Hochverfügbarkeit, Sicherheit und Datenschutz
Unternehmen haften dabei nicht nur für die eigenen Verstöße, sondern auch für die ihrer Erfüllungsgehilfen. Bei der Wahl des IT-Partners ist also höchste Sorgfalt geboten.
Doch woran können sich die Verantwortlichen der Emittenten orientieren, wenn keine rechtlichen Zulassungskriterien für Meldepflichtendienstleister bestehen?
Hier lohnt sich ein Blick nach Großbritannien und Frankreich, wo die wohl strengsten Zulassungsbestimmungen in Europa gelten. Die dortigen Aufsichtsbehörden knüpfen die Vergabe der Lizenzen an einen Katalog strengster Sicherheitskriterien, die in einem aufwendigen Zulassungsverfahren und jährlichen Audits geprüft werden. Die Primary Information Provider (PIPs) müssen nicht nur alle regulatorischen Pflichten gesetzeskonform abbilden, sondern in speziellen Tests unter anderem auch wirksame Mechanismen gegen missbräuchliche Zugriffsversuche (u.a. mit gehackten Passwörtern, gefälschten Identitäten) nachweisen.
Emittenten aus der DACH-Region, die noch auf der Suche nach dem passenden Partner sind, könnten deshalb prüfen, welche lizenzierten PIPs über ihr Netzwerk auch eine gesetzeskonforme Verbreitung in Deutschland, Österreich und/oder der Schweiz gewährleisten.
Mechanismen gegen missbräuchlichen Zugriff
Die höchsten Ansprüche an Hochverfügbarkeit und Sicherheit lassen sich nur mit State-of-the-Art-Technik erfüllen. Deshalb verlangen viele Unternehmen von ihren Dienstleistern mittlerweile auch eine ISO-27001-Zertifizierung – denn die Einhaltung der Leitlinien dieser international führenden Norm für Informationssicherheits-Managementsysteme, die ebenfalls jährlich überprüft wird, ist ein verlässlicher Nachweis für ein wirkungsvolles, ganzheitliches IT-Sicherheitskonzept, ohne das auch eine DSGVO-konforme Verarbeitung von Daten nicht möglich ist.
Unabhängig von Lizenzen und Zertifizierungen stellen einige Unternehmen ihre IT-Dienstleister selbst auf den Prüfstand – frei nach dem Motto: „Vertrauen ist gut, Kontrolle ist besser.“ In Penetrationstests (kurz: Pen-Tests) wird die Robustheit der Systeme gegen Angriffe von außen geprüft, um mögliche Schwachstellen aufzudecken, die Hacker ausnutzen könnten. Ein zertifizierter IT-Dienstleister stellt sich diesen Härtetests.
Pen-Test, Zertifizierungen und Lizenzen
Natürlich haben nur die wenigsten Unternehmen die Ressourcen, eigene Pen-Tests durchzuführen – dass diese Möglichkeit jedoch grundsätzlich besteht, schafft Vertrauen. Dennoch wäre es auch für kleinere Emittenten fahrlässig, gänzlich auf Qualitätsnachweise zu verzichten. Es empfiehlt sich, nur mit Dienstleistern zusammenzuarbeiten, die eine sichere und zukunftsfeste Plattform für ihre Services anbieten und dies auch durch Zertifizierungen oder Lizenzen für andere Märkte belegen können. Diese Sicherheit hat zwar meistens ihren Preis – doch der sollte sich angesichts des wirksamen Schutzes vor hohen Strafen auszahlen.
Dieser Artikel erschien zuerst in unserer Specialausgabe „Kapitalmarkt Österreich 2019“ Das E-Magazin finden sie hier
Autor/Autorin
Lukas Reiter
Als Country Manager Investor Relations betreut Lukas Reiter bei der EQS Group börsennotierte Unternehmen aus Österreich.