Neue Regulierung, neue Chancen Rechtliche Neuerungen für KVGen, Fondsmanager und -initiatoren in 2025

Christian Hillebrand

Christian Hillebrand von der Kanzlei Orbit: „Die Pflichten, die DORA den Kapitalverwaltungsgesellschaften, Fondsmanagern und -initiatoren auferlegt, sind komplex.“ Foto: Orbit

Im Zeitalter von Künstlicher Intelligenz und schnell voranschreitender Digitalisierung, die auch vor der Fondsbranche nicht Halt macht, kommt es nicht überraschend, dass der europäische Verordnungsgeber sich diesen Themen und damit verbundenen Risiken, durch den Erlass des Digital Operational Resilience Act (DORA) annimmt.

Zudem führen auch die geänderte AIFM-Richtlinie AIFMD II (Alternative Investment Fund Manager Directive) und Neuerungen im ESG-Bereich dazu, dass Kapitalverwaltungsgesellschaften, Fondsmanager und -initiatoren sich neuen Regulierungsmaßstäben gegenübersehen. Diese Situation ist herausfordernd für alle Akteure, bietet aber gleichzeitig Chancen.

Digital Operational Resilience Act (DORA)

Seit 17. Januar 2025 ist nun – nach zweijähriger Übergangszeit – DORA in Kraft. Durch Maßnahmen, die technologische Störungen und insbesondere auch Cyberangriffe abwehren, soll der Finanzsektor digital widerstandsfähiger werden. Die vergangenen Jahre haben gezeigt, dass Cyberrisiken gerade auch den Finanzmarkt treffen können. DORA erfasst Marktteilnehmer jedweder Couleur, seien es Finanz- und Kreditinstitute, Zahlungsdienstleister oder eben auch Kapitalverwaltungsgesellschaften und damit Fondsmanager.

Die Pflichten, die DORA den Kapitalverwaltungsgesellschaften, Fondsmanagern und -initiatoren auferlegt, sind komplex. Vor diesem Hintergrund ist es gut und richtig, dass es nach Inkrafttreten von DORA im Januar 2023 die zweijährige Übergangsfrist gab, damit sich die Marktteilnehmer auf diese entsprechend einstellen konnten.

Ein Augenmerk liegt ausdrücklich darauf, dass nunmehr ein robustes IT-Risikomanagement etabliert werden muss. Mit dessen Hilfe sollen Risiken, die aus der Nutzung digitaler Technologien entstehen, identifiziert, bewertet und gesteuert werden. Dies kann sich gerade im Bereich alternativer Assets mit bereits vorhandenen digitalisierten Asset-Management-Systemen als anspruchsvoll herausstellen, da nicht nur die eigene IT auf den Prüfstand gestellt werden muss, sondern auch die von Servicedienstleistern und Partnern.

Bei solchen externen Dienstleistern, etwa für Datenmanagement (sogenannte DMS-Anbieter), Cloud-Dienste oder KI-gestützte (Markt-) Analysetools, sind nun ebenfalls strenge regulatorische Anforderungen zu beachten. Fondsmanager werden entsprechend im Vertragswerk mit diesen Drittanbietern sicherstellen wollen, dass und gegebenenfalls, wie diese ihren diesbezüglichen Pflichten nachkommen und diese überwacht werden können.

 

Durch DORA werden Fondsmanager unter anderem verpflichtet, insbesondere Cybersecurity-Vorfälle innerhalb von 24 Stunden zu melden. Entsprechend müssen Fondsmanager Maßnahmen umsetzen, um Cyberangriffe und sonstige IT-Vorfälle schnell zu identifizieren und zu bewerten.

Gerade im Bereich Private Equity, in dem ein unautorisierter Informationsabfluss schnell gravierende Konsequenzen haben kann, ist dies nachvollziehbar und auch unabhängig von DORA bereits seit einiger Zeit Gegenstand von Anforderungslisten großer institutioneller Investoren im Rahmen ihrer operativen Due Diligence. Prävention und Reaktionszeiten haben daher höchste Priorität.

Um im laufenden Betrieb auch den stetig wechselnden und steigenden Bedrohungslagen durch Cyberangriffe gewachsen zu sein, gehören auch regelmäßige Tests der vorhandenen IT-Systeme zum Pflichtenkatalog von DORA. Hierzu deckt man Schwachstellen auf, indem man Penetrationstests durchführt und Cyberangriffe simuliert. Außerdem unterzieht man die Systeme Stresstests, um zu prüfen, wie sie auf besondere Belastungen reagieren und welche Auswirkungen dies auf das IT-System hat.

Die Vielzahl an Neuerungen zwingt Fondsmanager entsprechend dazu, ihre IT-Sicherheit zu verbessern.

Insbesondere folgende Punkte müssen KVGen, Fondsmanager und -initiatoren bei DORA umsetzen:

  • Risikomanagement stärken
  • Technische Aufrüstung realisieren
  • IT-Notfallpläne erstellen
  • Stresstests durchführen
  • Gap-Analysen etablieren
  • Cyberangriffe und IT-Vorfälle überwachen
  • Sorgfaltspflichten bei Dienstleistern wahrnehmen
  • Berichtspflichten einhalten
  • Regelmäßige Schulungen durchführen
  • Governance-Richtlinien umsetzen

Solche Maßnahmen lohnen sich auch unabhängig von gesetzlichen Vorgaben, besonders angesichts der zahlreichen Cyberangriffe im Finanzsektor in den letzten Jahren. Nur wenn sie ihre IT-Sicherheit konsequent stärken, schaffen sie die nötige Transparenz und gewinnen das Vertrauen institutioneller Investoren.

Weitere Neuerungen

Neben DORA müssen Fondsmanager, besonders im Bereich alternativer Anlagen, seit diesem Jahr auf neue Anforderungen reagieren. Im Bereich ESG setzen Marktteilnehmer bereits seit 2021 die Vorgaben der Sustainable Finance Disclosure Regulation (SFDR) um, doch die EU-Kommission prüft und überarbeitet diese Regeln derzeit. Erste Entwürfe für SFDR 2.0 sollen im Laufe des Jahres erscheinen.

 

Gleichzeitig veröffentlicht die europäische Wertpapierbehörde ESMA regelmäßig neue Vorgaben, zuletzt die Leitlinien zu Fondsnamen, die ESG- oder nachhaltigkeitsbezogene Begriffe enthalten. Diese Entwicklungen fordern die Branche stark, doch viele sind sich einig, dass überarbeitete Regeln allen Stakeholdern zugutekommen können.

Zuletzt bringt auch die überarbeitete AIFM-Richtlinie (AIFMD II) für Fondsmanager relevante Änderungen mit sich. Dies betrifft besonders Kreditfonds, da man nun zwischen kreditvergebenden Fonds (Kreditfonds im eigentlichen Sinne, deren Investmentstrategie gerade auf die Kreditvergabe ausgelegt ist) und anderen Fonds, die (auch) in der Kreditvergabe tätig sind, unterscheiden muss.

Für die kreditvergebenden Fonds ändern sich die Anforderungen erheblich. Man muss höhere Anforderungen an das Risikomanagement erfüllen und die neuen Leverage-Obergrenzen beachten. Diese betragen 300 Prozent für geschlossene Fonds und 175 Prozent für offene Fonds. Bei Gesellschafterdarlehen, also wenn Fonds Darlehen an Portfoliounternehmen vergeben, gelten Ausnahmen.

Ausblick

Die Regulatorik für Kapitalverwaltungsgesellschaften, Fondsmanager und -initiatoren ändern sich ständig. Diese Veränderungen bringen Herausforderungen mit sich, die man jedoch auch als Chance nutzen sollte. Besonders die Stärkung der Cybersicherheit wird allen Marktteilnehmern auf mittlere und lange Sicht einen Mehrwert bringen, der den Aufwand bei der Umsetzung übersteigen wird. Nur wenn man Vertrauen in funktionierende Märkte und effektive Mechanismen zur Risikovermeidung schafft, kann man langfristig Investorengelder sichern.


Über den Autor

Christian Hillebrand ist Rechtsanwalt und einer der fünf Gründungspartner von Orbit, einer spezialisierten Boutique-Kanzlei im Bereich Investmentfondsrecht. Er berät Manager und Fondsmanagementteams sowohl nationaler als auch internationaler Private-Equity- und Venture-Capital-Fonds bei der Fondsstrukturierung sowie institutionelle, öffentliche und private Investoren bei Investitionen in alternative Vermögenswerte. Sein Schwerpunkt liegt auf regulatorischen Fragestellungen, insbesondere im Bereich des Fondsaufsichtsrechts.

Wie hat Ihnen der Artikel gefallen?
Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen