Schlagwortarchiv für: Beratung

NIS-2, DORA – Gemeinsamkeiten und Unterschiede und was sonst noch wichtig ist

Die Network-and-Information-Security-Richtlinie 2.0-Richtlinie (NIS-2), in Kraft seit dem 16. Januar 2023, legt EU-weite Sicherheitsstandards für kritische Infrastrukturen und wesentliche Dienstleister fest, darunter Unternehmen in den Sektoren Energie, Verkehr, Finanzdienstleistungen und digitale Dienste. Sie zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und die Reaktionsfähigkeit im Falle von Sicherheitsvorfällen zu verbessern, indem sie klare Anforderungen an das Risikomanagement und das Reporting von Sicherheitsvorfällen stellt.

Was ist DORA?

DORA (Digital Operational Resilience Act) konzentriert sich auf den Finanzsektor und zielt darauf ab, die Widerstandsfähigkeit gegenüber Cyber-Angriffen, wie zum Beispiel Denial-of-Service-Attacken, sicherzustellen. Es fasst die Leitlinien der Europäischen Bankenaufsicht in einem kompakten Rahmenwerk zusammen, um die Cyber-Sicherheit in diesem Sektor zu verbessern.

Was sind die Gemeinsamkeiten von NIS-2 und DORA?

Sowohl NIS-2 als auch DORA zielen darauf ab, die Cybersicherheit in Unternehmen zu verbessern und die Risiken im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologie (IKT) zu adressieren.

Sie legen Anforderungen an Finanzdienstleister fest und fordern Maßnahmen wie Risikobewertungen, die auch Lieferketten umfassen, um die Sicherheit zu gewährleisten.

Beide betonen die Bedeutung der Einbeziehung von Software-Zulieferern in das Risikomanagement und die Sicherheitsüberprüfungen. Während DORA auf regelmäßige Penetrationstests und Sicherheitsüberprüfungen alle drei Jahre abzielt, erfordert NIS-2 zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.

Darüber hinaus sehen beide Vorschriften Strafen vor, die sowohl für Unternehmen als auch für leitende Personen wie das Top-Management und die Geschäftsführung gelten, falls die Anforderungen nicht erfüllt werden. Diese Strafen richten sich entweder nach dem Jahresumsatz des Unternehmens oder einer festgelegten Summe, ähnlich den Sanktionen in der Datenschutzgrundverordnung.

Worin unterscheiden sich NIS-2 und DORA?

NIS-2 und DORA weisen trotz einiger Gemeinsamkeiten grundlegende Unterschiede auf.

Während NIS-2 darauf abzielt, die Cybersicherheit EU-weit zu harmonisieren und den Informationsaustausch nach Angriffen zu verbessern, konzentriert sich DORA hauptsächlich auf die Aufrechterhaltung der Betriebsstabilität im Finanzsektor.

NIS-2 legt grobe Anforderungen an das Risikomanagement und das Reporting fest, während DORA konkretere Maßnahmen wie Penetrationstests und Sicherheitsaudits vorschreibt, um die Funktionsfähigkeit trotz erfolgreicher Angriffe sicherzustellen.

Die Klärung der Zuständigkeiten bleibt eine Herausforderung, da für NIS-2 die Prüfkompetenz in Deutschland beim BSI bzw. der BaFin liegt, während Artikel 46 von DORA eine Reihe von Behörden vorsieht, die die Einhaltung der Vorschriften sicherstellen sollen, darunter die EZB und möglicherweise auch die BaFin.

Welche Norm ist anzuwenden, wenn Sie sowohl von NIS-2 als auch DORA betroffen sind?

Wenn ein Unternehmen sowohl von NIS-2 als auch von DORA betroffen ist, hat DORA Vorrang. Dies liegt daran, dass DORA speziell auf den Finanzsektor zugeschnitten ist und spezifischere Anforderungen festlegt.

In Fällen, in denen NIS-2 Bereiche reguliert, die nicht von DORA abgedeckt sind, muss jedoch auch NIS-2 berücksichtigt werden.

Sollte auch DORA betrachtet werden, wenn unser Unternehmen nur NIS-2 unterliegt?

Auch wenn Ihr Unternehmen nur NIS-2 unterliegt, kann es sinnvoll sein, sich mit den spezifischeren Anforderungen von DORA vertraut zu machen. Diese können als Referenz dienen, um einen umfassenderen Überblick darüber zu erhalten, wie Ihr Unternehmen im Vergleich zu den strengeren Anforderungen von DORA aufgestellt ist. Auf diese Weise können potenzielle Lücken oder Bereiche identifiziert werden, in denen zusätzliche Maßnahmen erforderlich sind, um die Anforderungen von NIS-2 zu erfüllen.

Bis wann haben die Unternehmen Zeit, die Vorgaben umzusetzen?

Die Umsetzungsfrist für die NIS-2-Richtlinie endet im Oktober 2024, nachdem es im Januar 2023 in Kraft getreten ist.

Der Digital Operational Resiliance Act (DORA) ist eine Verordnung, d.h. ein direkt gültiges, europäisches Gesetz, und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft.

Fazit: Die Kritik an NIS-2 und DORA?

Die Cyber-Sicherheit ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere für Unternehmen im Finanzsektor. Um dieser wachsenden Bedrohung gerecht zu werden, hat die EU Regularien wie den Digital Operational Resilience Act (DORA) und die Network and Information Security 2 (NIS-2) eingeführt. Diese sollen die Resilienz stärken und die Betriebsstabilität im Finanzsektor sicherstellen. Doch das Nebeneinander dieser beiden Regularien wirft einige Herausforderungen auf.

Das gleichzeitige Bestehen von DORA und NIS-2 könnte zu einem erhöhten bürokratischen Aufwand führen. Unternehmen sehen sich möglicherweise mit unterschiedlichen Anforderungen und Prüfverfahren konfrontiert, was die Umsetzung erschweren könnte. Diese Situation birgt die Gefahr eines Audit-Chaos, da Unternehmen Schwierigkeiten haben könnten, die Anforderungen beider Regularien effizient zu erfüllen.

Es ist wichtig, dass die Regulierungsbehörden und betroffene Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, enger zusammenarbeiten, um Redundanzen zu vermeiden, die Zusammenarbeit zu verbessern und klare Leitlinien für die Umsetzung der Regularien bereitzustellen. Durch eine effiziente Koordination, mehr Abstimmung und klare Kommunikation zwischen den einzelnen Mitgliedsstaaten der europäischen Union kann das Risiko eines Audit-Chaos minimiert werden und die Effektivität der Cybersicherheitsmaßnahmen im Finanzsektor gestärkt werden.

Insgesamt ist es entscheidend, dass alle Beteiligten sich der Herausforderungen bewusst sind und gemeinsam daran arbeiten, Wege zu finden, um das Nebeneinander von DORA und NIS-2 im Finanzsektor der EU erfolgreich zu bewältigen.

Wie kann iAP dabei unterstützen?

Mit rechtzeitigen Änderungen bei der physischen Sicherheit in Ihrer Organisation können Sie sich schon früh für NIS-2 bzw. DORA wappnen. Wir bieten langjährige Erfahrung im KRITIS-Bereich und im Finanzsektor, um Sie bei der Vorbereitung und Einhaltung dieser Vorschriften zu unterstützen.

/von

Die EU-Taxonomie: Ein Leitfaden für Nachhaltige Investitionen

Die Taxonomie-Verordnung der EU, die ein einheitliches Klassifikationssystem für nachhaltige Wirtschaftsaktivitäten bietet, unterliegt ständigen Erweiterungen und Anpassungen, um ihre Relevanz und Effektivität in der Förderung ökologischer Nachhaltigkeit zu gewährleisten. Seit Januar 2024 treten neue Anforderungen in Kraft, die insbesondere Investoren und Unternehmen betreffen. 

Was ist die EU-Taxonomie?

Die EU-Taxonomie ist ein komplexes, aber entscheidendes Instrument, das darauf abzielt, wirtschaftliche Aktivitäten anhand ihrer Umweltauswirkungen zu bewerten. Ihr Hauptziel ist es, Investitionen in Projekte zu fördern, die zur Erreichung der Klima- und Umweltziele der EU beitragen. Dies geschieht durch die Festlegung klarer Kriterien und Standards, anhand derer Unternehmen und Investoren ihre Aktivitäten bewerten können.

Wie funktioniert die EU-Taxonomie?

Die Taxonomie gliedert wirtschaftliche Aktivitäten in sechs Umweltziele. Dazu gehören die Eindämmung des Klimawandels, die Anpassung an den Klimawandel, die nachhaltige Nutzung von Wasserressourcen, der Übergang zu einer Kreislaufwirtschaft, die Vermeidung von Umweltverschmutzung und der Schutz und die Wiederherstellung der Biodiversität und der Ökosysteme.

Unternehmen und Investoren müssen ihre Aktivitäten anhand dieser Kriterien bewerten, um festzustellen, ob sie als „grün“ oder umweltfreundlich gelten und somit für nachhaltige Investitionen qualifiziert sind.

Die sechs Umweltziele der EU-Taxonomie

  1. Eindämmung des Klimawandels: Fokussiert auf Aktivitäten, die zur Verringerung der Treibhausgasemissionen beitragen und den Klimawandel abmildern.
  2. Anpassung an den Klimawandel: Betrifft Maßnahmen und Investitionen, die die Anpassungsfähigkeit an die unvermeidlichen Folgen des Klimawandels verbessern.
  3. Nachhaltige Nutzung und Schutz von Wasser- und Meeresressourcen: Zielt auf die Bewirtschaftung und den Schutz von Wasser und maritimen Ressourcen ab, um deren langfristige Verfügbarkeit zu sichern.
  4. Übergang zu einer Kreislaufwirtschaft: Fördert Aktivitäten, die auf die Reduzierung von Abfall und die Steigerung der Effizienz von Ressourcen durch Recycling und Wiederverwendung abzielen.
  5. Vermeidung und Verminderung der Umweltverschmutzung: Bezieht sich auf Maßnahmen, die darauf abzielen, die Umweltverschmutzung zu reduzieren und die Qualität von Luft, Wasser und Boden zu verbessern.
  6. Schutz und Wiederherstellung der Biodiversität und der Ökosysteme: Unterstützt Aktivitäten, die zur Erhaltung und Wiederherstellung der Biodiversität und der natürlichen Ökosysteme beitragen.

Was ändert sich ab Januar 2024?

Die neuen delegierten Rechtsakte, die im Juni 2023 veröffentlicht wurden, legen technische Bewertungskriterien für die vier bisher noch nicht abgedeckten Umweltziele fest und erweitern den Anwendungsbereich der Taxonomie. Diese Anpassungen betreffen nicht nur die Erweiterung der abgedeckten Sektoren, sondern auch die Einführung neuer Berichtspflichten ab dem 1. Januar 2024. Für Nicht-Finanzunternehmen bedeutet dies, dass sie ab dem Berichtsjahr 2024 Angaben zur Taxonomiefähigkeit ihrer Tätigkeiten machen müssen, bevor im Jahr 2025 vollständige Berichtspflichten zur Taxonomiekonformität in Kraft treten.

EU-Taxonomie: Neue Anforderungen für Investoren und Unternehmen ab Januar 2024

  1. Investoren

Investoren, die Produkte nach Artikel 8 oder 9 in der EU anbieten, müssen nun alle sechs Umweltziele der EU-Taxonomie berücksichtigen, die die Eindämmung des Klimawandels, die Anpassung an den Klimawandel, die nachhaltige Nutzung und Schutz von Wasserressourcen, den Übergang zu einer Kreislaufwirtschaft, die Vermeidung von Umweltverschmutzung sowie den Schutz und die Wiederherstellung der Biodiversität umfassen. Sie müssen innerhalb von sechs Monaten Daten für die zusätzlichen vier Umweltziele bereitstellen und eine Reihe von KPIs (Key Performance Indicators) offenlegen, die sich auf diese Umweltziele beziehen.

  1. Unternehmen

Für Unternehmen sind neben den Berichtspflichten auch Leistungskennzahlen (KPIs) wie der Umsatzanteil aus ökologisch nachhaltigen Produkten oder Dienstleistungen, der Anteil der Investitionen (CapEx) und gegebenenfalls der Betriebsausgaben (OpEx), die mit nachhaltigen wirtschaftlichen Aktivitäten verbunden sind, von Bedeutung. Diese Kriterien unterstützen Unternehmen dabei, ihre Aktivitäten gemäß den sechs Umweltzielen der EU-Taxonomie zu klassifizieren und die entsprechenden Berichte zu erstellen.

Was können wir für Sie tun? Was können Sie tun?

Um den neuen Anforderungen gerecht zu werden, sollten Unternehmen eine gründliche Prüfung ihrer wirtschaftlichen Tätigkeiten vornehmen, um deren Einstufung gemäß der Taxonomie zu bestimmen. Wir empfehlen, von Anfang an die strategische Ausrichtung an die Anforderungen der EU-Taxonomie anzupassen und die Relevanz für Ihr Unternehmen zu bewerten. Die Weiterentwicklung der EU-Taxonomie, einschließlich der Erweiterung des Anwendungsbereichs durch die Corporate Sustainability Reporting Directive (CSRD) und inhaltliche Erweiterungen sollten dabei berücksichtigt werden.

iAP bietet maßgeschneiderte Beratung und Lösungen zur Anpassung an die neuen Anforderungen der EU-Taxonomie. Wir unterstützen Sie bei der Identifizierung von nachhaltigen Geschäftsmöglichkeiten, der Entwicklung von KPIs zur Messung der Leistung und der Erstellung von Berichten gemäß den EU-Taxonomie-Richtlinien.

Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihre Nachhaltigkeitsziele zu erreichen und die Compliance mit den regulatorischen Anforderungen sicherzustellen.

 

Foto: istockphoto/ismagilov

 

/von

DORA – Digital Operational Resilience Act

DORA steht für „Digital Operational Resilience Act“ und ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken. Diese Verordnung wurde erstmals im September 2020 von der Europäischen Kommission vorgeschlagen und hat das Ziel, den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzdienstleistungssektor zu verbessern.

Die Verordnung wurde im November 2022 offiziell vom Rat der Europäischen Union und dem Europäischen Parlament angenommen. DORA gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere. Auch Unternehmen, die kritische IKT-Dienstleistungen für den Finanzsektor erbringen, fallen unter den Anwendungsbereich von DORA.

Die Umsetzung von DORA erfolgt schrittweise. Obwohl die Verordnung bereits in Kraft ist, wird ihre Anwendung erst ab dem 17. Januar 2025 wirksam. Dies gibt den betroffenen Unternehmen Zeit, die notwendigen Anpassungen vorzunehmen.

Die Hauptziele von DORA

  1. Umfassende Behandlung des IKT-Risikomanagements: DORA legt großen Wert auf die Einführung eines umfassenden IKT-Risikomanagements im Finanzsektor. Das beinhaltet die Identifizierung von Risiken, die Bewertung ihrer Auswirkungen auf den Geschäftsbetrieb und die Umsetzung von Maßnahmen zur Reduzierung dieser Risiken.
  2. Harmonisierung der IKT-Risikomanagementvorschriften: Vor DORA gab es in den verschiedenen EU-Mitgliedstaaten unterschiedliche Vorschriften zum IKT-Risikomanagement. DORA strebt eine Harmonisierung dieser Vorschriften an, um ein einheitliches Regelwerk zu schaffen und die Compliance für Finanzinstitute zu erleichtern.
  3. Stärkung der Resilienz des Finanzsystems: Durch die Einführung von strengen Anforderungen an die digitale Betriebsfähigkeit und Cybersicherheit zielt DORA darauf ab, die Widerstandsfähigkeit des gesamten EU-Finanzsystems gegenüber digitalen Störungen und Sicherheitsvorfällen zu stärken.
  4. Schaffung eines europaweiten Regelwerks: DORA schafft ein europaweites Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor. Dies soll dazu beitragen, regulatorische Fragmentierung zu reduzieren und gleichzeitig die Sicherheit des Finanzsektors zu gewährleisten.

Um diese Ziele zu erreichen, setzt DORA strenge Anforderungen an die betroffenen Finanzinstitute. Diese müssen sicherstellen, dass ihre IKT-Systeme robust sind, gut durchdachte Prozesse implementiert sind und klare Vereinbarungen mit IKT-Dienstleistern getroffen werden. Die Verordnung legt außerdem besonderen Wert auf das Risikomanagement von Drittanbietern und die Notwendigkeit eines effektiven Informationsaustauschs über Cyberbedrohungen zwischen den Finanzunternehmen und den Aufsichtsbehörden.

Für wen gilt DORA?

DORA (Digital Operational Resilience Act) gilt für eine breite Palette von Akteuren im Finanzsektor innerhalb der Europäischen Union. Zu den Hauptgruppen, die von DORA erfasst werden, gehören:

  1. Finanzinstitute: Dazu gehören Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, (Rück-)Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und andere.
  2. IKT-Drittdienstleister: Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, sind ebenfalls von DORA betroffen. Dazu gehören Cloud-Service-Anbieter, Rechenzentren und andere Unternehmen, die kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen.
  3. Aufsichtsbehörden: Die Regulierung und Aufsicht über die Einhaltung von DORA obliegt den zuständigen nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten. Dazu gehören beispielsweise die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
  4. Kritische IKT-Drittanbieter: Unternehmen, die als kritische IKT-Drittanbieter eingestuft werden, unterliegen ebenfalls den Bestimmungen von DORA. Die genauen Kriterien zur Bestimmung dieser kritischen Anbieter werden noch ausgearbeitet, aber sie spielen eine entscheidende Rolle im Kontext der digitalen operationellen Resilienz und werden direkt von den führenden Aufsichtsstellen der ESAs (Europäische Aufsichtsbehörden) überwacht.

Die Verordnung betrifft somit nicht nur traditionelle Finanzinstitute, sondern auch diejenigen, die entscheidende IKT-Dienstleistungen für den Finanzsektor erbringen. Dieser breite Anwendungsbereich zeigt die Absicht von DORA, sicherzustellen, dass alle relevanten Akteure im Finanzsektor die notwendigen Maßnahmen ergreifen, um die digitale Betriebsfähigkeit und Sicherheit zu gewährleisten.

Der zeitliche Ablauf von DORA

  • September 2020: Die Europäische Kommission schlägt DORA erstmals vor.
  • November 2022: Der Rat der Europäischen Union und das Europäische Parlament nehmen DORA offiziell an.
  • 2024: Die Europäische Bankenaufsichtsbehörde (EBA) stellt technische Regulierungsstandards (RTS) bereit, die verschiedene Aspekte von DORA abdecken. Dazu gehören Netzwerksicherheit, Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten, Kontrollen von Zugangs- und Zugriffsrechten, Erkennung anomaler Aktivitäten, Überwachung anomalen Verhaltens, Reaktionsprozesse, IKT-Geschäftsfortführungsplanung, Überprüfung des IKT-Risikomanagementrahmens, Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, Meldungen über schwerwiegende IKT-bezogene Vorfälle und erweiterte Tests von IKT-Tools, -Systemen und -Prozessen.
    Die Europäische Kommission entwickelt einen Aufsichtsrahmen für entscheidende IKT-Anbieter.
  • Januar 2025: Die rechtliche Durchsetzung von DORA beginnt. Ab diesem Zeitpunkt können die zuständigen Behörden in den EU-Mitgliedstaaten Sicherheitsmaßnahmen verlangen, Sicherheitslücken beheben und Sanktionen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorgaben verstoßen.

Wie erfolgt die Durchsetzung von DORA?

DORA sieht vor, dass die EU-Mitgliedstaaten sicherstellen, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam überwachen. Die Geldbußen sollen dabei „wirksam, verhältnismäßig und abschreckend“ sein, wie es in Artikel 50 Absatz 3 der DORA-Verordnung festgelegt ist.

Die zuständigen Behörden können demnach Geldbußen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorschriften verstoßen. Die Höhe der Geldbuße wird unter Berücksichtigung der Umstände des Einzelfalls festgelegt. Es wird betont, dass die Sanktionen angemessen und darauf ausgerichtet sein sollten, Verstöße zu beheben und zukünftige Verstöße zu verhindern.

Zusätzlich zu Geldbußen können Behörden Maßnahmen wie die Aussetzung oder Kündigung von Verträgen ergreifen.

Es ist wichtig zu beachten, dass die Durchsetzung von DORA nicht nur auf nationaler Ebene erfolgt. Kritische IKT-Drittanbieter, die als entscheidend eingestuft werden, unterliegen der direkten Aufsicht der Europäischen Aufsichtsbehörden (ESAs). Die führenden Aufsichtsstellen der ESAs können Sicherheits- und Abhilfemaßnahmen verlangen und Bußgelder gegen IKT-Anbieter verhängen, die die Vorschriften nicht einhalten. Bußgelder können bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr betragen. Bei anhaltenden Verstößen können Geldbußen täglich für bis zu sechs Monate verhängt werden.

Was können wir für Sie tun?

IAP verfügt als Dienstleister für Wirtschaftsprüfer im Finanzsektor über eine breite Erfahrung in der Entwicklung und Testierung von IT-bezogenen Internen Kontrollsystemen (IKS). Die immer weiterwachsende Landschaft an Anforderungen erfordert einen pragmatischen und flexiblen Ansatz, die Konformität zu diesen Anforderungen nachzuweisen.

Der zentrale Ansatz von iAP ist es für Unternehmen, ein zentrales IKS aufzubauen, aus dem alle Anforderungen heraus nachgewiesen werden können.

Folgende Pakete bieten wir Ihnen an:

  1. SOC2 IKS nach BAIT/DORA
  2. SOC2 IKS nach BSI C5/BAIT/DORA
  3. Cybersecurity Testing (Basis, Standard, Extened)
  4. IKS Aufbau – Basis, Standard, Extended
  5. Notfallmanagement- Konzept und –Testierung (BCM nach ISO22301)

Rufen Sie uns an!

 

Foto: istockphoto/Dmytro Yarmolin

 

/von

DMA, DSA, DDG – Fragen und Antworten

In diesem Beitrag soll es um die Bedeutung und Auswirkungen des Digital Services Act (DSA) und des Digital Markets Act (DMA) der Europäischen Union (EU) gehen. Die beiden Gesetze wurden eingeführt, um die Aktivitäten von Anbietern digitaler Dienste zu regulieren und den Verbraucherinnen und Verbrauchern Schutz und Rechtssicherheit zu bieten. Der Beitrag wird die Hauptziele und Bestimmungen dieser Gesetze erläutern und auf ihre Bedeutung für die digitale Wirtschaft in Europa eingehen.

Digital Services Act (DSA)

Der Digital Service Act (DSA) ist eines der bedeutendsten digitalpolitischen Regelwerke in Europa. Er hat das Ziel, grundlegende Regeln für das Marktverhalten von digitalen Dienstanbietern festzulegen und den Verbrauchern Rechtsschutzmöglichkeiten zu geben.
Als EU-Verordnung wird der DSA ab dem 17. Februar 2024 unmittelbar für alle Unternehmen gelten, die ihre Vermittlungsdienste innerhalb der EU anbieten.

Was regelt der DSA?

Regulierung der Aktivitäten von Anbietern digitaler Dienste: Der DSA soll grundlegende Regeln für das Marktverhalten von Anbietern digitaler Dienste innerhalb der EU festlegen.

Rechtsschutz für Verbraucher: Der DSA zielt darauf ab, Verbraucher Rechtsschutzmöglichkeiten zur Verfügung zu stellen, insbesondere in Bezug auf den Schutz vor illegalen Inhalten und die Förderung von Transparenz.

Verantwortung der Unternehmen: Unternehmen werden stärker in die Verantwortung genommen, um gegen illegale Inhalte vorzugehen und für mehr Transparenz zu sorgen, um die Sicherheit der Verbraucher zu gewährleisten.

Schaffung eines sicheren Online-Umfelds: Digitale Dienstanbieter sollen für ein Online-Umfeld sorgen, in dem Verbraucher sicher online einkaufen können und ihre Meinungen, im Rahmen der Meinungsfreiheit, frei äußern zu können.

Evaluierung und nationale Umsetzung: Der Erfolg des DSA wird bis Anfang 2027 evaluiert. Nationale Umsetzungen, wie das Digitale-Dienste-Gesetz (DDG) in Deutschland, haben die EU-Verordnung (DSA) in nationales Recht überführt und spezifische Durchführungsmechanismen festgelegt.

Für wen ist der DSA relevant?

  • Online-Diensteanbieter: Der DSA betrifft direkt Online-Diensteanbieter, einschließlich sozialer Medien, Online-Marktplätze, Suchmaschinen und anderer Plattformen, die Dienste in der EU anbieten.
  • Verbraucher: Verbraucher profitieren von den Bestimmungen des DSA, die darauf abzielen, die Transparenz, Sicherheit und Verantwortlichkeit digitaler Dienstleistungen zu erhöhen und den Schutz vor schädlichen Inhalten zu verbessern.
  • Kleine und mittlere Unternehmen (KMU): KMU, die Online-Dienste anbieten oder von diesen abhängig sind, sind ebenfalls betroffen, da der DSA auch Regeln für die Interaktion zwischen Plattformen und Unternehmen einführt und fairere Bedingungen für KMU sicherstellen soll.
  • Regulierungsbehörden: Regulierungsbehörden in der EU, einschließlich nationaler Aufsichtsbehörden, spielen eine wichtige Rolle bei der Umsetzung und Durchsetzung des DSA.
  • Datenschutz- und Verbraucherschutzorganisationen: Organisationen, die sich für Datenschutz und Verbraucherrechte einsetzen, verfolgen den DSA aufmerksam und können sich aktiv an der Gestaltung und Überwachung seiner Umsetzung beteiligen.

Digitale-Dienste-Gesetz (DDG)

Der Digital Service Act ist am 16. November 2022 in Kraft getreten und ist seit dem 17. Februar 2024 vollumfassend anwendbar. Die Bundesregierung hat das Digitale-Dienste-Gesetz (DDG) auf den Weg gebracht, um die nationalen Vorschriften auf Bundes- und Länderebene an die neuen europarechtlichen Vorgaben anzupassen. Der Gesetzgebungsprozess zum DDG dauert noch an. Mit dem neuen Gesetz kann aber im Verlauf des Frühjahrs gerechnet werden.

Es konkretisiert die Zuständigkeiten der Behörden in Deutschland zur Durchsetzung des DSA. Gemäß dem Gesetzentwurf soll die Bundesnetzagentur die Aufsicht über die Anbieter übernehmen und eng mit Aufsichtsbehörden in Brüssel und anderen EU-Mitgliedsstaaten zusammenarbeiten. Das Gesetz sieht Buß- und Zwangsgelder vor, die bis zu sechs Prozent des Jahresumsatzes der Plattformbetreiber betragen können.

Mit Inkrafttreten des DDG wird das Telemediengesetz (TMG) aufgehoben. Soweit die Bestimmungen des TMG nunmehr nicht bereits vom DSA umfasst sind, werden sie in das DDG überführt. Ein Bespiel: Die Impressumspflicht wird sich zukünftig aus § 5 DDG ergeben.

Digital Markets Act (DMA)

Parallel dazu konzentriert sich der Digital Markets Act (DMA) auf das Verhalten großer zentraler Plattformdienste, die als „Gatekeeper“ agieren. Diese von der EU-Kommission benannten Plattformdienste (bisher u. a. Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Samsung) gelten für gewerbliche Nutzer als wichtiges Zugangstor zu Endnutzern.

Der Digital Markets Act (DMA) legt eine Reihe von Verhaltenspflichten fest, die von den als Gatekeeper identifizierten großen Digitalkonzernen befolgt werden müssen. Diese Pflichten beziehen sich insbesondere auf den Zugang und die Verwendung von Daten, die Interoperabilität und die Vermeidung von Bevorzugung eigener Dienste.

Einige der festgelegten Verpflichtungen umfassen:

  • Einschränkungen bei der Verwendung von personenbezogenen Daten ohne Einwilligung des Endnutzers.
  • Die Gewährleistung, dass Geschäftskunden ihre Produkte oder Dienstleistungen zu anderen Konditionen und Preisen auf Drittplattformen oder eigenen Online-Vertriebskanälen anbieten können.
  • Das Verbot, bestimmte eigene Dienstleistungen zu bündeln.
  • Die Förderung der Interoperabilität mit Drittanwendungen und die Bereitstellung einfacher Deinstallationsmöglichkeiten von Software-Anwendungen auf ihrem Betriebssystem.
  • Die Vermeidung der Bevorzugung eigener Dienstleistungen und Produkte gegenüber ähnlichen Dienstleistungen oder Produkten Dritter.

Diese Verhaltenspflichten werden durch erweiterte Ermittlungs- und Entscheidungsbefugnisse der EU-Kommission, sowie erweiterte Anzeigepflichten bei bestimmten Zusammenschlüssen unterstützt, die über das bisherige Fusionskontrollregime hinausgehen. Bei Verstößen gegen diese Pflichten können den Gatekeepern Bußgelder von bis zu 10 Prozent ihres weltweiten Jahresumsatzes drohen, im Wiederholungsfall sogar bis zu 20 Prozent.

Für wen ist der DMA relevant?

  • Große Digitalkonzerne (Gatekeeper): Der DMA betrifft insbesondere große Digitalkonzerne wie Google, Facebook, Amazon und andere, die als Gatekeeper fungieren und eine beträchtliche Marktmacht haben.
  • Kleine und mittlere Unternehmen (KMU): KMU, die von den Plattformen der Gatekeeper abhängig sind, profitieren von den Regelungen des DMA, da diese sicherstellen sollen, dass sie faireren Zugang zu den Plattformen erhalten und sich besser entwickeln können.
  • Verbraucher: Verbraucher können ebenfalls von den Bestimmungen des DMA profitieren, da diese darauf abzielen, faire Wettbewerbsbedingungen und einen besseren Schutz für Verbraucher auf digitalen Märkten zu gewährleisten.
  • Verbände und Organisationen: Der DMA erleichtert Verbänden und Organisationen Klagen gegen Gatekeeper, um deren Verhalten zu überprüfen und faire Bedingungen sicherzustellen.
  • EU-Kommission und nationale Kartellbehörden: Die EU-Kommission und nationale Kartellbehörden spielen eine wichtige Rolle bei der Durchsetzung und Überwachung der Bestimmungen des DMA.

Fazit

Die Digitalisierung prägt unsere Arbeitsweise, Kommunikation und Konsumgewohnheiten grundlegend. Die EU-Gesetze Digital Markets Act (DMA), Digital Services Act (DSA) und das deutsche Digitale Dienste Gesetz (DDG) sind essenzielle Instrumente, um einen fairen, transparenten und sicheren digitalen Raum zu schaffen. Sie setzen klare Regeln für digitale Dienstanbieter und bieten Verbrauchern Schutz und Rechtssicherheit. Die effektive Umsetzung und Durchsetzung dieser Gesetze ist entscheidend, um das Vertrauen der Verbraucher in die digitale Wirtschaft zu stärken und eine nachhaltige digitale Zukunft zu gewährleisten.

Die Evaluierung des DSA bis Anfang 2027 wird sicherstellen, dass die Verordnung ihre Ziele erfüllt und bei Bedarf Anpassungen vorgenommen werden können. Insgesamt markieren der DSA und der DMA wichtige Schritte zur Regulierung digitaler Dienste, fördern ein ausgewogenes Verhältnis zwischen Innovation, Wettbewerb und Verbraucherschutz und legen die Grundlagen für eine florierende digitale Wirtschaft in Europa.

Die EU reagiert mit diesen Maßnahmen auf die Herausforderungen der Digitalisierung und etabliert klare Regeln für die digitale Wirtschaft. Kontinuierliche Evaluation und Anpassungen sind erforderlich, um mit den sich ständig wandelnden Technologien und Bedürfnissen Schritt zu halten.

 

Foto: istockphoto.com/the-lightwriter

/von

ESMA-Richtlinien für Cloud First-Strategien: Schlüsselkriterien für auslagernde Unternehmen

In einer Zeit, in der die Digitalisierung den Finanzsektor grundlegend transformiert, spielen Cloud First-Strategien eine immer größere Rolle. Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat im Mai 2021 Leitlinien veröffentlicht, die die Anwendung von Cloud-Diensten im Finanzsektor regeln. Insbesondere die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat wendet diese Leitlinien an und schafft damit einen klaren Rahmen für Unternehmen im Bereich der Auslagerung an Cloud-Anbieter. Dieser Beitrag betrachtet die Hintergründe sowie die wesentlichsten Kriterien, die Unternehmen beachten sollten.

Hintergrund: ESMA-Leitlinien und BaFin-Ankündigung

Die BaFin kündigte am 29. Juni 2021 an, die ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter anzuwenden. Diese Leitlinien wurden im Mai 2021 veröffentlicht und gelten seit dem 31. Juli 2021. Die BaFin setzt damit klare Signale für die Ausrichtung der eigenen Verwaltungspraxis im Finanzsektor.

Die Leitlinien der ESMA bieten Orientierung für nationale Aufsichtsbehörden und verschiedene Marktteilnehmer im Finanzsektor, darunter Verwalter alternativer Investmentfonds (AIFM), Wertpapierfirmen, Kreditinstitute und mehr. Diese sind dazu aufgerufen, die Leitlinien bei der Nutzung von Cloud-Diensten zu beachten und umzusetzen.

Anwendungsbereich der ESMA-Leitlinien

Die ESMA-Leitlinien richten sich an eine breite Palette von Marktteilnehmern im Finanzsektor. Dazu gehören Verwalter alternativer Investmentfonds, Organisationen für gemeinsame Anlagen in Wertpapieren, Zentralverwahrer, Ratingagenturen und weitere. Die Leitlinien bieten eine klare Struktur, die sicherstellen soll, dass die Auslagerung an Cloud-Anbieter den höchsten Sicherheits- und Compliance-Standards entspricht.

Wesentliche Kriterien gemäß ESMA-Leitlinien

1. Governance, Kontrolle und Dokumentation:

Eine klare Governance-Struktur ist entscheidend, um die Kontrolle über ausgelagerte Funktionen zu gewährleisten. Die ESMA-Leitlinien legen Wert auf eine definierte Verantwortlichkeitsstruktur und detaillierte Dokumentation, um Transparenz und Nachvollziehbarkeit sicherzustellen.

2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung:

Vor Abschluss einer Auslagerungsvereinbarung müssen Unternehmen eine gründliche Risikoanalyse durchführen. Dies betrifft besonders Vereinbarungen mit einem Cloud-Anbieter, die als kritisch oder wesentlich eingestuft werden. Eine sorgfältige Due-Diligence-Prüfung des Cloud-Anbieters, einschließlich der Identifikation möglicher Interessenkonflikte, ist unerlässlich.

3. Zentrale Bestandteile des Vertrags:

Die Auslagerungsvereinbarung muss klare Bestandteile umfassen, einschließlich der Rechte und Pflichten beider Vertragsparteien. Ein solider Vertrag bildet die Grundlage für eine sichere und effektive Zusammenarbeit mit dem Cloud-Anbieter.

Erweiterung durch BaFin-Ankündigung: ESMA-Leitlinien in der Praxis

Die Ankündigung der BaFin, die ESMA-Leitlinien anzuwenden, spiegelt sich in der Verwaltungspraxis wider. Diese Leitlinien orientieren sich stark an bestehenden Mindestanforderungen an das Risikomanagement (MaRisk) und den bankaufsichtlichen Anforderungen an die IT (BAIT). Die ESMA-Leitlinien erweitern jedoch diese Standards um spezifische Regelungen, die auf Cloud-Anbieter zugeschnitten sind.

Handlungsbedarf für Unternehmen

Angesichts der Ankündigung der BaFin sollten Unternehmen im Finanzsektor handeln. Hier sind einige Schritte, die unternommen werden sollten:

  1. Prüfung der Anwendbarkeit:

Unternehmen sollten prüfen, ob die ESMA-Leitlinien auf sie anwendbar sind.

  1. Überprüfung bestehender Regelungen:

Interne Regelungen, Strategien und Auslagerungsvereinbarungen sollten auf Anpassungsbedarf überprüft werden.

iAP – Ihr Experte für sichere Cloud-Nutzung im Finanzsektor

Als erfahrener Berater im Finanzsektor unterstützt iAP Banken im Bereich Identity and Access Management (IAM) sowie im Bereich Internes Kontrollsystem (IKS) unter Einhaltung aller regulatorischen Anforderungen (BaFin, ESMA, EZB, EBA). Unsere Expertise ermöglicht es Unternehmen, nicht nur die ESMA-Leitlinien umzusetzen, sondern auch die Sicherheit und Compliance in der Cloud-Nutzung zu optimieren.

Fazit: Cloud-First mit Sicherheit und Compliance

Die ESMA-Leitlinien bieten einen klaren Rahmen für Unternehmen im Finanzsektor, die auf Cloud-First-Strategien setzen. Durch die Betrachtung der wesentlichsten Kriterien, die Leitlinien der BaFin und die Expertise von iAP wird deutlich, dass Sicherheit und Compliance im Fokus stehen. Unternehmen, die proaktiv handeln, können nicht nur regulatorischen Standards gerecht werden, sondern gestalten auch eine sichere und zukunftsfähige Cloud-Nutzung.

 

Foto: istockphoto/mixdabass

/von

Die Neufassung des Anwendungserlasses zu §146a AO tritt ab 01.01.2024 in Kraft: Ein umfassender Blick auf GOBD und elektronische Kassensysteme

Mit der Einführung des „Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen“ wurde § 146a AO geschaffen, um die Integrität digitaler Aufzeichnungen sicherzustellen. Die Finanzverwaltung hat daraufhin den Anwendungserlass zu § 146a AO einer umfassenden Überarbeitung unterzogen, die ab dem 1. Januar 2024 in Kraft tritt. Das entsprechende Schreiben des Bundesministeriums der Finanzen vom 30. Juni 2023 mit dem Aktenzeichen IV D 2 – S 0316-a/20/10003 :006 gibt detaillierte Erläuterungen zu verschiedenen Aspekten, darunter Allgemeines und Begriffsdefinitionen, Kassen und Kassensysteme, EU-Taxameter und Wegstreckenzähler.

Erläuterungen zu Allgemeinem und Begriffsdefinitionen

Die Neufassung des Anwendungserlasses enthält eine umfassende Klarstellung von Begrifflichkeiten und allgemeinen Prinzipien. Insbesondere wird der Fokus auf elektronische Kassensysteme gelegt, die gemäß § 146a Abs. 1 AO der Verpflichtung zur ordnungsgemäßen Aufzeichnung unterliegen. Hierbei werden grundlegende Definitionen und Anwendungsbereiche festgelegt, um eine einheitliche Auslegung zu gewährleisten.

EU-Taxameter: Anforderungen und Integration

Die Neufassung des Anwendungserlasses geht auch auf die Besonderheiten von EU-Taxametern ein. Bei Fahrten, bei denen die Wegstreckenmessung relevant ist, müssen entsprechende Transaktionen in der TSE erfasst werden. Der Prozess umfasst das Starten und Beenden von Transaktionen, wobei verschiedene Vorgänge wie das Einschalten des Taxameters, Fahreranmeldungen, Pausen und das Ausschalten des Taxameters spezifische Schritte erfordern. Der Belegdruck mit relevanten Daten, einschließlich Preisdaten einer Fahrt und Transaktionsnummern, wird ebenfalls ausführlich erläutert.

Wegstreckenzähler: Protokollierung und Anforderungen

Für Wegstreckenzähler definiert die Neufassung klare Protokollierungsanforderungen und Abläufe. Der Einsatz einer TSE im Wegstreckenzähler erfordert die Aufzeichnung von Anwendungsdaten und Protokolldaten. Verschiedene Betriebseinstellungen wie „Frei“, „Besetzt“ und „Kasse“ haben unterschiedliche Anforderungen an die Datenübermittlung. Die Absicherung von Vorgängen wie dem Einschalten des Wegstreckenzählers, der Betriebseinstellung „Frei“, Fahrtbelegen und anderen Vorgängen wird detailliert beschrieben.

Verschiebung der Mitteilungspflicht nach § 146a Abs. 4 AO

Ein bedeutender Schritt in Richtung Digitalisierung ist die Mitteilungspflicht nach § 146a Abs. 4 AO, die vorsieht, dass TSE-Kassen dem Finanzamt gemeldet werden müssen. In der aktuellen Überarbeitung des Anwendungserlasses wird jedoch klargestellt, dass die Mitteilungspflicht bis zum Einsatz einer elektronischen Übermittlungsmöglichkeit ausgesetzt ist. Das Bundessteuerblatt Teil I wird voraussichtlich im Jahr 2024 den Zeitpunkt des Einsatzes bekannt geben. Erst nach dieser Bekanntgabe wird die Mitteilungsverpflichtung wirksam, was den Unternehmen mehr Zeit gibt, sich auf die Umstellung vorzubereiten.
Die Finanzverwaltung rechtfertigt diese Verzögerung mit dem Ziel, den Unternehmen genügend Zeit zu geben, sich auf die technischen Anforderungen vorzubereiten und einen reibungslosen Übergang zu ermöglichen. Diese Entscheidung unterstreicht die praxisorientierte Ausrichtung der Finanzverwaltung und ihre Bereitschaft, den steuerpflichtigen Unternehmen im Transformationsprozess entgegenzukommen.

Einhaltung steuerlicher Grundsätze

Ein wichtiger Aspekt, der im Anwendungserlass betont wird, ist die Verbindung zur „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBD). Elektronische Kassensysteme müssen nicht nur den steuerlichen Anforderungen des § 146a AO entsprechen, sondern auch den allgemeinen Grundsätzen ordnungsmäßiger Buchführung.

Fazit: Die Herausforderungen und Chancen der Neufassung

Die Aktualisierung des Anwendungserlasses zu § 146a AO führt zu umfassenden Klarstellungen und Anpassungen, wobei der Fokus auf elektronischen Kassensystemen, EU-Taxametern und Wegstreckenzählern liegt. Die Verschiebung der Mitteilungspflicht gewährt Unternehmen zusätzliche Zeit, sich auf die bevorstehenden Veränderungen vorzubereiten. Diese Neufassung unterstreicht deutlich den konsequenten Weg der Finanzverwaltung in Richtung Digitalisierung und hebt die Bedeutung der ordnungsgemäßen Buchführung in der modernen Geschäftswelt hervor. Es ist unerlässlich, dass Unternehmen sich frühzeitig mit den Neuerungen vertraut machen und ihre Systeme entsprechend anpassen.
Die Neufassung des Anwendungserlasses zu § 146a AO bringt Unternehmen vor neue Herausforderungen. Mit dem richtigen Partner wie iAP können diese jedoch in Chancen für eine effiziente, rechtssichere und transparente Buchführung umgewandelt werden. iAP steht Ihnen zur Seite, um Ihre GoBD-Konformität zu gewährleisten und steuerliche Risiken zu minimieren. Vertrauen Sie auf iAP als Ihren verlässlichen Partner für die erfolgreiche Umsetzung der aktuellen gesetzlichen Anforderungen.

Foto: istockphoto.com/Cameris

/von