Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

20.02.2023

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

Gastbeitrag. Die EU hat einen neuen Rechtsrahmen für die Beaufsichtigung von IT-Systemen beschlossen. Welcher Folgen dieser hat, erläutern Markus Aigner und Helena Nyikos von der Anwaltssozietät Wolf Theiss.

/artikel/dora-verordnung

✨ AI Kontextualisierung

Mit der am 16. Jänner 2023 in Kraft getretenen Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA), hat die Europäische Union ein einheitliches europäisches Aufsichtsregime zur Gewährleistung der Funktionsfähigkeit von Informations- und Kommunikationstechnologie-Systemen (IKT) im Finanzsektor erlassen. Dieser weist derzeit eine starke Abhängigkeit von IKT Systemen auf, wobei die fortschreitende Digitalisierung eine noch intensivere Einbindung von IKT erwarten lässt.

Mit DORA wurde nun ein Rahmenwerk zur Überprüfung sowie Beaufsichtigung von IKT-Systemen im Finanzsektor eingeführt, welches primär darauf abzielt, einheitliche Bestimmungen für Finanzunternehmen festzulegen. Dadurch soll europaweit die IKT-Sicherheit gestärkt sowie IKT- und Cybersicherheitsrisiken entgegengewirkt werden. Die Bestimmungen der Verordnung sind allerdings erst ab 17. Jänner 2025 anwendbar, womit der Finanzbranche noch ausreichend Vorbereitungszeit bleibt.

Worauf sich die Finanzbranche jetzt einstellen muss

Doch worauf muss sich die Finanzbranche jetzt einstellen, welche Anpassungen sind notwendig und sind ausschließlich Finanzdienstleister erfasst?

DORA teilt sich im Wesentlichen in die Abschnitte IKT-Risikomanagement, Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Testen der digitalen operationalen Resilienz, Management des IKT-Drittparteienrisikos sowie administrative Bestimmungen.

Die Europäische Union hat den Adressatenkreis, welcher unter dem Sammelbegriff „Finanzunternehmen“ zusammengefasst wird, bewusst weit gefasst, um u.a. sowohl den klassischen Finanzmarkt (z.B. Kreditinstitute, Zahlungsinstitute und Wertpapierfirmen), die Versicherungsbranche, aber auch alternative Finanzierungsanbieter (Crowdfunding und Krypto-Dienstleister) zu verpflichten. Beachtenswert dabei ist, dass auch IKT-Unternehmen selbst in den Anwendungsbereich der Verordnung fallen. Dieser Schritt wurde bewusst gewählt, da die Europäische Union die Auslagerung (das „Outsourcing“) spezifisch in der Verordnung adressiert und offenbar auch als eigenes Risikofeld betrachtet.

Ein wesentlicher Eckpfeiler von DORA ist der Grundsatz der Verhältnismäßigkeit, gemäß dem Finanzunternehmen die Vorgaben angepasst an ihre Größe, ihr Risikoprofil sowie die Komplexität ihrer Tätigkeit umzusetzen bzw. anwenden müssen. Damit sollen u.a. überschießenden Verpflichtungen für kleinere Unternehmen vermieden werden.

Darüber hinaus können viele der Verpflichtungen innerhalb eines Konzerns sowie auch an externe Dritte ausgelagert werden. Die Letztverantwortung verbleibt allerdings immer beim Management des Finanzunternehmens.

Aufbau von IKT-Risikomanagementstrukturen

Finanzunternehmen sind verpflichtet eine umfassende interne IKT-Risikomanagement und -kontrollstruktur zu errichten, welche insbesondere einen Verantwortlichen für die Überwachung von ausgelagerten IKT-Dienstleistungen, eine Fortbildungsverpflichtung des Managements, aber auch Pläne für den Umgang mit IKT-Vorfällen und die Eindämmung von Schäden bzw. die Fortführung des Finanzunternehmens im Falle eines IKT-Vorfalls vorzusehen hat. Darüber hinaus müssen Finanzunternehmen im Rahmen ihres Gesamtrisikomanagements einen IKT-Risikomanagementrahmen erstellen und dokumentieren. Dieser soll dazu dienen Risiken zu erkennen und zu minimieren. Der Rahmen ist mindestens einmal jährlich zu überprüfen und anzupassen.

Generell besteht die Verpflichtung für angemessenen Schutz der IKT-Systeme zu sorgen, sämtliche verwendeten Systeme, Protokolle und Tools auf dem neuesten Stand zu halten und die IKT-Systeme laufend zu überwachen sowie potentielle Risiken zu identifizieren. Daneben müssen angemessene Back-ups und Methoden zur Wiedergewinnung und Wiederherstellung von Daten etabliert werden, wobei Zentralverwahrer einen zusätzlichen „Ausweichstandort“ haben müssen, der im Bedarfsfall die Geschäftsabwicklung übernehmen kann.

Was tun, wenn die IKT-Systeme beeinträchtigt werden?

Sollte es zu einem IKT-Vorfall kommen, der erhebliche Auswirkungen auf die Systeme eines Finanzunternehmens hat, unterliegt dieses umfassenden Meldeverpflichtungen gegenüber der für das Finanzunternehmen zuständigen Aufsichtsbehörde – für Österreich in der Regel die Finanzmarktaufsichtsbehörde (FMA). Darüber hinaus bestehen, sofern finanzielle Interessen von Kunden betroffen sind, ebenso gegenüber diesen Meldeverpflichtungen. Auf freiwilliger Basis können auch Cyberbedrohungen gemeldet werden.

„Stresstests“ für die IT

Ein Herzstück von DORA bilden die bedrohungsorientierten Penetrationstests (Threat-Led Penetration Testing – kurz TLPT). Finanzunternehmen werden verpflichtet, ihre IKT-Systeme regemäßigen Stresstests zu unterziehen, um etwaige Schwächen und Lücken aufzudecken sowie die Abläufe bei Beeinträchtigungen der IKT-Infrastruktur zu üben.

Das Konzept von Stresstests ist dem Aufsichtsrecht allerdings nicht fremd. Im Bereich der Kapitalvorschriften wurden schon also Folge der Bankenkrise 2008 die medial immer wieder präsenten Bankenstresstests eingeführt, bei denen das Kapital der Banken auf Krisenresistenz getestet wird. In Branchen, die mit sensiblen Daten arbeiten, ist die Beauftragung von professionellen Hackern zur Überprüfung der eigenen Sicherheitssysteme ohnedies bereits weit verbreitet.

Die Umsetzung dieser Vorgaben dürfte daher für die meisten Unternehmen unproblematisch sein. Auf IT-Sicherheit bzw. professionelle Hackerangriffe spezialisierte Unternehmen dürften von DORA jedenfalls profitieren.

IKT-Outsourcing

Ein weiteres Kernstück von DORA stellt das Risikomanagement von ausgelagerten IKT-Leistungen dar. Die Europäische Union hat die Definition des „IKT-Drittdienstleisters“ dabei bewusst weit gefasst, um das Outsourcing von IKT-Leistungen im Finanzbereich möglichst umfassend in den Anwendungsbereich der Verordnung mitaufzunehmen. Darunter fallen z.B. auch die Cloud Anbieter und Entwickler von Banking-Apps.

Das neue Rahmenwerk sieht weitgehende Verpflichtungen für die laufende Überprüfung von Drittdienstleistern sowie verpflichtende Vertragsbestandteile und Mindeststandards für Verträge mit IKT-Drittdienstleistern vor. Geplante Neuabschlüsse von Outsourcing-Verträgen sind der Aufsichtsbehörde anzuzeigen, sofern sich diese auf kritische oder wichtige IKT-Leistungen beziehen. Weiters müssen Finanzunternehmen Notfallpläne erstellen, die eine Wiedereingliederung von ausgelagerten IKT-Leistungen in die eigenen Strukturen ermöglicht und die Betriebsstabilität im Falle des Wegfalls des IKT-Drittdienstleisters sichert.

Beachtenswert ist in diesem Zusammenhang die Unterwerfung von als kritisch eingestuften IKT-Drittdienstleistern – das sind Unternehmen, die für die Funktionsfähigkeit von Finanzunternehmen wesentliche Leistungen anbieten – unter die Aufsicht der Aufsichtsbehörden. Dies stellt sowohl für die betroffenen IKT-Unternehmen, als auch für die Behörden eine große Umstellung dar, da insbesondere letztere hierfür vermehrt technisches Know-how aufbauen werden müssen.

Befugnisse der Aufsichtsbehörden

Den Aufsichtsbehörden werden umfangreiche Prüfungsbefugnisse eingeräumt, welche von klassischen Auskunftsrechten über Inspektionen, Vor-Ort-Prüfungen bis hin zu Vorladungen sowie Befragungen reichen.

Die vorgesehenen Strafen sehen u.a. Zwangsgelder in Höhe von bis zu 1 PRozent des weltweiten Tagesumsatzes (pro Tag!) sowie eine Veröffentlichung der Verstöße (Naming and Shaming) vor.

Grundsätzlich sind die Durchsetzungsbestimmungen aber weitestgehend von den Mitgliedstaaten selbst festzulegen und können auch strafrechtliche Konsequenzen umfassen.

Ausblick

Mit DORA hat der europäische Gesetzgeber ein umfassendes und sowohl für Finanzunternehmen als auch die Aufsichtsbehörden herausforderndes Regelwerk geschaffen. Ob dieses für mehr IKT-Sicherheit und Stabilität sorgen und größere Ausfälle im Finanzmarkt vermeiden wird, bleibt allerdings abzuwarten. Dass IKT-Systeme nunmehr regelmäßig verpflichtend durchleuchtet werden müssen, ist aber jedenfalls zu begrüßen, auch wenn dies weitestgehend bereits der gelebten Praxis entspricht.

Über die Autor:innen

Markus Aigner ist Banking & Finance Senior Associate bei der Anwaltssozietät Wolf Theiss. Helena Nyikos ist Banking & Finance Legal Trainee bei Wolf Theiss.

Deine ungelesenen Artikel:

Jeannette Gorzala

05.06.2026

Global AI Clash: Vom Konzept zur Revolution: Wer gestaltet die Strukturen für den Erfolg?

Gastbeitrag: Am 20.03.2026 publizierte die US-Administration das "National AI Legislative Framework", das insgesamt einen 7-Punkte-Plan enthält. Mit der KI-Expertin Jeannette Gorzala sehen wir uns in einer Serie die wichtigsten Kernaspekte im Vergleich USA, Europa und Österreich an. Diesmal im Fokus: Die Strategie in Bezug auf innovationsfördernde Maßnahmen. Wie werden KI-Innovationen gezielt gefördert?

/artikel/global-ai-clash-vom-konzept-zur-revolution-wer-gestaltet-die-strukturen-fuer-den-erfolg

Jeannette Gorzala

05.06.2026

Global AI Clash: Vom Konzept zur Revolution: Wer gestaltet die Strukturen für den Erfolg?

/artikel/global-ai-clash-vom-konzept-zur-revolution-wer-gestaltet-die-strukturen-fuer-den-erfolg

Der globale KI-Wettlauf hat nicht nur wirtschaftliche, sondern auch geopolitische Dimensionen erreicht. Sowohl die USA als auch Europa erkennen die Bedeutung strategischer Initiativen, um KI-Entwicklung aktiv zu fördern und zu gestalten. Trotz unterschiedlicher politischer und wirtschaftlicher Rahmenbedingungen verfolgen beide Regionen ähnliche Ziele, die auf strukturellen Innovationen beruhen. Insbesondere in den Bereichen Regulatory Sandboxes, Datenzugang und Behördenstrukturen existieren bemerkenswerte Parallelen.

Sandboxes: Flexibilität als Innovationstreiber

Sowohl die USA als auch Europa setzen auf Regulatory Sandboxes – flexible Räume, in denen Unternehmen Innovationen im Dialog mit Regulierungsbehörden entwickeln können, ohne sofort den vollen regulatorischen Anforderungen zu begegnen. Dies ermöglicht eine schnellere Markteinführung, während die Behörden wertvolle Erkenntnisse über Technologie sammeln.

In den USA sind Sandboxes bereits in zahlreichen Bundesstaaten etabliert (z.B. im Bereich FinTech, LegalTech). Das AI Legislative Framework aus März 2026 sieht nunmehr auch die Einrichtung von spezifischen KI-Sandboxes vor. Europa hingegen hat mit dem EU AI Act bereits in 2024 die Notwendigkeit von Sandboxes für den KI-Bereich formalisiert. Jeder EU-Mitgliedsstaat hat bis August 2026 mindestens eine horizontale KI-Sandbox zu etablieren, wobei ergänzend auch lokale, sektorspezifische und grenzüberschreitende Sandboxes möglich sind, um Innovationspotenziale zu bündeln. Ergänzend ermöglicht der EU AI Act auch das Testen von Hochrisiko-KI-Systemen unter Realbedingungen außerhalb von Sandboxes als innovationsfördernde Maßnahme.

Während die USA sehr markt- und wettbewerbsorientiert agieren, werden in der EU aktuell Ressourcen für die Umsetzung von Regulatory Sandboxes in Diskussionen zum Digitalen Omnibus gebunden. Durchführungsrechtsakte bleiben auf der Strecke, der Aufbau der Organisationsstruktur ist deutlich im Verzug. Debattiert wird sogar eine Verschiebung der Deadline für Sandboxes auf Dezember 2027.

Während die USA schneller agieren, könnte Europa trotz der Herausforderungen von der langfristigen Strukturierung profitieren. Für Unternehmen bedeutet dies, dass es unerlässlich ist, die regulatorischen Landschaften zu verstehen und in strategische Innovationspläne zu integrieren.

Daten: Zugang als Wettbewerbsvorteil

Zugang zu großen, qualitativ hochwertigen Datensätzen bleibt ein entscheidender Wettbewerbsvorteil im KI-Bereich. Die USA setzen im National AI Legislative Framework auf die Öffnung von staatlichen Datensätzen, um Unternehmen eine breitere Datenbasis für präzisere KI-Modelle zu bieten. Europa verfolgt einen ähnlichen Weg, allerdings mit stärkerer Berücksichtigung von Datenschutz und Sicherheit. Die Europäische Datenstrategie, unterstützt durch den Data Act und den Data Governance Act, fördert den freien Datenfluss innerhalb definierter regulatorischer Grenzen.

Der Data Act ermöglicht einen effizienteren Zugang zu und Austausch von Daten zwischen Unternehmen und öffentlichen Institutionen, indem er den rechtlichen Rahmen für die Nutzung öffentlicher und privater Datensätze schafft. Der Data Governance Act sorgt für eine verantwortungsvolle Nutzung dieser Daten, indem er die Einrichtung von sicheren Datenräumen fördert. Zusammen zielen diese Gesetze darauf ab, dass der freie Datenfluss vorangetrieben wird, ohne die Rechte der betroffenen Personen zu gefährden, was Unternehmen einen stabilen und sicheren Rahmen für die Nutzung von Daten zur Innovation und Wettbewerbsfähigkeit bietet.

Behördenstrukturen: Optimierung statt Expansion

Eine weitere bemerkenswerte Parallele ist die Nutzung bestehender Behördenstrukturen zur Überwachung von KI-Entwicklungen. In den USA soll die Aufsicht durch bereits etablierte Institutionen wie die Federal Trade Commission (FTC) und die Food and Drug Administration (FDA) erfolgen, die mit den jeweiligen Sektoren vertraut sind und schnell auf neue Entwicklungen reagieren können.

In Europa verfolgt der EU AI Act ebenfalls den Ansatz der Einbindung bestehender Aufsichtsbehörden und delegiert grundsätzlich die Marktüberwachungskompetenzen im KI-Bereich an bereits zuständige Sektorbehörden (z.B. Maschinen, Medizinprodukte, Spielzeug) und Datenschutzbehörden, um bürokratischen Overhead zu minimieren. Für jene Bereiche, für die es noch keine dezidierte Aufsichtsbehörde gibt (z.B. Personal, Bildung), muss eine Zuordnung der Aufsichtskompetenz erfolgen. Für KI-Modelle ist das neue EU AI Office in Brüssel zuständig, das zentralisiert die Aufsicht über KI-Modelle übernimmt. Auch hier liegt der Fokus auf der Optimierung bestehender Strukturen und der Vermeidung unnötiger bürokratischer Hürden.

Europa und die USA setzen in ihrer Struktur auf bewährte regulatorische Institutionen, um die Effizienz zu steigern und gleichzeitig Innovation zu fördern. Für Unternehmen bedeutet dies, dass sie aktiv mit den bestehenden Institutionen zusammenarbeiten müssen, um sicherzustellen, dass ihre Innovationen in beiden Regionen reibungslos integriert werden. Das Verständnis der regulatorischen Struktur wird zum Vorteil in einem zunehmend komplexen Marktumfeld.

An dieser Stelle ist die frühzeitige Einrichtung der KI-Servicestelle in Österreich bei der RTR GmbH hervorzuheben, die Unternehmen als Ansprechpartnerin bei allgemeinen Fragen und Anlaufstelle dient. Die KI-Servicestelle hat in diesem komplexen Marktumfeld, in dem noch einige (Zuständigkeits-)Fragen ungeklärt sind, einen sehr positiven Mehrwert für den KI-Standort Österreich erreicht und wurde als Best Practice auch auf europäischer Ebene als Blueprint identifiziert und als Instrument übernommen. Eine vergleichbare Informations- und Anlaufstelle ist in den USA nicht eingerichtet.

Fazit: Der strategische Blick

In der Wahrnehmung vieler gilt der US-Markt als der Goldstandard – mehr Möglichkeiten, weniger Regulierung, schnellere Innovation. Doch die Realität ist differenzierter: Auch in Europa gibt es gleiche Mittel und potenzielle Chancen.

Der zentrale Unterschied liegt in der Innovationskultur und der Bereitschaft, Risiken einzugehen und zu experimentieren. In den USA ist Fehlerkultur (Fail-forward Culture) tief verankert, Unternehmen sind häufig bereit, Fehler als Lernprozesse zu betrachten und unternehmerisches Scheitern nicht zu stigmatisieren. Diese Einstellung, gepaart mit einer dynamischen Finanzierungslandschaft insbesondere durch Venture Capital, ermöglicht es Startups und etablierten Unternehmen, schneller zu skalieren und zu innovieren.

In Europa hingegen bieten stabile Rahmenbedingungen ein Umfeld, das Sicherheit und langfristige Planung fördert. Mit einem Netzwerk von AI Factories findet in Europa ein bedeutender Infrastrukturausbau statt. Gleichzeitig bleibt jedoch die Fehlerkultur oft zurückhaltend, was zu einer vorsichtigeren Herangehensweise an Innovationen führt. Risikobereitschaft ist hier häufig geringer. Der Kapitalmarkt in Europa ist zwar gut etabliert, aber im Vergleich zu den USA oft weniger agil und fokussiert sich stärker auf etablierte Unternehmen, wodurch Startups und risikobehaftete Innovationen nicht immer die nötige finanzielle Unterstützung erhalten, um schnell zu skalieren und zu experimentieren.

Die Frage ist daher nicht, ob die Möglichkeiten vorhanden sind, sondern wer in beiden Märkten die nötige Geschwindigkeit und Innovationskultur aufbaut, um im globalen Wettbewerb nachhaltig zu wachsen. Ebenso entscheidend ist die richtige Balance zwischen langfristigem Investitionsansatz und agiler Kapitalbeschaffung, um eine erfolgreiche und nachhaltige Expansion zu ermöglichen.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag