Zum 16. Januar 2023 ist die sog. EU-DORA-Verordnung ((EU) 2022/2554) mit zahlreichen teils hochkomplexen Anforderungen an die IT-Sicherheit für Finanzunternehmen in Kraft getreten. Mit dieser EU-Verordnung beabsichtigt die EU-Kommission die digitale operationale Resilienz bei Finanzunternehmen gegenüber Cyberangriffen zu erhöhen. Relativ unbemerkt wurden mit der DORA-Verordnung aber auch für Versicherungsvermittler diverse der genannten IT-Anforderungen eingeführt. Da Autohandelsunternehmen i.d.R. auch einige Versicherungen vermitteln (z.B. Reparaturkostenversicherungen, Kraftfahrthaftpflicht- und -Kaskoversicherungen etc.) bestand die grundsätzliche Gefahr, dass auch Kfz-Händler unter die DORA-Verordnung fallen. Zwar nimmt die Verordnung KMUs (europäische Definition der klein- und mittelständischen Unternehmen (KMU): Weniger als 50 Mio. Euro Umsatz und weniger als 250 Mitarbeiter) vom Anwendungsbereich der Vorschrift aus. Da Autohandelsgruppen diese Grenzen beim gesamten Unternehmensumsatz nicht selten überschreiten, drohte hier, dass auch sie die komplexen Vorgaben der DORA-Verordnung hätten einhalten müssen, obwohl Finanzgeschäfte nur einen deutlich untergeordneten Anteil der Geschäftstätigkeit bzw. am Unternehmensergebnis ausmachen.
Aktuell steht nun mit dem Gesetzentwurf zum Finanzmarktdigitalisierungsgesetzes (FinmadiG) die begleitende deutsche Gesetzgebung zur unmittelbar ab dem 17. Januar 2025 auch in Deutschland geltenden DORA-Verordnung auf dem Programm. In diesem Zusammenhang ist es dem ZDK gelungen, die zuständigen Entscheidungsträger in Politik und Verwaltung auf die drohende Ausweitung der DORA-Verordnung auf weite Teile der Automobilhandelsunternehmen zu verhindern. Insoweit wird im FinmadiG nun klargestellt, dass bei den genannten Ausnahmen für KMU (und damit hinsichtlich der oben genannten Schwellenwerte) ausschließlich auf die der DORA-Verordnung unterliegenden „Finanzumsätze“ abgestellt wird.
Der ZDK konnte dem Gesetzgeber aufzeigen, dass die für größere Unternehmen aus der Finanzbranche durchaus sinnvollen Maßnahmen der DORA-Verordnung zur Minimierung des Risikos von Cyberangriffen für kleinere und nicht der Finanzbranche zugehörigen Kfz-Unternehmen nur äußerst schwer umsetzbar und finanziell kaum darstellbar sind.