Regulierte Fonds: Letzte Chance für Anpassungen an DORA

Vermögensverwalter müssen spätestens jetzt handeln und ihre Outsourcing-Praktiken an DORA anpassen, warnt der Fondsdienstleister Ocorian (Website). Eine Nichtbeachtung kann nämlich Geldstrafen von bis zu zehn Millionen Euro oder fünf Prozent des Umsatzes des Unternehmens nach sich ziehen.

In weniger als fünf Monaten tritt der Digital Operational Resilience Act (DORA) der EU in Kraft und er wird voraussichtlich erhebliche Auswirkungen auf die Landschaft regulierter Fonds haben, warnt Ocorian, Anbieter in den Bereichen Fonds, Unternehmen, Kapitalmarkt, Privatkunden und Regulierungs- und Fonds-Compliance-Dienstleistungen.

DORA wird Auswirkungen auf den EU-Finanzsektor und seine Dienstleister haben

Die Verordnung, Teil des Digital Finance Package, zielt darauf ab, die Cybersicherheit zu harmonisieren, Risiken zu mindern und Standards für die digitale Betriebsstabilität im gesamten Finanzsektor innerhalb der EU zu erhöhen. Fondsmanager müssen daher sicherstellen, dass ihre ausgelagerten Dienstleister die Anforderungen von DORA einhalten. Zu den Auswirkungen von DORA auf regulierte Fonds gehören:

• Risikomanagement im Bereich Information, Kommunikation und Technologie (IKT)
• Identifizierung und Bewertung von Risiken für IKT-Systeme und -Infrastruktur
• Vorfallmanagement: ​​IKT-bezogene Vorfälle identifizieren, melden, darauf reagieren und sich von ihnen erholen
• Digital Operational Resilience Testing: Systeme und Prozesse sollten jedes Jahr getestet werden, um sicherzustellen, dass sie Störungen standhalten
• IKT-Drittanbieter-Risikomanagement: Finanzdienstleister sollten ein Register aller externen IKT-Dienstleister mit besonderem Schwerpunkt auf kritische Lieferanten führen
• Informationsaustausch führen: Finanzunternehmen sollten Informationen über Cyber-Bedrohungen austauschen

Durch die Konzentration auf bestehende Governance-Strukturen, Nutzung der DSGVO-Bemühungen und Identifizierung gezielter Lücken lässt sich die Einhaltung von DORA gewährleisten, ohne aktuelle Praktiken komplett überarbeiten zu müssen.”

Vermögensverwalter, die für kritische Funktionen auf Dienstleister angewiesen sind, müssen daher ihre Outsourcing-Praktiken anpassen, um DORA zu entsprechen. Auch Drittanbieter müssen DORA-konform sein. Daher müssen Vermögensverwalter sicherstellen, dass die Anbieter über ein angemessenes Risikomanagement verfügen, Penetrationstests durchführen und den Aufsichtsbehörden Nachweise dafür vorlegen. In Verträgen mit Dienstleistern müssen zudem die Compliance-Erwartungen von DORA klar dargelegt werden, einschließlich der Meldung von Vorfällen, Protokollen zum Informationsaustausch, Prüfrechten und Ausstiegsstrategien.

So klappt es mit der DORA-Konformität

• Identifizieren Sie eine Governance-Struktur: DORA erfordert keine vollständige Überarbeitung des Frameworks. Finanzdienstleister sollten daher das bereits vorhandene Risikomanagement-Framework nutzen
• Arbeitsaufwand minimieren: Finanzdienstleister, die bereits über ein Datenbestandsregister, das der DSGVO entspricht, verfügen, sollten dieses weiter nutzen.
• Lücken enttarnen: Finanzdienstleister sollten zudem ihre Bemühungen priorisieren, indem sie Lücken zwischen aktuellen Praktiken und den Anforderungen von DORA identifizieren.
• Vorhandene Zertifizierungen: Ein vorhandenes ISO-Zertifikat kann das Engagement des Unternehmens für solide Betriebspraktiken nachweisen.

dk