Die Europäischen Kommission hat zur Gestaltung der digitalen Zukunft Europas eine Vielzahl gesetzlicher Regelungen vorbereitet und erlassen, die den rechtlichen Rahmen des digitalen Wandels bilden. Sie werden weitreichende Auswirkungen auf den unternehmerischen Alltag haben. Als Auftakt unserer Serie ´Digitale Transformation´ möchten wir Ihnen einen Überblick über die wichtigsten Neuerungen geben und in den kommenden Wochen dann jeweils detailliertere Informationen zu den einzelnen Themen zur Verfügung stellen. Sprechen Sie uns gerne an.

Europäische Datenverordnung (Data Act)

Am 11. Januar 2024 ist der Data Act erlassen worden, der im September 2025 in Kraft treten wird.

Die neuen Vorschriften begründen das Recht auf Zugang zu Industriedaten und regeln deren Nutzung und Austausch. Hersteller von vernetzten Produkten (´Internet of Things´ z.B. Maschinen, Sensoren, Bauteile, Haushaltsgeräte oder Fahrzeuge) werden verpflichtet, hierüber gewonnene Daten mit Nutzern (Unternehmen oder Verbraucher), Behörden und auch dritten Unternehmen zu teilen (Data Sharing). Von den Regelungen betroffen sind sowohl die Hersteller und Dateninhaber als auch Nutzer von vernetzen Geräten sowie Anbieter von Datenverarbeitungsdiensten.

Vernetzte Produkte müssen anhand der Vorgaben aus dem Data Act gestaltet werden („Access by Design“). Das Gesetz verlangt von den Dateninhabern zudem, dass sie die Daten kontinuierlich zugänglich machen. Das wird weitreichende Auswirkungen auf sensible Daten und Geschäftsgeheimnisse von Unternehmen haben, die ausreichend geschützt werden müssen.  Umgekehrt kann der Zugang zu Daten Dritter einen Anreiz für datengetriebene Innovationen bieten.
Zudem sind Datenlizenzverträge mit allen Nutzern vorgeschrieben, um zukünftig die generierten Daten nutzen zu können. Dateninhabern steht es also zukünftig nicht mehr frei, die Daten unbeschränkt zu nutzen und zu teilen.

Die komplexen vertraglichen und technischen Vorgaben sollten Sie so früh wie möglich vorbereiten und umsetzen. Am besten jetzt schon!

Europäische Verordnung über künstliche Intelligenz (AI Act)

Die Nutzungsmöglichkeiten von künstlicher Intelligenz („KI“) nehmen laufend zu und führen zu gravierenden Änderungen des Arbeitsalltags. Die EU-Kommission hat eine Regulatorik entwickelt, die eine Nutzung von KI ermöglichen, aber ihr gleichzeitig Grenzen setzt. Die Verordnung soll – nach aktuellem Stand – Mitte 2024 in Kraft treten. Nach einer Übergangsfrist von 24 Monaten wäre sie dann europaweit geltendes Recht. Betroffen sind alle Hersteller und Anwender von KI (Bild-, Sprach- und Texterkennung, HR-Systeme, Smart Home, autonomes Fahren, industrielle Anwendungen, vernetzte Geräte).  

Die Verordnung unterscheidet bei KI-Anwendungen zwischen vier Risikoklassen.  
Für jede Risikoklasse gibt es eigene Regeln, die bis hin zu einem Verbot der Nutzung gehen. Vorgesehen sind in jedem Fall ein verpflichtendes Qualitäts- und Risikomanagementsystem sowie detaillierte Transparenzpflichten. Eine Datenschutzfolgenabschätzung dürfte ebenfalls Pflicht werden. Sowohl Hersteller als auch Anwender von KI-Systemen sollten sich frühzeitig mit den gesetzlichen Vorgaben auseinandersetzen und sowohl intern (integrierte Unternehmensrichtlinie, Betriebsvereinbarung) als auch extern (Klassifizierung und Dokumentation) vorbereiten. Unsere Empfehlung ist, sich schon jetzt mit der KI-Verordnung zu beschäftigen, um den aktuellen Einsatz von digitalen Systemen an den neuen Vorschriften ausrichten zu können.

Gleichzeitig wird ein neues Europäisches Amt für KI (AI Office) eingerichtet, das die Durchsetzung der neuen Vorschriften für KI-Modelle überwachen wird. Wie die DS-GVO sieht auch die KI-Verordnung drakonische Strafen im Falle einer Verletzung vor.

Gesetz über digitale Dienste (Digital Services Act)

Die Verordnung über digitale Dienste soll einen sichereren digitalen Raum für Nutzer von Online-Diensten schaffen und bezweckt insbesondere die Bekämpfung rechtswidriger Inhalte. Der Digital Services Act ist bereits in Kraft getreten und findet seit Februar 2024 für Anbieter digitaler Dienstleistungen Anwendung.

Online-Vermittler und -Plattformen, wie etwa Online-Marktplätze, soziale Netzwerke, App-Stores und Online-Reise-Plattformen sind verpflichtet, illegale Inhalte aufzudecken, zu kennzeichnen und zu entfernen.

Gesetz über digitale Märkte (Digital Markets Act)

Die bereits am 1. November 2022 in Kraft getretene Verordnung über digitale Märkte soll sicherstellen, dass der Zugang zu und die Bedingungen auf digitalen Märkten fair und zu gleichen Bedingungen erfolgt und Unternehmen, die den Marktzugang kontrollieren (´Gatekeeper´ z.B. Google, Apple, Microsoft, Meta) ihre Position nicht zur Benachteiligung Dritter nutzen.

Datenschutzgrundverordnung (DS-GVO)

Viele Unternehmen haben die Anforderungen der 2018 in Kraft getretene DS-GVO mittlerweile umgesetzt und in den Unternehmensalltag integriert. Vor dem Hintergrund der neuen EU-Gesetze, verschiedenen Beschlüssen der EU Kommission und neuen Urteilen ist die Überprüfung und Revision der internen Prozesse zu empfehlen. Die DS-GVO wird weiterhin eine wichtige Rolle bei der Digitalisierung spielen. Gut, wenn bereits jetzt die Vorgaben umgesetzt sind.

Verordnung über Cybersicherheit (Cyber Resilience Act)

Der Vorschlag der EU Kommission für eine Verordnung über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen soll die Sicherheit von Produkten gewährleisten, die miteinander oder mit dem Internet verbunden werden können („Security by Design“) und beinhaltet zahlreiche Pflichten von Herstellern und Importeuren. Nach derzeitigem Stand soll das Gesetz 2024 erlassen werden und nach einer Übergangsfrist von 36 Monaten in Kraft treten.

FRANKFURT – Am 22. Februar 2024 haben die Vertreter des Rates und des Europäischen Parlaments beschlossen, dass der Sitz der künftigen europäischen Behörde zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (Anti-Money Laundering Authority, „AMLA“) in Frankfurt am Main sein wird.

Die AMLA , eine neue EU-weite Behörde mit Zuständigkeiten rund um  die Einhaltung von Geldwäschevorschriften und Überwachung von Finanzsanktionen,  wird die Art und Weise der Durchsetzung der Geldwäsche- und Sanktionsgesetze innerhalb der EU erheblich verändern. Unternehmen sollten daher jetzt eine Überprüfung der bestehenden Richtlinien und Prozesse im Bereich der Geldwäscheprävention vornehmen.

1.Einleitung und Gegenstand

Die Anti-Money Laundering Authority, auf deren Errichtung sich das Europäische Parlament und der Europäische Rat am 13. Dezember 2023 geeinigt haben, wird voraussichtlich Mitte des Jahres 2025 in Frankfurt am Main ihre Tätigkeit aufnehmen. Ihre wesentlichen Aufgaben werden die folgenden sein:

(1) Direkte Aufsicht über die Einhaltung der Vorschriften zur Geldwäscheprävention für bestimmte europäische Banken und andere Finanzdienstleister mit hohem Risiko, einschließlich Krypto-Asset-Dienstleister.
(2) Sicherstellung der Einhaltung von Finanzsanktionen.
(3) Indirekte Beaufsichtigung anderer verpflichteter Einrichtungen. Während diese Unternehmen in erster Linie von den nationalen Regulierungsbehörden beaufsichtigt werden, wird die AMLA bei Streitigkeiten zwischen den nationalen Aufsichtsbehörden vermitteln und kann unter außergewöhnlichen Umständen die Aufsicht übernehmen.
(4) Koordinierung der Bemühungen der Mitgliedstaaten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung im Nicht-Finanzsektor.

Die AMLA wird bestimmte europäische Banken sowie  andere Finanzdienstleister, die grenzüberschreitend tätig sind oder als „hochriskant“ gelten, direkt beaufsichtigen. Insgesamt werden in Deutschland dabei bis zu 40 Organisationen in das erste Auswahlverfahren einbezogen- europaweit sollen das rund 200 Unternehmen sein. Diese direkte Beaufsichtigung wird von gemeinsamen Aufsichtsteams (Joint Supervisory Teams) unter der Leitung der AMLA durchgeführt, die Bewertungen und auch Inspektionen vornehmen werden. Die Liste der Unternehmen, die zur Überwachung respektive Überprüfung vorgesehen sind, wird alle drei Jahre überprüft.

Im Rahmen der direkten Aufsichtsbefugnisse der AMLA wird diese entsprechend sicherstellen, dass diese ausgewählten verpflichteten Unternehmen über geeignete interne Strategien und Verfahren verfügen, um die Umsetzung gezielter Finanzsanktionen, wie z.B. das Einfrieren von Vermögenswerten und die Beschlagnahme von Vermögenswerten, gewährleisten zu können.

Die AMLA wird auch über bestimmte Durchsetzungsbefugnisse verfügen. Bei schwerwiegenden, systematischen oder wiederholten Verstößen gegen direkt geltende Anforderungen wird die AMLA in der Lage sein, finanzielle Sanktionen gegen die ausgewählten Verpflichteten zu verhängen.

Für Verpflichtete im Finanzsektor, die nicht als „ausgewählte Verpflichtete“ benannt sind, wird die Geldwäsche-Aufsicht hauptsächlich unverändert auf nationaler Ebene bestehen bleiben.

In Bezug auf den Nicht-Finanzsektor wird die AMLA unterstützend tätig, indem sie Überprüfungen durchführt und mögliche Verstöße bei der Anwendung der Vorschriften zur Geldwäscheprävention untersucht. Dabei wird sie in der Lage sein, nicht bindende Empfehlungen auszusprechen.

Die AMLA wird auch die nationalen Finanzermittlungsstellen koordinieren, die mutmaßliche Verstöße gegen die Geldwäschebestimmungen untersuchen. Die AMLA wird bei Streitigkeiten zwischen den nationalen Aufsichtsbehörden vermitteln und diese auch schlichten außerdem  kann sie unter außergewöhnlichen Umständen oder bei bestimmten Verstößen gegen das EU-Recht die Aufsicht über ein Finanzunternehmen übernehmen.

2. Vorgehen der Aufsicht bis zur Aufnahme der Tätigkeit durch die AMLA

Schon bevor klar gewesen ist, dass die AMLA nach Frankfurt kommt, haben wir einen stark erhöhten Prüfungsschwerpunkt der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Bereich Geldwäscheprävention bei unseren Mandanten verzeichnen können. In ihrem Bericht „Risiken im Fokus für das Jahr 2024“ betont die BaFin, dass sie das Risiko, der über 8.700 in Deutschland nach dem Geldwäschegesetz (GWG) Verpflichteten, für Zwecke der Geldwäsche, Terrorismusfinanzierung oder sonstigen Finanzstraftaten missbraucht zu werden, in Deutschland nach wie vor als „hoch“ einstuft.

So sind im Jahr 2022 insgesamt 337.186 Geldwäscheverdachtsmeldungen bei dem Financial Intelligence Unit (FIU) eingegangen. Davon stammen insgesamt 326.123 aus dem Finanzsektor von Finanzmarktteilnehmern wie beispielsweise Kredit- und Finanzdienstleistungsinstituten.[1]

---

[1] Quelle: Risiken im Fokus der BaFin 2024

Besonders zum Geldwäscherisiko tragen hierbei internationale Finanztransaktionen wie beispielsweise im Exportbereich bei. Auch schnell wachsende Unternehmen sind besonderen Geldwäscherisiken ausgesetzt. Nicht zuletzt eröffnen Krypto-Werte noch nie dagewesene Missbrauchsmöglichkeiten für kriminelle Aktivitäten.

Auch die immer wieder versendeten Ermahnungen der BaFin zu Versäumnissen einiger Institute im Bereich Geldwäscheprävention bis hin von empfindlichen Bußgeldern (zuletzt 6,5 Mio. Euro) nehmen sowohl in ihrer Schlagzahl als auch in ihrer Härte deutlich zu.

Dabei ist auffällig, dass der Markt nach wie vor zurückhaltend ist, in den Bereich Geldwäscheprävention zu investieren und die erforderlichen Projekte und Maßnahmen einzuleiten.

3. Unmittelbare Empfehlungen

Vor diesem Hintergrund empfehlen wir dringend, Ihre bestehenden Richtlinien und Prozesse im Bereich Geldwäscheprävention einer genauen Überprüfung zu unterziehen. Wir haben die Erfahrung gemacht, dass hier nicht unerhebliche Verbesserungspotentiale liegen, um Sanktionen der BaFin zu verhindern, dabei gleichzeitig interne Prozesse zu verschlanken und somit in ihrer Effizienz zu steigern.

Nach Auffassung der BaFin sind einige Geschäftsmodelle, etwa Payment Agents, Third-Party-Acquiring, White Labeling, Loan Fronting und der Handel mit Krypto-Werten besonders anfällig. Sollten Sie in diesen Bereichen tätig sein und in den letzten Jahren keine Sonderprüfung durch die BaFin unterzogen worden sein, ist diese Empfehlung umso dringlicher.

Sprechen Sie uns gerne an! Wir sind nicht nur sehr erfahren darin, Ihre bestehenden Richtlinien und Prozesse auf den Prüfstand zu stellen, Verbesserungspotenzial aufzudecken und umzusetzen, sondern begleiten Sie auch gerne bei Projekten oder der Begleitung von (Sonder)prüfungen durch die Aufsicht. Auch als ausgelagerte Geldwäschebeauftragte können wir für Sie tätig werden.

4. Ausblick

Es herrscht derzeit noch eine gewisse Unsicherheit darüber, ob die Europäische Staatsanwaltschaft, eine „Ad-hoc-Sanktionsbehörde“ oder die AMLA eine Rolle bei der Durchsetzung von Sanktionen bei Verstößen gegen Vorschriften in der Geldwäscheprävention oder gegen verhängte Sanktionen erhalten soll. Während die Mitglieder des Europäischen Parlaments wiederholt auf „substanzielle Entwicklungen“ bei der Durchsetzung von Sanktionen gedrängt haben, haben sich die Europäische Kommission und die Mitgliedstaaten im Allgemeinen gegen jede ernsthafte Änderung gewehrt. Insbesondere waren die Mitgliedstaaten darin bestrebt, die Durchsetzung von Sanktionen vollständig in ihrem Zuständigkeitsbereich zu belassen.

Obwohl die AMLA ihre Arbeit erst aufnehmen wird, wenn alle politischen Fragen geklärt sind, muss sich die Branche schon heute über die bevorstehenden Änderungen bei der Überwachung und Durchsetzung von Geldwäsche und Finanzsanktionen im Klaren sein und sich entsprechend darauf vorbereiten.

Due to the holiday season and the legislative dumping at the end of the year, the important new milestone in the ESG field did not receive much publicity, even though Act CVIII of 2023, the ESG Act, which is the first comprehensive Hungarian regulation in the field, entered into force as of January 1, 2024. The field, which until now has mostly been covered by EU sources of law and in one Hungarian law, has finally ceased to be a stepchild and has been given the first comprehensive and unified law, which the legislator himself named the ESG Act.

What is ESG?

ESG has been a hot topic for years, but in the beginning, it is worth noting that ESG is an acronym that contains the initials of three areas: environmental, social and governance.

These are the aspects that have so far been fragmented and mostly imposed on the largest companies in EU legislation (e.g. the Taxonomy Regulation, the CSRD Directive) and in domestic legislation (e.g. the Accounting Act, Act LXVII of 2019), so that they take into account these aspects and sustainability issues in their operations and investments.

Until now, there has been no single Hungarian ESG regulation, but the duties and obligations of the companies concerned had to be selected from the EU and national legal sources that entered into force at different times – emphasises Dr. Péter Weidinger, LL.M., partner of act Bán & Partners.

Scope of the ESG Act

The new single regulation, which is called Act No CVIII of 2023 on the rules of corporate social responsibility, taking into account environmental, social and societal aspects, and amending other related acts, in order to promote sustainable financing and unified corporate responsibility, is therefore a step forward from a regulatory and enforcement perspective. This is particularly true if we consider that the ESG Act contains rules applicable not only to the companies concerned but also to the public regulators/authorities and to the ESG market players.

The ESG Act applies mainly to large companies with a balance sheet total of more than HUF 10 000 million, an annual net turnover of more than HUF 20 000 million and more than 250 or 500 employees. According to the ESG Act, at least two of the previous annual figures of a large enterprise must exceed the above thresholds set out in the Act in order to be covered by the Act.

Small and medium-sized enterprises that qualify as a public interest entity are also subject to the law, regardless of the above thresholds, i.e. not only giant companies should get acquainted with the new ESG Act, calls the attention Dr. Péter Weidinger, LL.M., expert at act Bán & Partners. Such a public interest SME is a company whose transferable securities are admitted to trading on a regulated market in a state of the European Economic Area. In other words, Hungarian-based companies listed on an EEA stock exchange already fall into this category and are subject to the new rules.

However, due to its comprehensive nature, the scope of the Act extends not only to these companies, but also to service providers in the ESG market, i.e. ESG certifiers, ESG qualifiers, but also companies producing and distributing ESG softwares.

Obligations of the companies

The law has created a number of obligations for companies subject to the ESG Act, the breach of which can result in fines of up to millions of forints. However, the good news for the companies concerned is that not all of these obligations will be required from 2024 and fines for non-compliance with ESG reporting obligations will only be imposed from January 1, 2026.

The most important obligation for companies, which is reflected in principle in the ESG Act, is to assess and manage the social and environmental impacts of their operations and to prevent, minimise or eliminate social or environmental risks.

The most tangible obligation is that the companies concerned will be required to prepare and publish ESG reports on an annual basis (in ascending system). The first stakeholder group will have to prepare ESG reports for the first time in 2025 for the financial year 2024 and the last stakeholder group will have to prepare it in 2027 for the financial year 2026. The ESG report should be made publicly available free of charge on the company’s website and should include, among other things, a description of the company’s sustainability due diligence process, the social responsibility and environmental risks identified by the company, or the measures taken by the company and the company’s objectives.

Other obligations include setting up a risk management system, carrying out regular risk analyses, or reporting ESG data. It is important to underline that it is not enough for companies to look in-house, but that they also need to look at the whole supply chain, as well as the activities of direct suppliers and subsidiaries. This can ultimately lead to a company being obliged to suspend or, in the worst case, terminate its business relationship with a direct supplier that persistently breaches its environmental obligations, emphasises Dr. Péter Weidinger, LL.M., partner at act Bán & Partners.

It is worth pointing out that companies should also ensure that they have an internal or external complaints system in place to enable anyone to report the company’s social responsibility (“CSR”) and environmental risks and breaches of CSR or environmental obligations arising from the economic activities of the company, its subsidiaries or its direct suppliers. It is important to note that a company may also use its internal whistleblowing system, established under the Hungarian Whistleblowing Act transposing the EU Whistleblowing Directive, as such a complaint handling forum.

State actors

The ESG Act also regulates the role of the state in ESG. The Minister responsible for this area will be the Minister responsible for economic development, who will establish and operate the National ESG Council. The members of the Council will be delegates from several ministries and economic actors (e.g. the Hungarian Chamber of Commerce and Industry), while the Council will be chaired by the Minister.

The tasks of the authority will be carried out by the Authority for the Supervision of Regulated Activities (“SZTFH”). This is the authority that, among other things, supervises gambling, tobacco and bailiffs and liquidators. It will also maintain the records required by law, e.g. on ESG reporting companies, ESG certifiers and ESG qualifiers.

The SZTFH has also been given strong powers of control and sanction, as it has the right to enter the premises, buildings and other facilities of the company during its inspections, and can also inspect and make copies of documents. And anyone who obstructs the inspections of the SZTFH can face fines of up to millions of forints.

SZTFH will also be the operator of the electronic platform for the preparation and submission of the ESG report, the ESG management platform.

Additional rules

The attention of practitioners should also be drawn to the changes of the Accounting Act and the Auditing Act, which also entered into force as of January 1, 2024. Of particular importance is the new chapter of the Accounting Act on Sustainability Reporting, which will also become an indispensable point of Hungarian ESG regulation.

Since the ESG Act is a framework regulation, the specific details will be laid down in government decrees, ministerial orders and decrees of the President of the SZTFH. These will therefore complete the Hungarian ESG regulation, but in the meantime it is worthwhile for affected companies to prepare for ESG-compliant operation and implementation of the ESG Act rules, concludes Dr. Péter Weidinger, LL.M., partner of act Bán & Partners.

Today, more and more companies are trying to convince consumers with the pretence of a sustainable future and environmental awareness. However, in many cases, there is no real responsibility behind such marketing activities, which are simply intended as an effective advertising ploy to make green claims.

The Hungarian Competition Authority (“GVH”) has analysed the impact of green marketing claims on consumers’ purchasing behaviour in several studies. The market analysis has shown that consumers’ behaviour is strongly influenced by green claims on the packaging, which have an impact on purchase intentions, despite the fact that consumers are often unaware of the exact meaning of the green claims. Businesses should be vigilant about the materials they use to promote sustainability, as misleading advertising or information can easily be considered unlawful. In response to this problem, the GVH has issued recommendations to businesses to ensure that green washing is discouraged and that consumers receive truthful information about a product or service – emphasises Dr. Lili Horváth, expert at act Bán & Partners.

Information on products and services

According to the GVH, a common problem with product labelling is that consumers do not understand why a product is considered environmentally friendly. Generalised, vague claims are common, such as “environmentally friendly product”, “renewable packaging” or “environmentally responsible choice”. Such claims do not make it clear to the consumer what criteria or characteristics qualify a product as “green”.

The GVH advises businesses to be clear and specific. It must be clear which aspect of the product the claim refers to, whether it is about the product itself, the packaging or perhaps its manufacture or the delivery. Clarity also means that the language used must be understandable to the average consumer, because without clear information the consumer cannot make an informed decision. Nor should a business use claims that hide the real impact of a product or service on the environment by highlighting a single characteristic. It is a common practice for companies to highlight the positive environmental impact of the product packaging without mentioning that it is negligible in relation to the environmental damage caused by the production and processing of the materials.

A business should only make claims that are true, accurate and easy to verify. Practices where information is not available to consumers in Hungarian are highly objectionable, as is the practice where the information can only be found after significant research and multiple click troughs.

It is considered bad practice for a company to emphasise legal compliance as a distinguishing advantage over identical or similar products of other companies, when it is required for all products by manufacturers in the sector. Marketing materials that highlight environmental performance relative to the company’s past performance can also be misleading, because if a company has not paid attention to this, achieving a significant improvement is not a real challenge for the company.

Comparative advertising

In the field of comparative advertising, the GVH considers it fundamental that the claims are objective, relevant and verifiable. Vague and intangible statements should be avoided, and clear, concrete and quantified claims should be made; for example, it is worth expressing in percentage how much less harmful substances a company uses than an another company producing a comparable product. It should be borne in mind that a company claiming to be the “greenest” or “most environmentally friendly” is also a comparative claim. The company must be able to prove the veracity of the claim in relation to all relevant products on the market for the entire period of the advertisement.

What do the certification labels certify?

In particular, the GVH also highlighted the importance of ensuring that the qualities certified by the certification labels on the product can be easily checked by consumers and that the advertising message communicated through the label does not go beyond what the label actually certifies.

Environmentally conscious promises

Companies should also be wary of making brand-building statements about their future activities. The companies should only make commitments that they are able to deliver in the foreseeable future, that are realistic and that consumers can follow. It is not advisable to make commitments that the company is already delivering, as this does not represent a real change, requires no effort and misleads the consumers.

Businesses need to be aware that not only specific environmental or sustainability claims can be considered green marketing, but also implicit signals such as the green colour, the visual placement of flowers or a globe, or even specific sound effects. Companies need to be aware of the overall effect, and should not imply that a product is environmentally friendly, even by implicit signals, if it is not, concludes Dr. Lili Horváth, expert at act Bán & Partners.

Thanks to the partnership collaboration of act legal offices from Poland and the Czechia that provided legal services during the procurement procedure and negotiations, Doosan Škoda Power s.r.o. struck an EPC agreement with Orlen S.A. for modernization of TG-4 and TG-5 turbine generator sets of 55 MW each at Orlen’s combined heat and power plant in Płock, as well as a long-term service agreement (LTSA).

Interdisciplinary team of lawyers engaged in the project included:

• Mgr. Jakub Adamek – Senior Lawyer/ act legal Czechia,
• Mgr. Jan Havel – Partner/ act legal Czechia,
• Marek Wojnar – Managing Partner, attorney-at-law/ act legal Poland,
• Piotr Giżyński – Senior Lawyer, attorney-at-law/ act legal Poland.

The total value of the project exceeds EUR 125 million (PLN 540 million).

Doosan Škoda Power s.r.o. is a manufacturer and supplier of turbine generator sets which ensure maximum efficiency, strength and reliability in the power generation sector.

The PKN Orlen’s combined heat and power plant in Płock is the biggest industrial CHP plant in Poland and one of the largest in Europe in terms of thermal capacity; it produces heat and electrical power in high-efficiency cogeneration process. It is also a major supplier of heat contained in steam and heating water, as well as electricity, used for production facilities and external customers, including the city of Płock.

The new project will contribute to increased energy efficiency of the CHP plant in Płock.

The project completion is planned for mid- 2029.

Mit dem Geschäftsjahr 2024 beginnt für alle bereits unter der Non Financial Reporting Directive (NFRD) erfassten Unternehmen die neue Berichtspflicht unter der Corporate Sustainability Reporting Directive (CSRD). Der Bericht ist erstmals im Jahr 2025 für das Jahr 2024 abzugeben, für zahlreiche weitere Unternehmen beginnen die Berichtspflichten zwischen den Jahren 2025 und 2028.

I. Einleitung

Die Europäische Kommission hat in den European Sustainability Reporting Standards (ESRS) verbindliche Vorgaben zum Aufbau und zum Inhalt des Berichts verfasst. Im Folgenden geben wir einen kurzen Überblick über den Aufbau und die Inhalte der ESRS.

In Deutschland wird die CSRD mit dem CSR-Richtlinie-Umsetzungsgesetz (CSR-RUG) umgesetzt. Damit ist sicherzustellen, dass Unternehmen sich rechtzeitig mit der Umsetzung des Gesetzes befassen und die für die Berichterstattung erforderlichen Daten in der gesetzlich vorgeschriebenen Form sammeln. Denn wer hier „hinterherhinkt“, wird nicht nur negative Auswirkungen auf das (ESG-)Rating des Unternehmens erleiden, wodurch es für Anleger und Investoren weniger attraktiv wird – von den Reputationsschäden ganz zu schweigen. Darüber hinaus sind Verstöße Bußgeldgeahndet; die Beträge bewegen sich hier zwischen 50.000 Euro und 10 Millionen Euro – oder auch mal 5 % des Jahresgruppenweltumsatzes.

Es ist daher ratsam „ahead of the curve“ zu bleiben – nicht nur, um Bußgelder zu vermeiden, sondern auch und gerade, um attraktiv für Investoren, Anleger, Kunden und auch Fachkräfte zu bleiben oder zu werden.

II. Worum geht es?

Die CSRD ist eine europäische Richtlinie, die darauf abzielt, die Berichterstattung von Unternehmen über Nachhaltigkeitsaspekte zu verbessern und damit die Nichtfinanzielle Berichterstattungsrichtlinie (NFRD) abzulösen. Die bereits unter der NFRD berichtspflichtigen Unternehmen werden für das Geschäftsjahr 2024 im Jahr 2025 Bericht erstatten müssen. Ab dem Geschäftsjahr 2025 kommen jährlich neue Unternehmen hinzu, welche die jeweiligen Größenkriterien erfüllen.

Die CSRD regelt jedoch nicht die Inhalte und den Aufbau der abzugebenden Berichte. Diese Inhalte nebst Aufbau sind in der am 31. Juli 2023 von der Europäische Kommission veröffentlichten delegierten Verordnung zum ersten Satz der ESRS verbindlich festgelegt, um die Vergleichbarkeit von Nachhaltigkeitsberichten sicherzustellen.

Leider kann man nicht gerade sagen, dass es der Europäischen Kommission gelungen ist, diese Standards übersichtlich, leicht verständlich und kurz zu verfassen. Im Gegenteil: die berichtspflichtigen Unternehmen sehen sich einem immensen Aufwand ausgesetzt, um ihrer Berichtspflicht ab dem Jahr 2025 nachkommen zu können. Wir empfehlen, dass jedes Unternehmen wenigstens 18 bis 24 Monate vor dem Ende des Geschäftsjahrs, für das es erstmals berichtspflichtig ist, damit beginnt, sich mit den ESRS intensiv auseinanderzusetzen. Nur so kann es sicherstellen, die erforderlichen Daten für das Berichtsjahr in einer Weise zu sammeln, die den Vorgaben der ersten 12 (!) veröffentlichten ESRS-Standards entspricht – weitere werden folgen.

Diese zwölf veröffentlichten Standards umfassen zwei übergreifende Standards und fünf themenbezogene Standards zu Umweltthemen, vier themenbezogene Standards zu sozialen Themen und einen themenbezogenen Standard zu Governance-Themen. Inhaltlich orientieren sich diese Standards an den Vorgaben der Corporate Sustainability Reporting Directive (CSRD) und strukturell am Aufbau der Task Force on Climate-related Financial Disclosures (TCFD) mit den Berichtselementen „Governance“, „Strategie“, „Risikomanagement“ sowie „Kennzahlen und Ziele“.

Über Nachhaltigkeitsaspekte ist auf Grundlage des Prinzips der „doppelten Wesentlichkeit“ zu berichten. Offenzulegen sind daher Informationen über einen Nachhaltigkeitsaspekt, wenn entweder aus Perspektive der Impacts (Auswirkungen der Geschäftstätigkeit auf Umwelt und Gesellschaft) oder aus finanzieller Perspektive (finanzielle Effekte aus nachhaltigkeitsbezogenen Risiken und Chancen) oder aus beiden Perspektiven, als wesentlich gelten.

III. Wer muss ab wann für welches Geschäftsjahr berichten?

Der Anwendungsbereich der ESRS ist abhängig von den folgenden Kennzahlen, wonach berichtspflichtig sind:

(1)       ab dem Geschäftsjahr 2024 im Geschäftsbericht 2025: Unternehmen, die bereits einer Berichtspflicht nach der Non Financial Reporting Directive („NFRD“) unterliegen;

(2)       ab dem Geschäftsjahr 2025 im Geschäftsbericht 2026: Alle weiteren großen Kapitalgesellschaften auf die wenigstens zwei der drei folgenden Kriterien zutreffen: (1) wenigstens 250 Mitarbeitende im Jahresdurchschnitt, (2) Bilanzsumme von mindestens 20 Mio. Euro, (3) Umsatz von mindestens 40 Mio. Euro;

(3)       ab dem Geschäftsjahr 2026 im Geschäftsbericht 2027: Börsennotierte KMUs sowie kleine und nicht komplexe Kreditinstitute und firmeneigene Versicherungsunternehmen; und

(4)       ab dem Geschäftsjahr 2028 im Geschäftsbericht 2029: Drittstaatenunternehmen mit Tochterunternehmen oder Zweigniederlassungen in der EU. Dies trifft nur zu, wenn der Schwellenwert von 150 Millionen EUR Nettoumsatzerlöse im EU-Raum über zwei Jahre hinweg überschritten wird.

IV. Aufbau der ESRS

a)         Übergreifende Standards (cross-cutting standards), die allgemeine Konzepte und Grundsätze für die Erstellung von Nachhaltigkeitserklärungen abdecken sowie übergreifende Angabepflichten enthalten.

b)         Themenbezogene Standards (topical standards), die jeweils ein bestimmtes und konkret umrissenes Nachhaltigkeitsthema abdecken, das heißt Angabepflichten in Bezug auf nachhaltigkeitsbezogene Impacts, Risiken und Chancen, die für alle Unternehmen unabhängig von bestimmten Branchen als wesentlich angesehen werden.

c)         Sektorspezifische Standards (sector-specific standards), die die Offenlegung von Informationen zu nachhaltigkeitsbezogenen Impacts, Risiken und Chancen abdecken, die für alle Unternehmen einer bestimmten Branche als wesentlich angesehen werden (noch nicht veröffentlicht).

V. ESRS: Übergreifende Standards

ESRS 1: Allgemeine Anforderungen (General requirements)

ESRS 1 schreibt verbindliche Konzepte und Grundsätze vor, die für die Erstellung von Nachhaltigkeitserklärungen gemäß der CSRD gelten. So sollen in den Nachhaltigkeitserklärungen alle wesentlichen Informationen über nachhaltigkeitsbezogene Impacts (Auswirkungen der Geschäftstätigkeit auf Umwelt und Gesellschaft), Risiken und Chancen in Übereinstimmung mit den geltenden ESRS offengelegt werden. Die ESRS schreiben eine Berichterstattung nach standardisierten sowohl sektorunabhängigen als auch sektorspezifischen Angabepflichten vor, ergänzt durch unternehmensspezifische Angaben, die gemäß der in ESRS 1 festgelegten Grundsätze zu entwickeln sind.

ESRS 2: Allgemeine Angaben (General disclosures)

ESRS 2 knüpft inhaltlich an die Vorgaben in ESRS 1 Allgemeine Anforderungen an und enthält übergreifende Angabepflichten für die Nachhaltigkeitserklärung.

VI. ESRS: Themenbezogene Standards zu Umweltthemen

E1 Klimawandel (Climate change)

Dieser Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Pläne und Fähigkeit des Unternehmens, Strategie und Geschäftsmodell im Einklang mit dem Übergang zu einer nachhaltigen Wirtschaft anzupassen und zur Begrenzung der Erderwärmung auf 1,5 Grad Celsius beizutragen.

E2 Umweltverschmutzung (Pollution)

Dieser Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Alle ergriffenen Maßnahmen zur Verhinderung, Minderung oder Behebung tatsächlicher oder potenzieller negativer Impacts und zum Umgang mit Risiken und Chancen und die Ergebnisse dieser Maßnahmen.

E3 Wasser- und Meeresressourcen (Water and marine resources)

Der Standard sieht Angabepflichten vor, die es den Nutzern der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, zu verstehen, ob, wie und in welchem Umfang das Unternehmen zu folgenden Punkten beiträgt:

a)         Ambitionen des Europäischen Green Deals für frische Luft, sauberes Wasser, gesunde Böden und biologische Vielfalt sowie zur Gewährleistung der Nachhaltigkeit der blauen Wirtschaft und des Fischereisektors,

b)         EU-Wasserrahmenrichtlinie (EU water framework directive),

c)         Rahmen der EU-Meeresstrategie (EU marine strategy framework),

d)         EU-Richtlinie zur maritimen Raumordnung (EU maritime spatial planning directive),

e)         UN-Ziele für nachhaltige Entwicklung (SDGs) 6) Sauberes Wasser und sanitäre Einrichtungen und 14) Leben unter Wasser.

E4 Biologische Vielfalt und Ökosysteme (biodiversity and ecosystems)

Der Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Art, Typ und Umfang der wesentlichen Risiken, Abhängigkeiten und Chancen des Unternehmens im Zusammenhang mit biologischer Vielfalt und Ökosystemen, sowie die Art und Weise, wie das Unternehmen damit umgeht.

E5 Ressourcennutzung und Kreislaufwirtschaft (Resource use and circular economy)

Der Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, folgende Aspekte zu verstehen (nicht abschließende Aufzählung): Die finanziellen Auswirkungen der wesentlichen Risiken und Chancen auf das Unternehmen, die sich kurz-, mittel- und langfristig aus den Impacts und Abhängigkeiten des Unternehmens in Bezug auf Ressourcennutzung und Kreislaufwirtschaft ergeben.

VII. ESRS: Themenbezogene Standards zu sozialen Themen

S1 Eigene Belegschaft (Own workforce)

Die finanziellen Auswirkungen der wesentlichen Risiken und Chancen auf das Unternehmen, die sich kurz-, mittel- und langfristig aus den Impacts und Abhängigkeiten des Unternehmens in Bezug auf die eigene Belegschaft ergeben.

S2 Arbeitskräfte in der Wertschöpfungskette (Workers in the value chain)

Art, Typ und Umfang der wesentlichen Risiken und Chancen des Unternehmens im Zusammenhang mit den Impacts und Abhängigkeiten in Bezug auf Arbeitskräfte in der Wertschöpfungskette, sowie die Art und Weise, wie das Unternehmen damit umgeht.

S3 Betroffene Gemeinschaften (Affected communities)

Wesentliche positive und negative tatsächliche oder potenzielle Impacts des Unternehmens auf Gemeinschaften in Gebieten, in denen Auswirkungen am wahrscheinlichsten und schwerwiegendsten sind.

S4 Verbraucher und Endnutzer (Consumer and end-users)

Alle ergriffenen Maßnahmen zur Verhinderung, Minderung oder Behebung tatsächlicher oder potenzieller Impacts und Umgang mit Risiken und Chancen sowie Ergebnisse dieser Maßnahmen.

VIII. ESRS: Themenbezogene Standards zu Governance Themen

G1 Unternehmenspolitik (Business conduct)

Der Standard sieht Angabepflichten vor, die es den Adressaten der Nachhaltigkeitserklärungen eines Unternehmens ermöglichen sollen, die Strategie und den Ansatz des Unternehmens, seine Prozesse und Verfahren sowie seine Leistung in Bezug auf die Unternehmenspolitik zu verstehen.

IX. Ausblick

Neben der Entwicklung der ersten zwölf ESRS als „Set 1“ sieht die CSRD noch weitere Arbeitspakete für EFRAG vor. So sollen erste sektorspezifische ESRS für insgesamt rund 40 verschiedene Branchen entwickelt werden. Für die künftigen Berichterstattungspflichten der im Anwendungsbereich befindlichen kapitalmarktorientierten kleinen und mittelgroßen Unternehmen (KMU) ist zudem die Entwicklung von spezifischen Listed-KMU-ESRS vorgesehen. Für nicht-kapitalmarktorientierte KMU sollen freiwillig anzuwendende Leitlinien erarbeitet werden. Auch für die Berichterstattung von Drittstaatenunternehmen außerhalb der EU sollen spezifische Drittstaaten-ESRS entwickelt werden. Ein Zeitplan für die Veröffentlichung dieser Entwürfe steht allerdings noch nicht fest.

Melden Sie sich bei Fragen jederzeit gerne. Wir sind auf die Umsetzung und Implementierung von compliancelastigen IT-Projekten im finanzregulatorischen Umfeld spezialisiert.

Mit dem Digital Operational Resilience Act (kurz: „DORA“) hat die Europäische Union für so gut wie alle beaufsichtigten Finanzinstitute eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Mit DORA sollen starke, einheitliche Sicherheitsstandards geschaffen werden, die Finanzinstitutionen vor Angriffen durch Cyberkriminellen schützen – doch bringt die Verordnung auch eine Vielzahl an „Auflagen“ für Finanzinstitute mit sich, die umgesetzt werden müssen. Da diese Verordnung dem digitalen Wandel und den zunehmenden Gefahren durch Cyberbedrohungen gerecht werden soll, raten wir Unternehmen dringend mit einer frühzeitigen Umsetzung zu beginnen. Doch worum geht es genau? 

I. Einleitung und Gegenstand 

1. Einleitung und Umsetzungsaufwand 

Vor dem Hintergrund der sehr vertrags- und IT-lastigen Regelungsinhalte ist allerdings mit einer erheblichen Umsetzungsdauer zu rechnen. IT-Projekte müssen nach Maßgabe der Bankaufsichtlichen Anforderungen an dei IT („BA-IT“) umgesetzt werden – ob DORA diese ersetzen beziehungsweise vollständig „umkrempeln“ wird, wird sich zeigen. Allerdings erspart das nicht die Umsetzung nach deren (aktuellen) Vorgaben. Ferner dürften Finanzinstitute zahlreiche interne Richtlinien haben, die bei der Umsetzung beachtet werden müssen. Auch die Verhandlungen mit IT- und Kommunikationstechnik-Dienstleistern („IKT“) dürften einen nicht unerheblichen Zeitrahmen umfassen; denn nicht nur die Finanzinstitute, sondern auch deren IKT-Dienstleister müssen sich auf die Änderungen von DORA einstellen. 

Wir empfehlen daher dringend frühzeitig mit der Umsetzung zu beginnen und dabei nicht nur die IT- und Compliance-Abteilungen einzubinden, sondern sich auch – internen und externen – regulatorischen Rat einzuholen. 

2. Weitere Rechtsakte

DORA wird von zahlreichen weiteren Rechtsakten flankiert:  

1. EU-Richtlinie 2022/2556 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor vom 14. Dezember 2022   
2. EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) vom 14. Dezember 2022  
3. EU-Richtlinie über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates vom 14. Dezember 2022  
4. Entwürfe von RTS, ITS, Guidelines etc., die (teilweise) noch final abzustimmen und umzusetzen sind. 

3. Regelungsinhalte, Schwerpunkte

Alle Rechtsakte haben Regelungen zur digitalen operationalen Resilienz von Finanzunternehmen zum Gegenstand. Darunter ist die Fähigkeit zu verstehen, sämtliche von einem Finanzunternehmen genutzten Informations- und Kommunikationstechnologien („IKT“) funktionsfähig zu halten und vor Angriffen zu schützen. DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:   

1. IKT-Risikomanagement

• Meldung schwerwiegender IKT-bezogener Vorfälle und – auf freiwilliger Basis – erheblicher Cyberbedrohungen an die zuständigen Behörden;   
• Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch bestimmte aufgeführte Finanzunternehmen an die zuständigen Behörden;   
• Tests der digitalen operationalen Resilienz;  
• Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;   
• Maßnahmen für das solide Management des IKT-Drittparteienrisikos;   

2. Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen  
3. Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)   
4. Aufstellung von Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen;   
5. Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen;   
6. Information Sharing sowie Übungen zu Cyberkrisen- und weitere Notfallübungen. Insbesondere Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden sowie Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden.   

II. Zeitplan und Konsultationen

Die Umsetzung von DORA unterliegt einem ambitionierten Zeitplan zur Implementierung der EU-Richtlinien 2022/2555 und 2022/2557 (bis 18. Oktober 2024) und 2022/2556 (bis 17. Januar 2025). Die Umsetzung in Deutschland erfolgt im Wesentlichen durch das Finanzmarktdigitalisierungsgesetz („FinmadiG“). Das FinmadiG zielt darauf ab, die europäische Verordnung Markets in Crypto-Assets („MiCA“), die Neufassung der EU-Geldtransferverordnung sowie das DORA-Paket in nationales Recht zu überführen. Das BMF hat am 23. Oktober 2023 den Referentenentwurf des FinmadiG veröffentlicht. 

1. Zeitplan

2. Abgeschlossene Konsultationen

Die gemeinsame Konsultation der ESAs über die erste Tranche der technischen Regulierungs- und Implementierungsstandards zu DORA vom 19. Juni 2023 bis 11. September 2023 enthält die folgenden Entwürfe: 

1. Konsultation zu RTS zum IKT-Risikomanagementrahmen (Art. 15) und RTS zum vereinfachten IKT-Risikomanagement (Art. 16)
2. Konsultation zu RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18.3)
3. Konsultation zu ITS zur Erstellung der Vorlagen für das Informationsregister (Art. 28.9)
4. Konsultation zu RTS zur Festlegung der Politik für IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden (Art. 28.10)) 2022/2554 mit öffentlicher Konsultation vom 26. Mai 2023 bis 23. Juni 2023.
5. Die Öffentliche Konsultation für die Stellungnahme der ESAs (EBA, ESMA und EIOPA) für die Europäische Kommission zu den delegierten Rechtsakten im Rahmen des europäischen Überwachungsrahmenwerks gemäß den Artikeln 31 und 43 der Verordnung (EU) 2022/2554 fand vom 26. Mai 2023 bis 23. Juni 2023 statt. 

3. Laufende Konsultationen

Vom 8. Dezember 2023 bis zum 4. März 2024 findet die öffentliche Konsultation der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt: 

1. Konsultation des RTS zu Threat Led Penetration Testing (Art. 26.11) 
2. Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5) 
3. Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a) 
4. Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b) 
5. Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7) 
6. Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41) 

III. Schwerpunkte von DORA

DORA hat im Wesentlichen die beiden Schwerpunkte (1) ITK-Risikomanagement und (2) Überwachung von kritischen IKT-Drittdienstleistern. Diese werden in Deutschland durch das FinmadiG umgesetzt. Die Umsetzung erfolgt durch Änderung zahlreicher Gesetze und Verordnungen, weswegen wir uns bei der folgenden, kurzen Zusammenfassung der Übersicht halber auf die Bestimmungen und den Aufbau des DORA bezogen haben: 

1. Schwerpunkt: IKT-Risikomanagement

1. Art.5 DORA – Verantwortlichkeit der Geschäftsführung:  
   Geschäftsführung trägt die Verantwortung für das IKT-Risikomanagement. Geschäftsführung muss sich aktiv bzgl. IKT- Risiken auf dem Laufenden halten und regelmäßige IKT-spezifische Weiterbildungen wahrnehmen.  

2. Art.6 DORA – ICT-Riskmanagement Control Function 
   Durch die Geschäftsführung ist die Funktion der ICT-Riskmanagement Control Function einzurichten. Die Aufgaben sind ähnlich denen des Informations-Sicherheitsbeauftragten (ISB). Eine strenge Trennung von der Control Function und First Line (IT) ist vorgesehen. Es ist eine starke aufsichtsrechtliche Erwartung, den ISB im eigenen Hause vorzuhalten. 
   
3. Art.8 DORA – Kenntnis der eigenen Informationen und Systeme 
   IKT-Systeme und -informationen, die in Geschäftsfunktionen verwendet werden, müssen identifiziert und klassifiziert werden. Das gilt auch für Informationen, die nicht in zentralen Systemen gehalten werden (wie beispielsweise Office-Dokumente oder ID-Ven).  
   
4. Art.6 DORA – Strengere Anforderungen an Verschlüsselungen 
   Daten sind in allen Zuständen zu verschlüsseln (at rest, in transit & in use). Sowohl der interne als auch der externe Netzwerkverkehr ist zu verschlüsseln. Für kryptographische Schlüssel ist ein Lifecycle-Management einzurichten.  
   
5. Art.10 DORA – Priorität auf die Behebung von Schwachstellen 
   Anforderungen an automatisierte Schwachstellenscans und die Behebung von Schwachstellen sind gestiegen. Automatisierte Schwachstellenscans mindestens wöchentlich. Lieferkettenrisiko rückt in den Fokus. Behebung von Schwachstellen durch Patches hat höchste Priorität.  
   
6. Art.11 DORA – Detaillierte Sicherheitsanforderungen 
   Verwendung nur von autorisierter Software und Speichermedien. Sicherheit muss auch im Home-Office und bei auswärtigem Arbeiten bestehen. Besondere Schulung für Mitarbeiter, die Cloud-Zugänge administrieren. Besonderer Schutz für Zugänge zu Clouds. 
   
7. Art. 16 DORA – Test des Source Code 
   Genehmigung von Fachbereichen und Asset Owner für u.a. Sicherheitsmaßnahmen muss eingeholt werden. Testumgebungen sollen adäquat die Produktionsumgebung widergeben. Die Integrität des Quellcodes ist zu schützen. Quellcode und Software von Dritten ist zu analysieren und zu testen. 
   
8. Art.13 DORA – Stärkung der Netzwerksicherheit 
   Erstellung eines visuellen Netzwerkplans. Interner und externer Schutz des Netzwerkverkehrs. Regelmäßige Prüfung und Zertifizierung der Firewall-Regeln. Jährliche Überprüfung der Netzwerkarchitektur. Schaffung der Möglichkeit zur zeitweisen Isolation von Subnetzen, Netzwerkkomponenten und Geräten.  
   
9. Art.21 DORA – Nutzeridentifikation
   Jede natürliche Person soll eine eindeutige Identität erhalten, diese soll auch bei Reorganisation und nach Beendigung der Zusammenarbeit bestehen bleiben. Anforderungen im Zugriffs- und Zutrittsmanagement bleiben weitestgehend gleich.  
   
10. Art.27 DORA – Testszenarien für Cyberangriffe 
    Umfassende Vorgaben zum Notfallmanagement. RTS fokussiert sich auf die Mindestinhalte der RecoveryPlans und auf das Testen dieser. Mindesttestszenarien steigen von vier (MaRisk) auf neun. 
    
11. Art.6 para.5 DORA – Regelmäßige Überprüfung des IKT-Rahmenwerkes 
    Eine formelle Dokumentation des aktuellen Stands des IKT-Risikorahmenwerks ist zu erstellen. Diese muss auf Anfrage der Aufsicht aktuell zur Verfügung gestellt werden.  

2. Schwerpunkt: Überwachung von kritischen IKT-Drittdienstleistern

Finanzunternehmen dürfen kritische IKT-Drittdienstleister aus Drittstaaten nur dann nutzen, wenn diese binnen zwölf Monaten nach ihrer Einstufung einen Sitz in der EU begründen. Es besteht aber keine Verpflichtung Daten nur innerhalb der EU zu speichern (wobei hier datenschutzrechtliche Probleme bestehen dürften, falls dies nicht der Fall sein sollte). 

Die Aufsichtsbehörden haben insbesondere die folgenden Befugnisse gegenüber ITK-Dienstleistern: 

1. Anforderung von Informationen und Unterlagen: relevante Geschäfts- oder Betriebsunterlagen, Verträge, Leit- und Richtlinien, Dokumentationen, Meldungen über IKT-Sicherheitsprüfungen, Berichte über IKT-bezogene Vorfälle sowie alle Informationen über Parteien, an die der kritische IKT-Drittdienstleister betriebliche Funktionen oder Tätigkeiten ausgelagert hat; 
   
2. Untersuchungen und Inspektionen in Geschäftsräumen des IKT-Drittdienstleisters in Bezug auf: Aufzeichnungen, Daten, Verfahren, etc.; Vorladung von Vertretern des kritischen IKT-Drittdienstleisters, einschließlich der Abgabe mündlicher oder schriftlicher Erklärungen; jede andere natürliche oder juristische Person zu befragen, die dieser Befragung zum Zweck der Einholung von Informationen über den Gegenstand einer Untersuchung zustimmt; Übermittlung der Aufzeichnungen von Telefongesprächen und Datenübermittlungen; 
   
3. Empfehlungen abzugeben, die die Aufsicht in Bezug auf folgendes für relevant hält: 

• die Anwendung spezifischer IKT-Sicherheits- und Qualitätsanforderungen oder -verfahren, insbesondere in Bezug auf die Herausgabe von Patches, Aktualisierungen, Verschlüsselung und andere Sicherheitsmaßnahmen, die für die Gewährleistung der IKT-Sicherheit von Diensten, die Finanzunternehmen bereitgestellt werden; 
• die Verwendung von Bedingungen — einschließlich ihrer technischen Umsetzung — zu denen die kritischen IKT-Drittdienstleister IKT-Dienstleistungen für Finanzunternehmen bereitstellen, um die Entstehung punktueller Ausfälle oder deren Verstärkung zu verhindern oder um mögliche systemische Auswirkungen im Finanzsektor der Union im Falle eines IKT-Konzentrationsrisikos zu minimieren; 
• unter bestimmten Voraussetzungen: jede geplante Unterauftragsvergabe, die die kritischen IKT-Drittdienstleister mit anderen IKT-Drittdienstleistern oder mit IKT-Unterauftragnehmern mit Sitz in einem Drittland zu schließen beabsichtigen und die Risiken für die Erbringung von Dienstleistungen durch das Finanzunternehmen oder Risiken für die Finanzstabilität mit sich bringen kann; 

4. Anforderung von Berichten, in denen die ergriffenen Maßnahmen oder die Abhilfemaßnahmen aufgeführt sind, die die kritischen IKT-Drittdienstleister in Bezug auf die in Buchstabe b) genannten Empfehlungen ergriffen haben. 

Die Überwachung kritischer IKT-Drittdienstleister durch die Aufsicht entbindet Finanzunternehmen allerdings nicht von ihrer Pflicht zur Überwachung des Dienstleisters. Die Aufsichtsbehörden prüfen, wie die Finanzunternehmen die in den Empfehlungen festgestellten Risiken beim kritischen IKT-Drittdienstleister im Rahmen ihres Drittparteirisikomanagements berücksichtigen. Bei nicht oder nicht ausreichender Berücksichtigung der Risiken durch Finanzunternehmen, teilt die Aufsichtsbehörde ihre Einschätzung dem Finanzunternehmen mit und kann binnen 60 Tagen nach dieser Mitteilung als letztes Mittel von Finanzunternehmen verlangen, die Nutzung des kritischen IKT-Drittdienstleisters ganz oder teilweise zu unterbrechen, bis die Risiken beseitigt sind, oder die Verträge mit dem kritischen IKT-Drittdienstleister ganz oder teilweise zu kündigen.   

Melden Sie sich bei Fragen jederzeit gerne. Wir sind auf die Umsetzung und Implementierung von compliance-lastigen IT-Projekten im finanzregulatorischen Umfeld spezialisiert. 

Wir können Sie hier speziell dabei unterstützen sich auf die neuen Anforderungen durch DORA vorzubereiten.

Wir raten Ihnen, sich mit der Verordnung sowie der Konsultationsfassungen der RTS/IST/Guidelines, einschließlich der Erwägungsgründe vertraut zu machen.

Vergleichen Sie die Anforderungen aus DORA mit den bereits bestehenden regulatorischen Anforderungen (z.B. MaRisk, BAIT, EBA Guidelines on outsourcing arrangements, BaFin Orientierungshilfe Cloud).

act legal Romania kicks off the new year with good news by announcing the promotion of Andrei Croitoru and Iustina Oblu to Partner.

From the outset, act legal has nurtured legal personalities with an entrepreneurial mindset, and the promotion of Andrei and Iustina reinforces this core value.

Andrei is a Partner in the Compliance, Sensitive Investigations and White-Collar Crime practice of act legal Romania. Andrei advises and represents major domestic and international companies in sophisticated investigations involving corruption, tax evasion, fraud and work-related criminal offenses. Notably, he is the first practicing Romanian lawyer to earn the Certified Fraud Examiner (CFE) credential.

Iustina is a Partner in the Real Estate and Regulatory practices, also deeply involved in environmental matters. Iustina has a notable track record in assets acquisitions and disposals, real estate project development, drafting and negotiation of lease agreements, concessions, regulatory and environmental topics. Iustina’s expertise spans various big real estate projects, including retail, office buildings, industrial and residential properties.

“Even though it was already on the table, I remember Laura (Estrade) returning from Harvard Law School Executive Education’s Leadership in Law Firms program – she was still thinking about a question one of the lecturers asked: Who’s the next person you are going to make a Partner? I was familiar with the question, as I also took the program a while ago, and couldn’t help but smile thinking that she was just given a valuable lesson on how to build an extraordinary legal team – invest in the people you believe in. Give them responsibility. Let them shine. And so, that’s what we did. Andrei and Iustina’s go-getter attitude in complex cases and their seamless management of projects are just pluses to the tremendous confidence we have in them. Congratulations, guys, you fully deserve it and we are proud of you!” – stated Ștefan Botezatu, Managing Partner.

About act Botezatu Estrade Partners (act legal Romania)

act legal Romania is the local office of act legal, a European law firm with presence in 11 countries. act legal is a one-stop shop, providing a full range of cross-border legal services to companies and investors who intend to enter the continental European markets or are already present in the region.

For more updates on the firm’s activity, you can follow us on our LinkedIn page.

Das Traditionsunternehmen griep Gruppe mit Sitz in Wiesbaden hat sich in den letzten 11 Jahre zu einem der führenden Baulogistikspezialisten Deutschlands entwickelt. Mit rund 190 Mitarbeitenden deckt griep das gesamte Leistungsspektrum der Baulogistik für verschiedenste Bauprojekte – von Bahnhofsgebäuden über Hochhäuser, in Stadtzentren oder auf dem Land – ab.

Win-Win: Mit der Schweizerischen Post hat die griep Gruppe den perfekten Partner für Wachstum und Expansionsmöglichkeiten in Deutschland und der Schweiz gefunden. Die Schweizerische Post ist erfolgreich im Bereich der logistischen Unterstützung von Bauprojekten – von der Logistikplanung über die Baustellenlogistik bis hin zur Entsorgungslogistik – tätig und hat mit griep nun einen erfahrenen Sparringspartner zur Optimierung und Erweiterung ihres Baulogistik-Angebots.

Vorbehaltlich der Zustimmung des Bundeskartellamtes ist der Beginn der Zusammenarbeit für Januar 2024 geplant.

Berater griep Gruppe:
act legal Deutschland – act AC Tischendorf Rechtsanwälte: Dr. Fabian Brocke, LL.M. (Corporate/M&A); Dr. Nina Honstetter (Corporate/M&A); Dr. Fabian Laugwitz, MBA, LL.M. Eur. (Commercial)

Dr. Alexander Höpfner: „Mit der Fortführung des Geschäftsbetriebes durch den Investor konnte für die Gläubiger eine gute Lösung gefunden werden, die zudem die Interessen der Pflegebedürftigen berücksichtigt“.

Zudem werden rund 180 Arbeitsplätze an den neun Betriebsstätten in Hessen, Rheinland-Pfalz, Nordrhein-Westfalen, Bayern sowie in Thüringen, Sachsen und Sachsen-Anhalt übernommen.
 
Berater/Eigenverwaltung DigniCare: LIESER Rechtsanwälte Partnerschaft mbB – Jens Lieser und Dr. Martin Kaltwasser (Generalbevollmächtigte)
 
Sachwaltung: act AC Tischendorf Rechtsanwälte – Dr. Alexander Höpfner (Sachwalter), Dr. Felix Melzer, Maximilian Dieler (beide Restrukturierung/Insolvenz)