Schlagwortarchiv für: Beratung

Securance iAP auf der Data Center World Frankfurt 2025

Ein zukunftsfähiger Rechenzentrumsbetrieb entsteht nicht durch Einzelmaßnahmen, sondern durch das strategische Zusammenspiel von Technologie, Sicherheit, Compliance und langfristiger Planung. Dieses Zusammenspiel steht im Mittelpunkt der Präsenz der Securance-iAP GmbH auf der Data Center World Frankfurt 2025 am 4. und 5. Juni.

Die Data Center World gilt als eine der führenden Fachmessen für digitale Infrastrukturen in Europa. Sie bringt Betreiber, Planer, Anbieter und Auditoren in einem hochrelevanten Fachumfeld zusammen. In zwei intensiven Messetagen werden strategische und technische Innovationen ebenso diskutiert wie gesetzliche Entwicklungen, Standards und Best Practices. Mit zahlreichen Fachvorträgen, Praxispanels und Networking-Angeboten ist sie das ideale Forum für alle, die sich über Markttrends und Regulierung informieren wollen. Für Fachbesucher:innen bietet die DCW 2025 eine einmalige Gelegenheit, sich kompakt, fokussiert und praxisnah zu den wichtigsten Zukunftsthemen im Rechenzentrumssektor auszutauschen.

Als Aussteller am VIRZ-Gemeinschaftsstand (Stand L150) ist Securance-iAP mit zwei inhaltlich starken Programmpunkten vertreten. Geschäftsführer Thomas Pfützenreuter beleuchtet in einem Fachvortrag und einer Paneldiskussion die Anforderungen und Lösungswege für Betreiber und Entscheider in der IT-Infrastrukturbranche.

Mittwoch: Fachvortrag am VIRZ-Stand

Titel: Von der Pflicht zur Chance: Wie neue EU- und deutsche Regularien den RZ-Betrieb zukunftsfähig machen
Datum: Mittwoch, 4. Juni 2025
Uhrzeit: 14:00–14:30 Uhr
Ort: Stand L150 – VIRZ-Gemeinschaftsstand
Referent: Thomas Pfützenreuter, Managing Director – Securance-iAP GmbH

Ob DORA, NIS 2, BSI C5 oder EEG – neue gesetzliche Anforderungen betreffen Rechenzentrumsbetreiber auf organisatorischer, technischer und strategischer Ebene. Anstatt auf kurzfristige Reaktion zu setzen, zeigt Thomas Pfützenreuter Wege auf, wie Unternehmen durch vorausschauendes Compliance-Management klare Wettbewerbsvorteile generieren und einen zukunftsfähigen Rechenzentrumsbetrieb aufbauen können.

Donnerstag: Paneldiskussion im offiziellen Konferenzprogramm

Titel: Marktentwicklung – Trends, Treiber und Herausforderungen: Zukunftsfähiger RZ-Betrieb in Deutschland
Datum: Donnerstag, 5. Juni 2025
Uhrzeit: 13:20–14:05 Uhr
Ort: Critical Infrastructure Theater

Teilnehmende:

  • Günther Huth (Moderation, Geplan Ingenieure GmbH & Co. KG)

  • Thomas Pfützenreuter (Securance-iAP GmbH)

  • Daniel Menzel (Menzel IT GmbH)

  • Sebastian Stegmann (Geplan Ingenieure GmbH & Co. KG)

Die Diskussionsrunde bringt Expert:innen aus Technik, Planung, Betrieb und Audit zusammen. Im Fokus steht die Frage, wie sich Rechenzentren unter den steigenden Anforderungen aus Wirtschaft, Gesellschaft und Gesetzgebung strategisch weiterentwickeln lassen. Dabei geht es um Cybersecurity, Zertifizierungsstandards, neue Technologien wie KI – und um den zukunftsfähigen Rechenzentrumsbetrieb als unternehmerisches Ziel.

Warum Zukunftsfähigkeit der neue Maßstab ist

Ein zukunftsfähiger Rechenzentrumsbetrieb ermöglicht es Unternehmen, flexibel auf Marktveränderungen zu reagieren, regulatorische Vorgaben effizient zu erfüllen und gleichzeitig Innovationen aktiv voranzutreiben. Wer heute in skalierbare, zertifizierbare und auditierbare Infrastrukturen investiert, stärkt nicht nur seine technische Basis, sondern schafft Vertrauen bei Kund:innen, Partnern und Regulierungsbehörden.

Hinzu kommt: Die künftigen Anforderungen an Nachhaltigkeit, Energieeffizienz, Ausfallsicherheit und digitale Resilienz lassen sich nur durch vorausschauende Architekturentscheidungen und prozessorientiertes Management realisieren – genau hier setzt Securance-iAP an.

Für wen lohnt sich der Besuch?

Die Inhalte und Diskussionen richten sich an Entscheider:innen und Fachverantwortliche, insbesondere aus folgenden Bereichen:

  • Technische Betriebsleitung: konkrete Umsetzungshilfen für Audits und Dokumentation

  • Compliance- und Risikomanagement: praxisnahe Strategien zur Erfüllung von DORA, NIS 2, BSI C5 etc.

  • IT-Leitung und Infrastrukturplanung: Impulse für Standardisierung, Skalierung und Zukunftssicherheit

  • Geschäftsführung: Argumente für strategische Positionierung und vertrauensbildende Kommunikation nach außen

Die Kombination aus Vortrag und Panel bietet kompakte, aber tiefgehende Informationen – abgestimmt auf unterschiedliche Rollen im Unternehmen.

Securance-iAP – Compliance, die strategisch wirkt

Die Securance-iAP GmbH ist Teil der Securance-Gruppe und unterstützt Unternehmen im Bereich IT-Governance, Prüfung und Zertifizierung. Mit Spezialisierung auf Standards wie ISAE 3402, SOC 2, BSI C5 und Anforderungen aus DORA oder NIS 2 liefert das Unternehmen belastbare Lösungen für moderne Infrastrukturen – praxisnah, skalierbar und rechtssicher.

Besuchen Sie Securance-iAP auf der Data Center World 2025

Standort: VIRZ-Gemeinschaftsstand – Stand L150
Mittwoch, 4. Juni | 14:00–14:30 Uhr: Vortrag „Von der Pflicht zur Chance“
Donnerstag, 5. Juni | 13:20–14:05 Uhr: Paneldiskussion „Zukunftsfähiger Rechenzentrumsbetrieb“

Ob technisches Management, Betriebsleitung oder strategische Geschäftsführung – lassen Sie uns gemeinsam über konkrete Ansätze für zukunftsfähige, sichere und effiziente Rechenzentrumsbetriebe sprechen.

Wir freuen uns auf den Austausch mit Ihnen in Frankfurt!

/von

BSI C5-Testierungspflicht ab 1. Juli 2025: Übergangslösungen für betroffene Unternehmen

Die BSI C5 Testierung 2025 stellt viele Cloud-Anbieter im Gesundheitsbereich vor neue Herausforderungen. Ab dem 1. Juli 2025 gelten deutlich strengere Anforderungen an die Informationssicherheit. Wer Cloud-Services anbietet und dabei mit Patientendaten oder Sozialdaten umgeht, muss künftig ein C5-Testat vorweisen – andernfalls drohen massive Einschränkungen bei der weiteren Geschäftstätigkeit.

Dank der neuen C5-Gleichwertigkeitsverordnung (C5GleichwV) gibt es jedoch Möglichkeiten, den Übergang rechtssicher zu gestalten. In diesem Beitrag erklären wir, welche Übergangslösungen bestehen, was es dabei zu beachten gilt – und wie Unternehmen im Gesundheitssektor jetzt strategisch vorgehen sollten, um die BSI C5 Testierung 2025 erfolgreich zu erreichen.

Aktuelle und kommende C5-Testierungspflicht im Gesundheitswesen

Die C5-Testierung basiert auf dem „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ziel des Kriterienkatalogs ist es, die Sicherheit und Transparenz bei der Nutzung von Cloud-Diensten zu verbessern – insbesondere dann, wenn sensible Daten wie Gesundheits- oder Sozialdaten betroffen sind.

Im Gesundheitswesen ist die C5-Testierungspflicht gesetzlich verankert: § 393 Abs. 4 SGB V verpflichtet Anbieter von Cloud-Computing-Diensten zur C5-Testierung, wenn sie Patientendaten oder Sozialdaten verarbeiten.

Die gesetzliche Frist sieht folgende Übergangsregelung vor:

  • Bis zum 30. Juni 2025 genügt ein C5 TypI-Testat (Angemessenheitsprüfung der implementierten Sicherheitsmaßnahmen).

  • Ab dem 1. Juli 2025 ist ein C5 TypII-Testat verpflichtend. Hier wird zusätzlich geprüft, ob die Maßnahmen auch wirksam umgesetzt wurden – anhand eines Beobachtungszeitraums von mindestens sechs Monaten.

Vor allem kleinere Cloud-Anbieter im Gesundheitswesen stehen nun vor erheblichen Herausforderungen: Zeit, Budget und Know-how für eine vollständige C5-Testierung sind knapp.

Die C5-Gleichwertigkeitsverordnung: Temporäre Brückenlösungen

Mit der neuen Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Dienste im Gesundheitswesen (C5GleichwV) wird ein Rechtsrahmen geschaffen, um betroffenen Unternehmen den Übergang zu erleichtern.

Die gute Nachricht: Für maximal 24 Monate können alternative Sicherheitsnachweise anerkannt werden – sofern bestimmte Bedingungen erfüllt sind. Das bedeutet: Die Verpflichtung zum C5-Typ-2-Testat zum 1. Juli 2025 bleibt bestehen, kann jedoch temporär ersetzt werden, wenn gleichwertige Maßnahmen und ein realistischer Umsetzungsplan vorliegen.

C5 Testierung Gesundheitswesen 2025: Diese Nachweise gelten als gleichwertig

Laut Verordnung gelten folgende Zertifizierungen als temporär C5-konform, sofern ein entsprechendes Mapping und Maßnahmenplan vorgelegt wird:

Anerkannte Sicherheitsnachweise:

Zusätzliche Anforderungen:

  • Ein detailliertes Mapping, das aufzeigt, welche C5-Anforderungen nicht durch die Zertifizierung abgedeckt sind.

  • Ein konkreter Maßnahmenplan zur Schließung der Lücken, inklusive Umsetzungszeitplan (max. 12 Monate).

  • Ein Nachweis, wie innerhalb von 18 Monaten ein C5-Typ-1-Testat und innerhalb von 24 Monaten ein C5-Typ-2-Testat erreicht werden soll.

Wichtig: Die Fristen laufen parallel, nicht nacheinander. Das bedeutet: Unternehmen müssen spätestens bis Mitte 2027 ein vollständiges Typ-2-Testat vorlegen – idealerweise deutlich früher.

Risiken und Herausforderungen

Auch wenn die Gleichwertigkeitsverordnung einen pragmatischen Übergang ermöglicht, sollten sich Unternehmen nicht in falscher Sicherheit wiegen. Die  BSI C5-Testierung im Gesundheitswesen 2025 ist und bleibt ein Muss – und der Weg dorthin ist komplex:

  • Hoher Aufwand für Dokumentation, technische Umsetzung und Auditvorbereitung

  • Kostenintensive Prüfung, da das Testat ausschließlich von Wirtschaftsprüfern mit entsprechender Zulassung durchgeführt werden darf

  • Risiko des Nichtbestehens, wenn Anforderungen nicht korrekt umgesetzt oder dokumentiert sind

  • Wettbewerbsnachteile, wenn Kunden oder Partner die Gleichwertigkeitslösung nicht anerkennen

Jetzt handeln: Empfehlungen für Gesundheitsunternehmen

Wer Cloud-Dienste im Gesundheitsbereich anbietet und auch nach Juli 2025 rechtskonform tätig sein will, sollte folgende Schritte einleiten:

  1. Ist-Analyse und Gap-Assessment: Welche Sicherheitsmaßnahmen sind bereits vorhanden? Welche C5-Kriterien sind (noch) nicht erfüllt?

  2. Zertifikatsprüfung: Gibt es bereits eine ISO- oder CCM-Zertifizierung, auf der man aufbauen kann?

  3. Maßnahmenplanung: Welche zusätzlichen Prozesse, Kontrollen oder Tools müssen eingeführt werden?

  4. Zeitplan und Ressourcenmanagement: Wer macht was bis wann – intern und mit externen Partnern?

  5. Frühzeitige Prüfungsplanung: Der Markt für qualifizierte Prüfer ist begrenzt – wer zu spät kommt, bekommt unter Umständen keinen Termin.

Unser Beitrag zu Ihrer erfolgreichen C5-Testierung

Unser Ziel ist es, Unternehmen gezielt bei der BSI C5 Testierung 2025 zu begleiten – von der Gap-Analyse bis zur finalen Auditierung.

Unser Leistungsspektrum:

  • Gap-Analyse und Mapping Ihrer bestehenden Zertifizierungen zu den C5-Anforderungen

  • Entwicklung realistischer Maßnahmenpläne zur Schließung dokumentierter Lücken

  • Beratung zur Auswahl der passenden Übergangslösung auf Basis der Gleichwertigkeitsverordnung

  • Projektmanagement und Prüfungsbegleitung bis zur erfolgreichen Testierung

 

Fazit: Aufschub ist kein Ersatz

Die C5-Gleichwertigkeitsverordnung bietet eine sinnvolle Übergangslösung – aber keinen Ersatz für die vollständige Testierung. Gesundheitsunternehmen sollten den Spielraum nutzen, um sich gut vorbereitet und rechtssicher aufzustellen. Denn wer die neuen Anforderungen nicht erfüllt, wird künftig keine Cloud-Dienste für Patientendaten mehr anbieten dürfen.

Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Wir begleiten Sie auf dem Weg zur C5-Compliance – professionell, effizient und zukunftssicher.

/von

BSI C5 im Jahr 2025: Was sich geändert hat und warum es wichtiger denn je ist

Der Cloud-Compliance-Standard im Wandel

Der Cloud Computing Compliance Criteria Catalogue (BSI C5)  des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich seit seiner Einführung im Jahr 2016 als De-facto-Standard für Cloud-Sicherheit in Deutschland etabliert. Als direkte Reaktion auf die zunehmende Cloud-Nutzung in deutschen Unternehmen und Behörden entwickelt, hat sich der Standard kontinuierlich weiterentwickelt – zuletzt mit bedeutenden Aktualisierungen für 2025.

In diesem Blogbeitrag beleuchten wir die wichtigsten Änderungen und erklären, warum BSI C5 für Cloud-Anbieter und -Nutzer relevanter ist als je zuvor.

Was ist BSI C5 und wer ist betroffen?

BSI C5 definiert einen umfassenden Kriterienkatalog für die Informationssicherheit von Cloud-Diensten. Der Standard richtet sich in erster Linie an:

  • Cloud-Service-Provider: Von großen Hyperscalern bis zu spezialisierten SAAS-Anbietern
  • Rechenzentren und Hosting-Anbieter: Mit Fokus auf Cloud-Infrastruktur
  • Anbieter branchenspezifischer Cloud-Lösungen: Besonders im Gesundheitswesen, Finanzsektor und für kritische Infrastrukturen

Während BSI C5 formal kein gesetzlich vorgeschriebener Standard ist, hat er in der Praxis quasi-verbindlichen Charakter erlangt. Besonders im öffentlichen Sektor und bei regulierten Branchen wird er zunehmend als Ausschreibungskriterium gefordert.

Die wichtigsten Änderungen 2025

Stärkere Integration mit europäischen Standards

Die neueste Iteration des BSI C5 wurde stärker an die europäischen Compliance-Anforderungen angeglichen. Konkret bedeutet das:

  • Harmonisierung mit ENISA-Vorgaben: Abstimmung mit dem European Cybersecurity Certification Scheme for Cloud Services
  • NIS2-Kompatibilität: Einbindung der Anforderungen aus der überarbeiteten EU-Richtlinie für Netz- und Informationssicherheit
  • DSGVO-Verzahnung: Verbesserte Integration der datenschutzrechtlichen Anforderungen

Diese Harmonisierung reduziert den Compliance-Aufwand für Anbieter, die in mehreren europäischen Ländern aktiv sind.

Verschärfte Anforderungen an die Lieferkette

In Reaktion auf die zunehmenden Supply-Chain-Angriffe wurde der BSI C5 um detailliertere Kontrollen zur Lieferkettensicherheit erweitert:

  • Lieferantenrisikomanagement: Tiefergehende Bewertung von Drittanbietern
  • Code-Integritätsprüfungen: Verstärkte Anforderungen an die Sicherheit von Drittanbieter-Code
  • Kontinuierliche Überwachung: Laufende Bewertung der Sicherheitsmaßnahmen in der Lieferkette

Neue Kontrollen für verteilte Arbeitsumgebungen

Die Post-Pandemie-Arbeitswelt mit Remote- und hybriden Arbeitsmodellen spiegelt sich in neuen Anforderungen wider:

  • Zero-Trust-Architektur: Erhöhte Anforderungen an Authentifizierung und Zugriffskontrolle
  • Endpoint-Sicherheit: Spezifische Kontrollen für den Zugriff von Remote-Arbeitsplätzen
  • Collaboration-Security: Sicherheitsanforderungen für kollaborative Tools und Plattformen

Fokus auf Portabilität und Exit-Strategien

Ein besonderer Schwerpunkt liegt auf der Vermeidung von Vendor Lock-in und der Sicherstellung nahtloser Migration:

  • Standardisierte Datenportabilität: Klarere Anforderungen an Datenexport-Funktionen
  • Exit-Management: Detaillierte Prozessanforderungen für Anbieterwechsel
  • Interoperabilität: Stärkere Betonung offener Standards und Schnittstellen

Branchenspezifische Auswirkungen

Für Healthcare SAAS-Anbieter

Besonders im Gesundheitssektor haben die Aktualisierungen weitreichende Auswirkungen:

  • Patientendatenschutz: Erhöhte Anforderungen an die Verarbeitung besonders schützenswerter Gesundheitsdaten
  • Verfügbarkeitsanforderungen: Strengere SLAs für geschäftskritische Anwendungen
  • Schnittstellensicherheit: Neue Vorgaben für die Integration mit Gesundheits-IT-Systemen

Die verstärkten Anforderungen spiegeln die zunehmende Digitalisierung im Gesundheitswesen wider, bei der die Sicherheit und Vertraulichkeit von Patientendaten oberste Priorität hat.

Für Rechenzentren und Cloud-Provider

Infrastrukturanbieter sehen sich mit diesen Hauptherausforderungen konfrontiert:

  • Physische Sicherheit: Erweiterte Anforderungen an Zutrittskontrollen und Überwachungssysteme
  • Energieeffizienz: Neue Nachhaltigkeitsaspekte im Rechenzentrumsbereich
  • Mandantentrennung: Verschärfte Kontrollen für Multi-Tenant-Umgebungen

Gleichzeitig bietet BSI C5 diesen Anbietern einen klaren Wettbewerbsvorteil im deutschen und zunehmend im europäischen Markt.

Warum die Automatisierung der BSI C5-Compliance entscheidend wird

Mit der steigenden Komplexität der Anforderungen wächst der Bedarf an effizienten Compliance-Prozessen. Eine manuelle Nachweisführung ist nicht nur zeitaufwändig, sondern auch fehleranfällig. Moderne Compliance-Plattformen wie Drata können:

  • Bis zu 60% des manuellen Aufwands reduzieren
  • Die kontinuierliche Überwachung der Kontrollen automatisieren
  • Prüfungsnachweise zentral und revisionssicher sammeln
  • Die Vorbereitung auf Audits erheblich beschleunigen

Der Weg zur BSI C5-Konformität

Ein systematischer Ansatz zur Erlangung und Aufrechterhaltung der BSI C5-Konformität umfasst typischerweise diese Schritte:

  1. Gap-Analyse: Bewertung des aktuellen Stands gegenüber den BSI C5-Anforderungen
  2. Maßnahmenplanung: Priorisierung von Maßnahmen zur Schließung identifizierter Lücken
  3. Implementierung: Umsetzung der Maßnahmen und Etablierung eines internen Kontrollsystems
  4. Automatisierung: Einführung von Tools zur Effizienzsteigerung und kontinuierlichen Überwachung
  5. Testvorbereitung: Durchführung interner Audits zur Validierung der Maßnahmen
  6. Zertifizierung: Formelle Prüfung durch einen unabhängigen Wirtschaftsprüfer

Fazit: BSI C5 als strategischer Wettbewerbsvorteil

Die Bedeutung von BSI C5 geht weit über die reine Compliance-Erfüllung hinaus. Eine erfolgreiche Implementierung:

  • Stärkt das Vertrauen von Kunden und Partnern
  • Eröffnet Zugänge zu neuen Märkten, besonders im öffentlichen Sektor
  • Minimiert Sicherheitsrisiken und potenzielle Datenschutzvorfälle
  • Schafft ein strukturiertes Informationssicherheitsmanagement

Gerade für Anbieter im Gesundheitssektor und für Cloud-Provider bietet BSI C5 die Chance, sich als vertrauenswürdiger Partner zu positionieren und regulatorische Anforderungen effizient zu erfüllen.

Kostenfreies Webinar: 360° BSI C5: Compliance effizient und sicher implementieren

Von der Theorie zur Praxis

Möchten Sie mehr über die praktische Umsetzung von BSI C5 und die Automatisierung mit Drata erfahren? In unserem 45-minütigen Webinar am 22. Mai 2025 zeigen wir Ihnen:

  • Die aktuellen BSI C5-Anforderungen im Detail
  • Praxisbeispiele für Healthcare SAAS und Rechenzentren
  • Wie Sie mit Drata den Implementierungsaufwand erheblich reduzieren können

Jetzt kostenfrei anmelden →

Über den Autor:

Thomas Pfützenreuter ist Geschäftsführer und BSI C5-Experte bei Securance-iAP mit über 20 Jahren Erfahrung in der Implementierung von Compliance-Lösungen für regulierte Branchen.

 

/von

NIS-2, DORA – Gemeinsamkeiten und Unterschiede und was sonst noch wichtig ist

Die Network-and-Information-Security-Richtlinie 2.0-Richtlinie (NIS-2), in Kraft seit dem 16. Januar 2023, legt EU-weite Sicherheitsstandards für kritische Infrastrukturen und wesentliche Dienstleister fest, darunter Unternehmen in den Sektoren Energie, Verkehr, Finanzdienstleistungen und digitale Dienste. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und die Reaktionsfähigkeit im Falle von Sicherheitsvorfällen zu verbessern, indem sie klare Anforderungen an das Risikomanagement und das Reporting von Sicherheitsvorfällen stellt.

Was ist DORA?

DORA (Digital Operational Resilience Act) konzentriert sich auf den Finanzsektor und zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyber-Angriffen, wie zum Beispiel Denial-of-Service-Attacken, sicherzustellen. Es fasst die Leitlinien der Europäischen Bankenaufsicht in einem kompakten Rahmenwerk zusammen, um die Cyber-Sicherheit in diesem Sektor zu verbessern.

Was sind die Gemeinsamkeiten von NIS-2 und DORA?

Sowohl NIS-2 als auch DORA zielen darauf ab, die Cybersicherheit in Unternehmen zu verbessern und die Risiken im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologie (IKT) zu adressieren.

Sie legen Anforderungen an Finanzdienstleister fest und fordern Maßnahmen wie Risikobewertungen, die auch Lieferketten umfassen, um die Sicherheit zu gewährleisten.

Beide betonen die Bedeutung der Einbeziehung von Software-Zulieferern in das Risikomanagement und die Sicherheitsüberprüfungen. Während DORA auf regelmäßige Penetrationstests und Sicherheitsüberprüfungen alle drei Jahre abzielt, erfordert NIS-2 zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.

Darüber hinaus sehen beide Vorschriften Strafen vor, die sowohl für Unternehmen als auch für leitende Personen wie das Top-Management und die Geschäftsführung gelten, falls die Anforderungen nicht erfüllt werden. Diese Strafen richten sich entweder nach dem Jahresumsatz des Unternehmens oder einer festgelegten Summe, ähnlich den Sanktionen in der Datenschutzgrundverordnung.

Worin unterscheiden sich NIS-2 und DORA?

NIS-2 und DORA weisen trotz einiger Gemeinsamkeiten grundlegende Unterschiede auf.

Während NIS-2 darauf abzielt, die Cybersicherheit EU-weit zu harmonisieren und den Informationsaustausch nach Angriffen zu verbessern, konzentriert sich DORA hauptsächlich auf die Aufrechterhaltung der Betriebsstabilität im Finanzsektor.

NIS-2 legt grobe Anforderungen an das Risikomanagement und das Reporting fest, während DORA konkretere Maßnahmen wie Penetrationstests und Sicherheitsaudits vorschreibt, um die Funktionsfähigkeit trotz erfolgreicher Angriffe sicherzustellen.

Die Klärung der Zuständigkeiten bleibt eine Herausforderung, da für NIS-2 die Prüfkompetenz in Deutschland beim BSI bzw. der BaFin liegt, während Artikel 46 von DORA eine Reihe von Behörden vorsieht, die die Einhaltung der Vorschriften sicherstellen sollen, darunter die EZB und möglicherweise auch die BaFin.

Welche Norm ist anzuwenden, wenn Sie sowohl von NIS-2 als auch DORA betroffen sind?

Wenn ein Unternehmen sowohl von NIS-2 als auch von DORA betroffen ist, hat DORA Vorrang. Dies liegt daran, dass DORA speziell auf den Finanzsektor zugeschnitten ist und spezifischere Anforderungen festlegt.

In Fällen, in denen NIS-2 Bereiche reguliert, die nicht von DORA abgedeckt sind, muss jedoch auch NIS-2 berücksichtigt werden.

Sollte auch DORA betrachtet werden, wenn unser Unternehmen nur NIS-2 unterliegt?

Auch wenn Ihr Unternehmen nur NIS-2 unterliegt, kann es sinnvoll sein, sich mit den spezifischeren Anforderungen von DORA vertraut zu machen. Diese können als Referenz dienen, um einen umfassenderen Überblick darüber zu erhalten, wie Ihr Unternehmen im Vergleich zu den strengeren Anforderungen von DORA aufgestellt ist. Auf diese Weise können potenzielle Lücken oder Bereiche identifiziert werden, in denen zusätzliche Maßnahmen erforderlich sind, um die Anforderungen von NIS-2 zu erfüllen.

Bis wann haben die Unternehmen Zeit, die Vorgaben umzusetzen?

Die Umsetzungsfrist für die NIS-2-Richtlinie endet im Oktober 2024, nachdem es im Januar 2023 in Kraft getreten ist.

Der Digital Operational Resiliance Act (DORA) ist eine Verordnung, d.h. ein direkt gültiges, europäisches Gesetz, und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft.

Fazit: Die Kritik an NIS-2 und DORA?

Die Cyber-Sicherheit ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere für Unternehmen im Finanzsektor. Um dieser wachsenden Bedrohung gerecht zu werden, hat die EU Regularien wie den Digital Operational Resilience Act (DORA) und die Network and Information Security 2 (NIS-2) eingeführt. Diese sollen die Resilienz stärken und die Betriebsstabilität im Finanzsektor sicherstellen. Doch das Nebeneinander dieser beiden Regularien wirft einige Herausforderungen auf.

Das gleichzeitige Bestehen von DORA und NIS-2 könnte zu einem erhöhten bürokratischen Aufwand führen. Unternehmen sehen sich möglicherweise mit unterschiedlichen Anforderungen und Prüfverfahren konfrontiert, was die Umsetzung erschweren könnte. Diese Situation birgt die Gefahr eines Audit-Chaos, da Unternehmen Schwierigkeiten haben könnten, die Anforderungen beider Regularien effizient zu erfüllen.

Es ist wichtig, dass die Regulierungsbehörden und betroffene Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, enger zusammenarbeiten, um Redundanzen zu vermeiden, die Zusammenarbeit zu verbessern und klare Leitlinien für die Umsetzung der Regularien bereitzustellen. Durch eine effiziente Koordination, mehr Abstimmung und klare Kommunikation zwischen den einzelnen Mitgliedsstaaten der europäischen Union kann das Risiko eines Audit-Chaos minimiert werden und die Effektivität der Cybersicherheitsmaßnahmen im Finanzsektor gestärkt werden.

Insgesamt ist es entscheidend, dass alle Beteiligten sich der Herausforderungen bewusst sind und gemeinsam daran arbeiten, Wege zu finden, um das Nebeneinander von DORA und NIS-2 im Finanzsektor der EU erfolgreich zu bewältigen.

Wie kann iAP dabei unterstützen?

Mit rechtzeitigen Änderungen bei der physischen Sicherheit in Ihrer Organisation können Sie sich schon früh für NIS-2 bzw. DORA wappnen. Wir bieten langjährige Erfahrung im KRITIS-Bereich und im Finanzsektor, um Sie bei der Vorbereitung und Einhaltung dieser Vorschriften zu unterstützen.

/von

Die EU-Taxonomie: Ein Leitfaden für Nachhaltige Investitionen

Die Taxonomie-Verordnung der EU, die ein einheitliches Klassifikationssystem für nachhaltige Wirtschaftsaktivitäten bietet, unterliegt ständigen Erweiterungen und Anpassungen, um ihre Relevanz und Effektivität in der Förderung ökologischer Nachhaltigkeit zu gewährleisten. Seit Januar 2024 treten neue Anforderungen in Kraft, die insbesondere Investoren und Unternehmen betreffen. 

Was ist die EU-Taxonomie?

Die EU-Taxonomie ist ein komplexes, aber entscheidendes Instrument, das darauf abzielt, wirtschaftliche Aktivitäten anhand ihrer Umweltauswirkungen zu bewerten. Ihr Hauptziel ist es, Investitionen in Projekte zu fördern, die zur Erreichung der Klima- und Umweltziele der EU beitragen. Dies geschieht durch die Festlegung klarer Kriterien und Standards, anhand derer Unternehmen und Investoren ihre Aktivitäten bewerten können.

Wie funktioniert die EU-Taxonomie?

Die Taxonomie gliedert wirtschaftliche Aktivitäten in sechs Umweltziele. Dazu gehören die Eindämmung des Klimawandels, die Anpassung an den Klimawandel, die nachhaltige Nutzung von Wasserressourcen, der Übergang zu einer Kreislaufwirtschaft, die Vermeidung von Umweltverschmutzung und der Schutz und die Wiederherstellung der Biodiversität und der Ökosysteme.

Unternehmen und Investoren müssen ihre Aktivitäten anhand dieser Kriterien bewerten, um festzustellen, ob sie als „grün“ oder umweltfreundlich gelten und somit für nachhaltige Investitionen qualifiziert sind.

Die sechs Umweltziele der EU-Taxonomie

  1. Eindämmung des Klimawandels: Fokussiert auf Aktivitäten, die zur Verringerung der Treibhausgasemissionen beitragen und den Klimawandel abmildern.
  2. Anpassung an den Klimawandel: Betrifft Maßnahmen und Investitionen, die die Anpassungsfähigkeit an die unvermeidlichen Folgen des Klimawandels verbessern.
  3. Nachhaltige Nutzung und Schutz von Wasser- und Meeresressourcen: Zielt auf die Bewirtschaftung und den Schutz von Wasser und maritimen Ressourcen ab, um deren langfristige Verfügbarkeit zu sichern.
  4. Übergang zu einer Kreislaufwirtschaft: Fördert Aktivitäten, die auf die Reduzierung von Abfall und die Steigerung der Effizienz von Ressourcen durch Recycling und Wiederverwendung abzielen.
  5. Vermeidung und Verminderung der Umweltverschmutzung: Bezieht sich auf Maßnahmen, die darauf abzielen, die Umweltverschmutzung zu reduzieren und die Qualität von Luft, Wasser und Boden zu verbessern.
  6. Schutz und Wiederherstellung der Biodiversität und der Ökosysteme: Unterstützt Aktivitäten, die zur Erhaltung und Wiederherstellung der Biodiversität und der natürlichen Ökosysteme beitragen.

Was ändert sich ab Januar 2024?

Die neuen delegierten Rechtsakte, die im Juni 2023 veröffentlicht wurden, legen technische Bewertungskriterien für die vier bisher noch nicht abgedeckten Umweltziele fest und erweitern den Anwendungsbereich der Taxonomie. Diese Anpassungen betreffen nicht nur die Erweiterung der abgedeckten Sektoren, sondern auch die Einführung neuer Berichtspflichten ab dem 1. Januar 2024. Für Nicht-Finanzunternehmen bedeutet dies, dass sie ab dem Berichtsjahr 2024 Angaben zur Taxonomiefähigkeit ihrer Tätigkeiten machen müssen, bevor im Jahr 2025 vollständige Berichtspflichten zur Taxonomiekonformität in Kraft treten.

EU-Taxonomie: Neue Anforderungen für Investoren und Unternehmen ab Januar 2024

  1. Investoren

Investoren, die Produkte nach Artikel 8 oder 9 in der EU anbieten, müssen nun alle sechs Umweltziele der EU-Taxonomie berücksichtigen, die die Eindämmung des Klimawandels, die Anpassung an den Klimawandel, die nachhaltige Nutzung und Schutz von Wasserressourcen, den Übergang zu einer Kreislaufwirtschaft, die Vermeidung von Umweltverschmutzung sowie den Schutz und die Wiederherstellung der Biodiversität umfassen. Sie müssen innerhalb von sechs Monaten Daten für die zusätzlichen vier Umweltziele bereitstellen und eine Reihe von KPIs (Key Performance Indicators) offenlegen, die sich auf diese Umweltziele beziehen.

  1. Unternehmen

Für Unternehmen sind neben den Berichtspflichten auch Leistungskennzahlen (KPIs) wie der Umsatzanteil aus ökologisch nachhaltigen Produkten oder Dienstleistungen, der Anteil der Investitionen (CapEx) und gegebenenfalls der Betriebsausgaben (OpEx), die mit nachhaltigen wirtschaftlichen Aktivitäten verbunden sind, von Bedeutung. Diese Kriterien unterstützen Unternehmen dabei, ihre Aktivitäten gemäß den sechs Umweltzielen der EU-Taxonomie zu klassifizieren und die entsprechenden Berichte zu erstellen.

Was können wir für Sie tun? Was können Sie tun?

Um den neuen Anforderungen gerecht zu werden, sollten Unternehmen eine gründliche Prüfung ihrer wirtschaftlichen Tätigkeiten vornehmen, um deren Einstufung gemäß der Taxonomie zu bestimmen. Wir empfehlen, von Anfang an die strategische Ausrichtung an die Anforderungen der EU-Taxonomie anzupassen und die Relevanz für Ihr Unternehmen zu bewerten. Die Weiterentwicklung der EU-Taxonomie, einschließlich der Erweiterung des Anwendungsbereichs durch die Corporate Sustainability Reporting Directive (CSRD) und inhaltliche Erweiterungen sollten dabei berücksichtigt werden.

iAP bietet maßgeschneiderte Beratung und Lösungen zur Anpassung an die neuen Anforderungen der EU-Taxonomie. Wir unterstützen Sie bei der Identifizierung von nachhaltigen Geschäftsmöglichkeiten, der Entwicklung von KPIs zur Messung der Leistung und der Erstellung von Berichten gemäß den EU-Taxonomie-Richtlinien.

Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihre Nachhaltigkeitsziele zu erreichen und die Compliance mit den regulatorischen Anforderungen sicherzustellen.

 

Foto: istockphoto/ismagilov

 

/von

DORA – Digital Operational Resilience Act

DORA steht für „Digital Operational Resilience Act“ und ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken. Diese Verordnung wurde erstmals im September 2020 von der Europäischen Kommission vorgeschlagen und hat das Ziel, den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzdienstleistungssektor zu verbessern.

Die Verordnung wurde im November 2022 offiziell vom Rat der Europäischen Union und dem Europäischen Parlament angenommen. DORA gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere. Auch Unternehmen, die kritische IKT-Dienstleistungen für den Finanzsektor erbringen, fallen unter den Anwendungsbereich von DORA.

Die Umsetzung von DORA erfolgt schrittweise. Obwohl die Verordnung bereits in Kraft ist, wird ihre Anwendung erst ab dem 17. Januar 2025 wirksam. Dies gibt den betroffenen Unternehmen Zeit, die notwendigen Anpassungen vorzunehmen.

Die Hauptziele von DORA

  1. Umfassende Behandlung des IKT-Risikomanagements: DORA legt großen Wert auf die Einführung eines umfassenden IKT-Risikomanagements im Finanzsektor. Das beinhaltet die Identifizierung von Risiken, die Bewertung ihrer Auswirkungen auf den Geschäftsbetrieb und die Umsetzung von Maßnahmen zur Reduzierung dieser Risiken.
  2. Harmonisierung der IKT-Risikomanagementvorschriften: Vor DORA gab es in den verschiedenen EU-Mitgliedstaaten unterschiedliche Vorschriften zum IKT-Risikomanagement. DORA strebt eine Harmonisierung dieser Vorschriften an, um ein einheitliches Regelwerk zu schaffen und die Compliance für Finanzinstitute zu erleichtern.
  3. Stärkung der Resilienz des Finanzsystems: Durch die Einführung von strengen Anforderungen an die digitale Betriebsfähigkeit und Cybersicherheit zielt DORA darauf ab, die Widerstandsfähigkeit des gesamten EU-Finanzsystems gegenüber digitalen Störungen und Sicherheitsvorfällen zu stärken.
  4. Schaffung eines europaweiten Regelwerks: DORA schafft ein europaweites Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor. Dies soll dazu beitragen, regulatorische Fragmentierung zu reduzieren und gleichzeitig die Sicherheit des Finanzsektors zu gewährleisten.

Um diese Ziele zu erreichen, setzt DORA strenge Anforderungen an die betroffenen Finanzinstitute. Diese müssen sicherstellen, dass ihre IKT-Systeme robust sind, gut durchdachte Prozesse implementiert sind und klare Vereinbarungen mit IKT-Dienstleistern getroffen werden. Die Verordnung legt außerdem besonderen Wert auf das Risikomanagement von Drittanbietern und die Notwendigkeit eines effektiven Informationsaustauschs über Cyberbedrohungen zwischen den Finanzunternehmen und den Aufsichtsbehörden.

Für wen gilt DORA?

DORA (Digital Operational Resilience Act) gilt für eine breite Palette von Akteuren im Finanzsektor innerhalb der Europäischen Union. Zu den Hauptgruppen, die von DORA erfasst werden, gehören:

  1. Finanzinstitute: Dazu gehören Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, (Rück-)Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und andere.
  2. IKT-Drittdienstleister: Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, sind ebenfalls von DORA betroffen. Dazu gehören Cloud-Service-Anbieter, Rechenzentren und andere Unternehmen, die kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen.
  3. Aufsichtsbehörden: Die Regulierung und Aufsicht über die Einhaltung von DORA obliegt den zuständigen nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten. Dazu gehören beispielsweise die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
  4. Kritische IKT-Drittanbieter: Unternehmen, die als kritische IKT-Drittanbieter eingestuft werden, unterliegen ebenfalls den Bestimmungen von DORA. Die genauen Kriterien zur Bestimmung dieser kritischen Anbieter werden noch ausgearbeitet, aber sie spielen eine entscheidende Rolle im Kontext der digitalen operationellen Resilienz und werden direkt von den führenden Aufsichtsstellen der ESAs (Europäische Aufsichtsbehörden) überwacht.

Die Verordnung betrifft somit nicht nur traditionelle Finanzinstitute, sondern auch diejenigen, die entscheidende IKT-Dienstleistungen für den Finanzsektor erbringen. Dieser breite Anwendungsbereich zeigt die Absicht von DORA, sicherzustellen, dass alle relevanten Akteure im Finanzsektor die notwendigen Maßnahmen ergreifen, um die digitale Betriebsfähigkeit und Sicherheit zu gewährleisten.

Der zeitliche Ablauf von DORA

  • September 2020: Die Europäische Kommission schlägt DORA erstmals vor.
  • November 2022: Der Rat der Europäischen Union und das Europäische Parlament nehmen DORA offiziell an.
  • 2024: Die Europäische Bankenaufsichtsbehörde (EBA) stellt technische Regulierungsstandards (RTS) bereit, die verschiedene Aspekte von DORA abdecken. Dazu gehören Netzwerksicherheit, Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten, Kontrollen von Zugangs- und Zugriffsrechten, Erkennung anomaler Aktivitäten, Überwachung anomalen Verhaltens, Reaktionsprozesse, IKT-Geschäftsfortführungsplanung, Überprüfung des IKT-Risikomanagementrahmens, Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, Meldungen über schwerwiegende IKT-bezogene Vorfälle und erweiterte Tests von IKT-Tools, -Systemen und -Prozessen.
    Die Europäische Kommission entwickelt einen Aufsichtsrahmen für entscheidende IKT-Anbieter.
  • Januar 2025: Die rechtliche Durchsetzung von DORA beginnt. Ab diesem Zeitpunkt können die zuständigen Behörden in den EU-Mitgliedstaaten Sicherheitsmaßnahmen verlangen, Sicherheitslücken beheben und Sanktionen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorgaben verstoßen.

Wie erfolgt die Durchsetzung von DORA?

DORA sieht vor, dass die EU-Mitgliedstaaten sicherstellen, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam überwachen. Die Geldbußen sollen dabei „wirksam, verhältnismäßig und abschreckend“ sein, wie es in Artikel 50 Absatz 3 der DORA-Verordnung festgelegt ist.

Die zuständigen Behörden können demnach Geldbußen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorschriften verstoßen. Die Höhe der Geldbuße wird unter Berücksichtigung der Umstände des Einzelfalls festgelegt. Es wird betont, dass die Sanktionen angemessen und darauf ausgerichtet sein sollten, Verstöße zu beheben und zukünftige Verstöße zu verhindern.

Zusätzlich zu Geldbußen können Behörden Maßnahmen wie die Aussetzung oder Kündigung von Verträgen ergreifen.

Es ist wichtig zu beachten, dass die Durchsetzung von DORA nicht nur auf nationaler Ebene erfolgt. Kritische IKT-Drittanbieter, die als entscheidend eingestuft werden, unterliegen der direkten Aufsicht der Europäischen Aufsichtsbehörden (ESAs). Die führenden Aufsichtsstellen der ESAs können Sicherheits- und Abhilfemaßnahmen verlangen und Bußgelder gegen IKT-Anbieter verhängen, die die Vorschriften nicht einhalten. Bußgelder können bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr betragen. Bei anhaltenden Verstößen können Geldbußen täglich für bis zu sechs Monate verhängt werden.

Was können wir für Sie tun?

IAP verfügt als Dienstleister für Wirtschaftsprüfer im Finanzsektor über eine breite Erfahrung in der Entwicklung und Testierung von IT-bezogenen Internen Kontrollsystemen (IKS). Die immer weiterwachsende Landschaft an Anforderungen erfordert einen pragmatischen und flexiblen Ansatz, die Konformität zu diesen Anforderungen nachzuweisen.

Der zentrale Ansatz von iAP ist es für Unternehmen, ein zentrales IKS aufzubauen, aus dem alle Anforderungen heraus nachgewiesen werden können.

Folgende Leistungen bieten wir Ihnen an:

  1. DORA 
  2. Cybersecurity Testing (Basis, Standard, Extened)
  3. IKS Aufbau – Basis, Standard, Extended
  4. Notfallmanagement- Konzept und –Testierung (BCM nach ISO22301)

Rufen Sie uns an!

 

Foto: istockphoto/Dmytro Yarmolin

 

/von

DMA, DSA, DDG – Fragen und Antworten

In diesem Beitrag soll es um die Bedeutung und Auswirkungen des Digital Services Act (DSA) und des Digital Markets Act (DMA) der Europäischen Union (EU) gehen. Die beiden Gesetze wurden eingeführt, um die Aktivitäten von Anbietern digitaler Dienste zu regulieren und den Verbraucherinnen und Verbrauchern Schutz und Rechtssicherheit zu bieten. Der Beitrag wird die Hauptziele und Bestimmungen dieser Gesetze erläutern und auf ihre Bedeutung für die digitale Wirtschaft in Europa eingehen.

Digital Services Act (DSA)

Der Digital Service Act (DSA) ist eines der bedeutendsten digitalpolitischen Regelwerke in Europa. Er hat das Ziel, grundlegende Regeln für das Marktverhalten von digitalen Dienstanbietern festzulegen und den Verbrauchern Rechtsschutzmöglichkeiten zu geben.
Als EU-Verordnung wird der DSA ab dem 17. Februar 2024 unmittelbar für alle Unternehmen gelten, die ihre Vermittlungsdienste innerhalb der EU anbieten.

Was regelt der DSA?

Regulierung der Aktivitäten von Anbietern digitaler Dienste: Der DSA soll grundlegende Regeln für das Marktverhalten von Anbietern digitaler Dienste innerhalb der EU festlegen.

Rechtsschutz für Verbraucher: Der DSA zielt darauf ab, Verbraucher Rechtsschutzmöglichkeiten zur Verfügung zu stellen, insbesondere in Bezug auf den Schutz vor illegalen Inhalten und die Förderung von Transparenz.

Verantwortung der Unternehmen: Unternehmen werden stärker in die Verantwortung genommen, um gegen illegale Inhalte vorzugehen und für mehr Transparenz zu sorgen, um die Sicherheit der Verbraucher zu gewährleisten.

Schaffung eines sicheren Online-Umfelds: Digitale Dienstanbieter sollen für ein Online-Umfeld sorgen, in dem Verbraucher sicher online einkaufen können und ihre Meinungen, im Rahmen der Meinungsfreiheit, frei äußern zu können.

Evaluierung und nationale Umsetzung: Der Erfolg des DSA wird bis Anfang 2027 evaluiert. Nationale Umsetzungen, wie das Digitale-Dienste-Gesetz (DDG) in Deutschland, haben die EU-Verordnung (DSA) in nationales Recht überführt und spezifische Durchführungsmechanismen festgelegt.

Für wen ist der DSA relevant?

  • Online-Diensteanbieter: Der DSA betrifft direkt Online-Diensteanbieter, einschließlich sozialer Medien, Online-Marktplätze, Suchmaschinen und anderer Plattformen, die Dienste in der EU anbieten.
  • Verbraucher: Verbraucher profitieren von den Bestimmungen des DSA, die darauf abzielen, die Transparenz, Sicherheit und Verantwortlichkeit digitaler Dienstleistungen zu erhöhen und den Schutz vor schädlichen Inhalten zu verbessern.
  • Kleine und mittlere Unternehmen (KMU): KMU, die Online-Dienste anbieten oder von diesen abhängig sind, sind ebenfalls betroffen, da der DSA auch Regeln für die Interaktion zwischen Plattformen und Unternehmen einführt und fairere Bedingungen für KMU sicherstellen soll.
  • Regulierungsbehörden: Regulierungsbehörden in der EU, einschließlich nationaler Aufsichtsbehörden, spielen eine wichtige Rolle bei der Umsetzung und Durchsetzung des DSA.
  • Datenschutz- und Verbraucherschutzorganisationen: Organisationen, die sich für Datenschutz und Verbraucherrechte einsetzen, verfolgen den DSA aufmerksam und können sich aktiv an der Gestaltung und Überwachung seiner Umsetzung beteiligen.

Digitale-Dienste-Gesetz (DDG)

Der Digital Service Act ist am 16. November 2022 in Kraft getreten und ist seit dem 17. Februar 2024 vollumfassend anwendbar. Die Bundesregierung hat das Digitale-Dienste-Gesetz (DDG) auf den Weg gebracht, um die nationalen Vorschriften auf Bundes- und Länderebene an die neuen europarechtlichen Vorgaben anzupassen. Der Gesetzgebungsprozess zum DDG dauert noch an. Mit dem neuen Gesetz kann aber im Verlauf des Frühjahrs gerechnet werden.

Es konkretisiert die Zuständigkeiten der Behörden in Deutschland zur Durchsetzung des DSA. Gemäß dem Gesetzentwurf soll die Bundesnetzagentur die Aufsicht über die Anbieter übernehmen und eng mit Aufsichtsbehörden in Brüssel und anderen EU-Mitgliedsstaaten zusammenarbeiten. Das Gesetz sieht Buß- und Zwangsgelder vor, die bis zu sechs Prozent des Jahresumsatzes der Plattformbetreiber betragen können.

Mit Inkrafttreten des DDG wird das Telemediengesetz (TMG) aufgehoben. Soweit die Bestimmungen des TMG nunmehr nicht bereits vom DSA umfasst sind, werden sie in das DDG überführt. Ein Bespiel: Die Impressumspflicht wird sich zukünftig aus § 5 DDG ergeben.

Digital Markets Act (DMA)

Parallel dazu konzentriert sich der Digital Markets Act (DMA) auf das Verhalten großer zentraler Plattformdienste, die als „Gatekeeper“ agieren. Diese von der EU-Kommission benannten Plattformdienste (bisher u. a. Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Samsung) gelten für gewerbliche Nutzer als wichtiges Zugangstor zu Endnutzern.

Der Digital Markets Act (DMA) legt eine Reihe von Verhaltenspflichten fest, die von den als Gatekeeper identifizierten großen Digitalkonzernen befolgt werden müssen. Diese Pflichten beziehen sich insbesondere auf den Zugang und die Verwendung von Daten, die Interoperabilität und die Vermeidung von Bevorzugung eigener Dienste.

Einige der festgelegten Verpflichtungen umfassen:

  • Einschränkungen bei der Verwendung von personenbezogenen Daten ohne Einwilligung des Endnutzers.
  • Die Gewährleistung, dass Geschäftskunden ihre Produkte oder Dienstleistungen zu anderen Konditionen und Preisen auf Drittplattformen oder eigenen Online-Vertriebskanälen anbieten können.
  • Das Verbot, bestimmte eigene Dienstleistungen zu bündeln.
  • Die Förderung der Interoperabilität mit Drittanwendungen und die Bereitstellung einfacher Deinstallationsmöglichkeiten von Software-Anwendungen auf ihrem Betriebssystem.
  • Die Vermeidung der Bevorzugung eigener Dienstleistungen und Produkte gegenüber ähnlichen Dienstleistungen oder Produkten Dritter.

Diese Verhaltenspflichten werden durch erweiterte Ermittlungs- und Entscheidungsbefugnisse der EU-Kommission, sowie erweiterte Anzeigepflichten bei bestimmten Zusammenschlüssen unterstützt, die über das bisherige Fusionskontrollregime hinausgehen. Bei Verstößen gegen diese Pflichten können den Gatekeepern Bußgelder von bis zu 10 Prozent ihres weltweiten Jahresumsatzes drohen, im Wiederholungsfall sogar bis zu 20 Prozent.

Für wen ist der DMA relevant?

  • Große Digitalkonzerne (Gatekeeper): Der DMA betrifft insbesondere große Digitalkonzerne wie Google, Facebook, Amazon und andere, die als Gatekeeper fungieren und eine beträchtliche Marktmacht haben.
  • Kleine und mittlere Unternehmen (KMU): KMU, die von den Plattformen der Gatekeeper abhängig sind, profitieren von den Regelungen des DMA, da diese sicherstellen sollen, dass sie faireren Zugang zu den Plattformen erhalten und sich besser entwickeln können.
  • Verbraucher: Verbraucher können ebenfalls von den Bestimmungen des DMA profitieren, da diese darauf abzielen, faire Wettbewerbsbedingungen und einen besseren Schutz für Verbraucher auf digitalen Märkten zu gewährleisten.
  • Verbände und Organisationen: Der DMA erleichtert Verbänden und Organisationen Klagen gegen Gatekeeper, um deren Verhalten zu überprüfen und faire Bedingungen sicherzustellen.
  • EU-Kommission und nationale Kartellbehörden: Die EU-Kommission und nationale Kartellbehörden spielen eine wichtige Rolle bei der Durchsetzung und Überwachung der Bestimmungen des DMA.

Fazit

Die Digitalisierung prägt unsere Arbeitsweise, Kommunikation und Konsumgewohnheiten grundlegend. Die EU-Gesetze Digital Markets Act (DMA), Digital Services Act (DSA) und das deutsche Digitale Dienste Gesetz (DDG) sind essenzielle Instrumente, um einen fairen, transparenten und sicheren digitalen Raum zu schaffen. Sie setzen klare Regeln für digitale Dienstanbieter und bieten Verbrauchern Schutz und Rechtssicherheit. Die effektive Umsetzung und Durchsetzung dieser Gesetze ist entscheidend, um das Vertrauen der Verbraucher in die digitale Wirtschaft zu stärken und eine nachhaltige digitale Zukunft zu gewährleisten.

Die Evaluierung des DSA bis Anfang 2027 wird sicherstellen, dass die Verordnung ihre Ziele erfüllt und bei Bedarf Anpassungen vorgenommen werden können. Insgesamt markieren der DSA und der DMA wichtige Schritte zur Regulierung digitaler Dienste, fördern ein ausgewogenes Verhältnis zwischen Innovation, Wettbewerb und Verbraucherschutz und legen die Grundlagen für eine florierende digitale Wirtschaft in Europa.

Die EU reagiert mit diesen Maßnahmen auf die Herausforderungen der Digitalisierung und etabliert klare Regeln für die digitale Wirtschaft. Kontinuierliche Evaluation und Anpassungen sind erforderlich, um mit den sich ständig wandelnden Technologien und Bedürfnissen Schritt zu halten.

 

Foto: istockphoto.com/the-lightwriter

/von

ESMA-Richtlinien für Cloud First-Strategien: Schlüsselkriterien für auslagernde Unternehmen

In einer Zeit, in der die Digitalisierung den Finanzsektor grundlegend transformiert, spielen Cloud First-Strategien eine immer größere Rolle. Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat im Mai 2021 Leitlinien veröffentlicht, die die Anwendung von Cloud-Diensten im Finanzsektor regeln. Insbesondere die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat wendet diese Leitlinien an und schafft damit einen klaren Rahmen für Unternehmen im Bereich der Auslagerung an Cloud-Anbieter. Dieser Beitrag betrachtet die Hintergründe sowie die wesentlichsten Kriterien, die Unternehmen beachten sollten.

Hintergrund: ESMA-Leitlinien und BaFin-Ankündigung

Die BaFin kündigte am 29. Juni 2021 an, die ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter anzuwenden. Diese Leitlinien wurden im Mai 2021 veröffentlicht und gelten seit dem 31. Juli 2021. Die BaFin setzt damit klare Signale für die Ausrichtung der eigenen Verwaltungspraxis im Finanzsektor.

Die Leitlinien der ESMA bieten Orientierung für nationale Aufsichtsbehörden und verschiedene Marktteilnehmer im Finanzsektor, darunter Verwalter alternativer Investmentfonds (AIFM), Wertpapierfirmen, Kreditinstitute und mehr. Diese sind dazu aufgerufen, die Leitlinien bei der Nutzung von Cloud-Diensten zu beachten und umzusetzen.

Anwendungsbereich der ESMA-Leitlinien

Die ESMA-Leitlinien richten sich an eine breite Palette von Marktteilnehmern im Finanzsektor. Dazu gehören Verwalter alternativer Investmentfonds, Organisationen für gemeinsame Anlagen in Wertpapieren, Zentralverwahrer, Ratingagenturen und weitere. Die Leitlinien bieten eine klare Struktur, die sicherstellen soll, dass die Auslagerung an Cloud-Anbieter den höchsten Sicherheits- und Compliance-Standards entspricht.

Wesentliche Kriterien gemäß ESMA-Leitlinien

1. Governance, Kontrolle und Dokumentation:

Eine klare Governance-Struktur ist entscheidend, um die Kontrolle über ausgelagerte Funktionen zu gewährleisten. Die ESMA-Leitlinien legen Wert auf eine definierte Verantwortlichkeitsstruktur und detaillierte Dokumentation, um Transparenz und Nachvollziehbarkeit sicherzustellen.

2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung:

Vor Abschluss einer Auslagerungsvereinbarung müssen Unternehmen eine gründliche Risikoanalyse durchführen. Dies betrifft besonders Vereinbarungen mit einem Cloud-Anbieter, die als kritisch oder wesentlich eingestuft werden. Eine sorgfältige Due-Diligence-Prüfung des Cloud-Anbieters, einschließlich der Identifikation möglicher Interessenkonflikte, ist unerlässlich.

3. Zentrale Bestandteile des Vertrags:

Die Auslagerungsvereinbarung muss klare Bestandteile umfassen, einschließlich der Rechte und Pflichten beider Vertragsparteien. Ein solider Vertrag bildet die Grundlage für eine sichere und effektive Zusammenarbeit mit dem Cloud-Anbieter.

Erweiterung durch BaFin-Ankündigung: ESMA-Leitlinien in der Praxis

Die Ankündigung der BaFin, die ESMA-Leitlinien anzuwenden, spiegelt sich in der Verwaltungspraxis wider. Diese Leitlinien orientieren sich stark an bestehenden Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT). Die ESMA-Leitlinien erweitern jedoch diese Standards um spezifische Regelungen, die auf Cloud-Anbieter zugeschnitten sind.

Handlungsbedarf für Unternehmen

Angesichts der Ankündigung der BaFin sollten Unternehmen im Finanzsektor handeln. Hier sind einige Schritte, die unternommen werden sollten:

  1. Prüfung der Anwendbarkeit:

Unternehmen sollten prüfen, ob die ESMA-Leitlinien auf sie anwendbar sind.

  1. Überprüfung bestehender Regelungen:

Interne Regelungen, Strategien und Auslagerungsvereinbarungen sollten auf Anpassungsbedarf überprüft werden.

iAP – Ihr Experte für sichere Cloud-Nutzung im Finanzsektor

Als erfahrener Berater im Finanzsektor unterstützt iAP Banken im Bereich Identity and Access Management (IAM) sowie im Bereich Internes Kontrollsystem (IKS) unter Einhaltung aller regulatorischen Anforderungen (BaFin, ESMA, EZB, EBA). Unsere Expertise ermöglicht es Unternehmen, nicht nur die ESMA-Leitlinien umzusetzen, sondern auch die Sicherheit und Compliance in der Cloud-Nutzung zu optimieren.

Fazit: Cloud-First mit Sicherheit und Compliance

Die ESMA-Leitlinien bieten einen klaren Rahmen für Unternehmen im Finanzsektor, die auf Cloud-First-Strategien setzen. Durch die Betrachtung der wesentlichsten Kriterien, die Leitlinien der BaFin und die Expertise von iAP wird deutlich, dass Sicherheit und Compliance im Fokus stehen. Unternehmen, die proaktiv handeln, können nicht nur regulatorischen Standards gerecht werden, sondern gestalten auch eine sichere und zukunftsfähige Cloud-Nutzung.

 

Foto: istockphoto/mixdabass

/von

Die Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensysteme

Mit der Einführung des „Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen“ wurde § 146a AO geschaffen, um die Integrität digitaler Aufzeichnungen sicherzustellen. Die Finanzverwaltung hat daraufhin den Anwendungserlass zu § 146a AO einer umfassenden Überarbeitung unterzogen, die ab dem 1. Januar 2024 in Kraft tritt. Das entsprechende Schreiben des Bundesministeriums der Finanzen vom 30. Juni 2023 mit dem Aktenzeichen IV D 2 – S 0316-a/20/10003 :006 gibt detaillierte Erläuterungen zu verschiedenen Aspekten, darunter Allgemeines und Begriffsdefinitionen, Kassen und Kassensysteme, EU-Taxameter und Wegstreckenzähler.

Erläuterungen zu Allgemeinem und Begriffsdefinitionen

Die Neufassung des Anwendungserlasses enthält eine umfassende Klarstellung von Begrifflichkeiten und allgemeinen Prinzipien. Insbesondere wird der Fokus auf elektronische Kassensysteme gelegt, die gemäß § 146a Abs. 1 AO der Verpflichtung zur ordnungsgemäßen Aufzeichnung unterliegen. Hierbei werden grundlegende Definitionen und Anwendungsbereiche festgelegt, um eine einheitliche Auslegung zu gewährleisten.

EU-Taxameter: Anforderungen und Integration

Die Neufassung des Anwendungserlasses geht auch auf die Besonderheiten von EU-Taxametern ein. Bei Fahrten, bei denen die Wegstreckenmessung relevant ist, müssen entsprechende Transaktionen in der TSE erfasst werden. Der Prozess umfasst das Starten und Beenden von Transaktionen, wobei verschiedene Vorgänge wie das Einschalten des Taxameters, Fahreranmeldungen, Pausen und das Ausschalten des Taxameters spezifische Schritte erfordern. Der Belegdruck mit relevanten Daten, einschließlich Preisdaten einer Fahrt und Transaktionsnummern, wird ebenfalls ausführlich erläutert.

Wegstreckenzähler: Protokollierung und Anforderungen

Für Wegstreckenzähler definiert die Neufassung klare Protokollierungsanforderungen und Abläufe. Der Einsatz einer TSE im Wegstreckenzähler erfordert die Aufzeichnung von Anwendungsdaten und Protokolldaten. Verschiedene Betriebseinstellungen wie „Frei“, „Besetzt“ und „Kasse“ haben unterschiedliche Anforderungen an die Datenübermittlung. Die Absicherung von Vorgängen wie dem Einschalten des Wegstreckenzählers, der Betriebseinstellung „Frei“, Fahrtbelegen und anderen Vorgängen wird detailliert beschrieben.

Verschiebung der Mitteilungspflicht nach § 146a Abs. 4 AO

Ein bedeutender Schritt in Richtung Digitalisierung ist die Mitteilungspflicht nach § 146a Abs. 4 AO, die vorsieht, dass TSE-Kassen dem Finanzamt gemeldet werden müssen. In der aktuellen Überarbeitung des Anwendungserlasses wird jedoch klargestellt, dass die Mitteilungspflicht bis zum Einsatz einer elektronischen Übermittlungsmöglichkeit ausgesetzt ist. Das Bundessteuerblatt Teil I wird voraussichtlich im Jahr 2024 den Zeitpunkt des Einsatzes bekannt geben. Erst nach dieser Bekanntgabe wird die Mitteilungsverpflichtung wirksam, was den Unternehmen mehr Zeit gibt, sich auf die Umstellung vorzubereiten.
Die Finanzverwaltung rechtfertigt diese Verzögerung mit dem Ziel, den Unternehmen genügend Zeit zu geben, sich auf die technischen Anforderungen vorzubereiten und einen reibungslosen Übergang zu ermöglichen. Diese Entscheidung unterstreicht die praxisorientierte Ausrichtung der Finanzverwaltung und ihre Bereitschaft, den steuerpflichtigen Unternehmen im Transformationsprozess entgegenzukommen.

Einhaltung steuerlicher Grundsätze

Ein wichtiger Aspekt, der im Anwendungserlass betont wird, ist die Verbindung zur „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBD). Elektronische Kassensysteme müssen nicht nur den steuerlichen Anforderungen des § 146a AO entsprechen, sondern auch den allgemeinen Grundsätzen ordnungsmäßiger Buchführung.

Fazit: Die Herausforderungen und Chancen der Neufassung

Die Aktualisierung des Anwendungserlasses zu § 146a AO führt zu umfassenden Klarstellungen und Anpassungen, wobei der Fokus auf elektronischen Kassensystemen, EU-Taxametern und Wegstreckenzählern liegt. Die Verschiebung der Mitteilungspflicht gewährt Unternehmen zusätzliche Zeit, sich auf die bevorstehenden Veränderungen vorzubereiten. Diese Neufassung unterstreicht deutlich den konsequenten Weg der Finanzverwaltung in Richtung Digitalisierung und hebt die Bedeutung der ordnungsgemäßen Buchführung in der modernen Geschäftswelt hervor. Es ist unerlässlich, dass Unternehmen sich frühzeitig mit den Neuerungen vertraut machen und ihre Systeme entsprechend anpassen.
Die Neufassung des Anwendungserlasses zu § 146a AO bringt Unternehmen vor neue Herausforderungen. Mit dem richtigen Partner wie iAP können diese jedoch in Chancen für eine effiziente, rechtssichere und transparente Buchführung umgewandelt werden. iAP steht Ihnen zur Seite, um Ihre GoBD-Konformität zu gewährleisten und steuerliche Risiken zu minimieren. Vertrauen Sie auf iAP als Ihren verlässlichen Partner für die erfolgreiche Umsetzung der aktuellen gesetzlichen Anforderungen.

Foto: istockphoto.com/Cameris

/von