versicherungsunternehmen und Versicherungsvermittler greifen auf externe IT-Dienstleister, wie z.B. Anbieter von Cloud-Diensten, zurück. Der Grund hierfür liegt häufig darin, dass es kosteneffizienter ist, IT-Knowhow extern zuzukaufen, als es intern selbst aufzubauen. Während Versicherungsunternehmen der Aufsicht der FMA unterliegen, unterliegen Auslagerungsdienstleister, wie etwa Anbieter von Cloud-Services, für gewöhnlich trotz ihrer mittlerweile großen Bedeutung für den Markt keiner regulatorischen Aufsicht. Wenn ein externer Auslagerungsdienstleister von einer Cyber-Attacke getroffen wird, sind die Auswirkungen weitreichend. Es leidet nicht nur das betroffene Unternehmen darunter, sondern auch die Versicherungsunternehmen, die seine Dienste nutzen, und deren Kunden.
DORA regelt nun den Umgang mit genau diesem Risiko. Die Vorgaben der DORA sind auch auf Versicherungsunternehmen, Versicherungsvermittler und Versicherungsvermittler in Nebentätigkeit anwendbar, und zwar ab dem 17. Jänner 2025.
Für wen gilt DORA?
DORA bezieht sich auf sämtliche Fälle, in denen Versicherungsunternehmen und Versicherungsvermittler Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie in Anspruch nehmen (Stichwort „IKT-Dienstleistungen“). Die Europäische Versicherungs- und Pensionskassenaufsicht EIOPA nennt als Beispiele hierfür externe Cloud-Dienste, die Bereitstellung von Netzwerk-/Internetzugang, von Hardware und Software, externe Datenanalyse, externes IT-Projektmanagement, und einiges mehr. KMU-Versicherungsvermittler (in Nebentätigkeit), die gewisse Umsatz- und Mitarbeiterzahlen nicht überschreiten, sind jedoch von DORA ausgenommen.
Die Regelungen von DORA ähneln in vielen Punkten jenen zur Auslagerung (§ 109 VAG). Dennoch sind beide Regelungsregime voneinander zu trennen. Die Regelungen zur Auslagerung gelten auch bei Auslagerungen, die keine IKT-Dienstleistungen betreffen. DORA hingegen gilt auch dann, wenn die Inanspruchnahme einer IKT-Dienstleistunge keine Auslagerung im Sinne des § 109 VAG ist. Hierzu zählen insb. Dienstleistungen, die nicht versicherungsaufsichtsrechtlich reguliert sind und dennoch dem IKT-Bereich zugerechnet werden können, etwa der Internetzugang, E-Mail-Programme, aber auch der elektronische Bezug von Marktinformationsdiensten oder externer statistischer Daten. Liegt sowohl eine Auslagerung nach § 109 VAG, als auch eine IKT-Dienstleistung vor, sind beide Regelungsrahmen zu beachten.
DORA-Vorgaben und ihre Bedeutung für Versicherungen
Je nach konkreter Situation unterscheidet es sich, wie intensiv die Vorgaben von DORA auf Versicherungsunternehmen und Versicherungsvermittler wirken. IKT-Dienstleistungen, die konzernintern von einer Service-Gesellschaft bereitgestellt werden, unterliegen – mit Ausnahmen – ebenfalls der DORA. Die Intensität der DORA-Vorgaben richtet sich auch danach, ob die IKT-Dienstleistung eine kritische oder nicht kritische Funktion des Unternehmens betrifft. Eine kritische Funktion ist alles das, was die finanzielle Leistungsfähigkeit, die Rückstellungsbildung oder die Betriebskontinuität der Unternehmen beeinträchtigen könnte. Bevor kritische IKT-Auslagerungen in Anspruch genommen werden, ist dies der FMA anzuzeigen. Das Unternehmen muss weiters eine Ausstiegsstrategie aus kritischen Dienstleistungen haben, um bei Störungen möglichst reibungslos den Anbieter wechseln zu können und um nicht in eine Abhängigkeit zu geraten.
Auswahl der IKT-Dienstleister
Bevor ein Versicherungsunternehmen oder -vermittler die Dienste eines externen IKT-Dienstleisters in Anspruch nimmt, muss es diesen prüfen. Dabei gilt es unter anderem zu beantworten, ob es sich um eine kritische IKT-Auslagerung handelt, ob die gesetzlich vorgeschriebenen Einsichts- und Prüfrechte vereinbart und durchgesetzt werden können, welche Risiken sich aus der Dienstleistung für das Versicherungsunternehmen ergeben und ob Interessenkonflikte entstehen, etwa weil der externe Dienstleister zum Konzern eines Konkurrenten gehört oder Nahebeziehungen zu Managern des Versicherungsunternehmens bestehen.
DORA sieht auch umfangreiche inhaltliche Anforderungen an den Vertrag mit dem externen Dienstleister vor. Der Vertrag mit dem Dienstleister hat gewisse Mindestinhalte jedenfalls zu erfüllen. Dazu zählen etwa die Art und Qualität der Dienstleistung, der Dienstleistungsort, Kündigungsmöglichkeiten oder die Verpflichtung des Dienstleisters zur vollumfänglichen Zusammenarbeit mit der FMA.
Besondere Sorgfalt gilt bei IKT-Dienstleistern von außerhalb der EU (aus Drittstaaten). Hier muss das Versicherungsunternehmen unter anderem sicherstellen, dass der Dienstleister auch die europäischen Datenschutzvorgaben (DSGVO) einhält.
Aufsicht über DORA
Versicherungsunternehmen und Versicherungsvermittler müssen ab Inkrafttreten der DORA (17. Jänner 2025) ein Informationsregister führen, in dem sämtliche IKT-Dienstleistungsverträge mit externen Anbietern aufgelistet sind. Dieses Register kann von der FMA angefordert und auf Abhängigkeiten eines Unternehmens von einem oder wenigen externen Dienstleistern geprüft werden. Versicherungsunternehmen und Versicherungsvermittler müssen einmal jährlich Bericht über neue Vereinbarungen erstatten.
Gänzlich neu ist die durch DORA geschaffene Befugnis der Aufsichtsbehörden, sog. „kritische IKT-Dienstleister“ zu überwachen. Dabei handelt es sich idR um große, für den Finanzmarkt wichtige IT-Unternehmen, die bisher keiner Aufsicht durch die Finanzmarktbehörden der EU unterlagen. Wer ein kritischer IKT-Dienstleister ist, entscheidet ein gemeinsamer Ausschuss der europäischen Aufsichtsbehörden für Versicherungen (EIOPA), Banken (EBA) und Wertpapierdienstleister (ESMA). Die Aufsichtsbehörden können von kritischen IKT-Dienstleistern Auskünfte verlangen, Überprüfungen durchführen und Handlungsempfehlungen aussprechen. Wenn diese Handlungsempfehlungen nicht eingehalten werden, können die Aufsichtsbehörden diese veröffentlichen und ein Zwangsgeld von pro Tag bis zu 1% des weltweiten Tagesumsatzes für eine Dauer von bis zu sechs Monaten verhängen, an dem die Handlungsempfehlungen nicht umgesetzt werden. Kritische IKT-Dienstleister aus Drittländern dürfen nur in Anspruch genommen werden, wenn sie binnen zwölf Monaten, nachdem sie als kritische IKT-Dienstleister eingestuft wurden, ein Tochterunternehmen in der EU gegründet haben.
Ausblick
DORA stellt für die Finanz- und Versicherungsbranche einen großen zusätzlichen Verwaltungsaufwand dar. Nicht nur Versicherungsunternehmen sind von DORA erfasst, sondern auch Versicherungsvermittler, also Makler und Agenten (Ausnahme für KMU). Auch wenn die Regelungen der DORA jenen der Auslagerung sehr ähnlich sind, unterscheiden sie sich dennoch und erweitern den Umfang jener externen Dienstleistungen, die speziellen Regeln unterliegen, erheblich. Alle Marktteilnehmer müssen sich daher bis spätestens Mitte Jänner 2025 die Frage stellen, wie sehr sie von DORA betroffen sind und welche Maßnahmen in ihrem Fall konkret notwendig sind, um DORA umzusetzen.
Den Beitrag lesen Sie auch in der AssCompact Juni-Ausgabe!
zurück zur Übersicht
Beitrag speichern
sharing is caring
Das könnte Sie auch interessieren
