Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

20.02.2023

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

Gastbeitrag. Die EU hat einen neuen Rechtsrahmen für die Beaufsichtigung von IT-Systemen beschlossen. Welcher Folgen dieser hat, erläutern Markus Aigner und Helena Nyikos von der Anwaltssozietät Wolf Theiss.

/artikel/dora-verordnung

✨ AI Kontextualisierung

Mit der am 16. Jänner 2023 in Kraft getretenen Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA), hat die Europäische Union ein einheitliches europäisches Aufsichtsregime zur Gewährleistung der Funktionsfähigkeit von Informations- und Kommunikationstechnologie-Systemen (IKT) im Finanzsektor erlassen. Dieser weist derzeit eine starke Abhängigkeit von IKT Systemen auf, wobei die fortschreitende Digitalisierung eine noch intensivere Einbindung von IKT erwarten lässt.

Mit DORA wurde nun ein Rahmenwerk zur Überprüfung sowie Beaufsichtigung von IKT-Systemen im Finanzsektor eingeführt, welches primär darauf abzielt, einheitliche Bestimmungen für Finanzunternehmen festzulegen. Dadurch soll europaweit die IKT-Sicherheit gestärkt sowie IKT- und Cybersicherheitsrisiken entgegengewirkt werden. Die Bestimmungen der Verordnung sind allerdings erst ab 17. Jänner 2025 anwendbar, womit der Finanzbranche noch ausreichend Vorbereitungszeit bleibt.

Worauf sich die Finanzbranche jetzt einstellen muss

Doch worauf muss sich die Finanzbranche jetzt einstellen, welche Anpassungen sind notwendig und sind ausschließlich Finanzdienstleister erfasst?

DORA teilt sich im Wesentlichen in die Abschnitte IKT-Risikomanagement, Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Testen der digitalen operationalen Resilienz, Management des IKT-Drittparteienrisikos sowie administrative Bestimmungen.

Die Europäische Union hat den Adressatenkreis, welcher unter dem Sammelbegriff „Finanzunternehmen“ zusammengefasst wird, bewusst weit gefasst, um u.a. sowohl den klassischen Finanzmarkt (z.B. Kreditinstitute, Zahlungsinstitute und Wertpapierfirmen), die Versicherungsbranche, aber auch alternative Finanzierungsanbieter (Crowdfunding und Krypto-Dienstleister) zu verpflichten. Beachtenswert dabei ist, dass auch IKT-Unternehmen selbst in den Anwendungsbereich der Verordnung fallen. Dieser Schritt wurde bewusst gewählt, da die Europäische Union die Auslagerung (das „Outsourcing“) spezifisch in der Verordnung adressiert und offenbar auch als eigenes Risikofeld betrachtet.

Ein wesentlicher Eckpfeiler von DORA ist der Grundsatz der Verhältnismäßigkeit, gemäß dem Finanzunternehmen die Vorgaben angepasst an ihre Größe, ihr Risikoprofil sowie die Komplexität ihrer Tätigkeit umzusetzen bzw. anwenden müssen. Damit sollen u.a. überschießenden Verpflichtungen für kleinere Unternehmen vermieden werden.

Darüber hinaus können viele der Verpflichtungen innerhalb eines Konzerns sowie auch an externe Dritte ausgelagert werden. Die Letztverantwortung verbleibt allerdings immer beim Management des Finanzunternehmens.

Aufbau von IKT-Risikomanagementstrukturen

Finanzunternehmen sind verpflichtet eine umfassende interne IKT-Risikomanagement und -kontrollstruktur zu errichten, welche insbesondere einen Verantwortlichen für die Überwachung von ausgelagerten IKT-Dienstleistungen, eine Fortbildungsverpflichtung des Managements, aber auch Pläne für den Umgang mit IKT-Vorfällen und die Eindämmung von Schäden bzw. die Fortführung des Finanzunternehmens im Falle eines IKT-Vorfalls vorzusehen hat. Darüber hinaus müssen Finanzunternehmen im Rahmen ihres Gesamtrisikomanagements einen IKT-Risikomanagementrahmen erstellen und dokumentieren. Dieser soll dazu dienen Risiken zu erkennen und zu minimieren. Der Rahmen ist mindestens einmal jährlich zu überprüfen und anzupassen.

Generell besteht die Verpflichtung für angemessenen Schutz der IKT-Systeme zu sorgen, sämtliche verwendeten Systeme, Protokolle und Tools auf dem neuesten Stand zu halten und die IKT-Systeme laufend zu überwachen sowie potentielle Risiken zu identifizieren. Daneben müssen angemessene Back-ups und Methoden zur Wiedergewinnung und Wiederherstellung von Daten etabliert werden, wobei Zentralverwahrer einen zusätzlichen „Ausweichstandort“ haben müssen, der im Bedarfsfall die Geschäftsabwicklung übernehmen kann.

Was tun, wenn die IKT-Systeme beeinträchtigt werden?

Sollte es zu einem IKT-Vorfall kommen, der erhebliche Auswirkungen auf die Systeme eines Finanzunternehmens hat, unterliegt dieses umfassenden Meldeverpflichtungen gegenüber der für das Finanzunternehmen zuständigen Aufsichtsbehörde – für Österreich in der Regel die Finanzmarktaufsichtsbehörde (FMA). Darüber hinaus bestehen, sofern finanzielle Interessen von Kunden betroffen sind, ebenso gegenüber diesen Meldeverpflichtungen. Auf freiwilliger Basis können auch Cyberbedrohungen gemeldet werden.

„Stresstests“ für die IT

Ein Herzstück von DORA bilden die bedrohungsorientierten Penetrationstests (Threat-Led Penetration Testing – kurz TLPT). Finanzunternehmen werden verpflichtet, ihre IKT-Systeme regemäßigen Stresstests zu unterziehen, um etwaige Schwächen und Lücken aufzudecken sowie die Abläufe bei Beeinträchtigungen der IKT-Infrastruktur zu üben.

Das Konzept von Stresstests ist dem Aufsichtsrecht allerdings nicht fremd. Im Bereich der Kapitalvorschriften wurden schon also Folge der Bankenkrise 2008 die medial immer wieder präsenten Bankenstresstests eingeführt, bei denen das Kapital der Banken auf Krisenresistenz getestet wird. In Branchen, die mit sensiblen Daten arbeiten, ist die Beauftragung von professionellen Hackern zur Überprüfung der eigenen Sicherheitssysteme ohnedies bereits weit verbreitet.

Die Umsetzung dieser Vorgaben dürfte daher für die meisten Unternehmen unproblematisch sein. Auf IT-Sicherheit bzw. professionelle Hackerangriffe spezialisierte Unternehmen dürften von DORA jedenfalls profitieren.

IKT-Outsourcing

Ein weiteres Kernstück von DORA stellt das Risikomanagement von ausgelagerten IKT-Leistungen dar. Die Europäische Union hat die Definition des „IKT-Drittdienstleisters“ dabei bewusst weit gefasst, um das Outsourcing von IKT-Leistungen im Finanzbereich möglichst umfassend in den Anwendungsbereich der Verordnung mitaufzunehmen. Darunter fallen z.B. auch die Cloud Anbieter und Entwickler von Banking-Apps.

Das neue Rahmenwerk sieht weitgehende Verpflichtungen für die laufende Überprüfung von Drittdienstleistern sowie verpflichtende Vertragsbestandteile und Mindeststandards für Verträge mit IKT-Drittdienstleistern vor. Geplante Neuabschlüsse von Outsourcing-Verträgen sind der Aufsichtsbehörde anzuzeigen, sofern sich diese auf kritische oder wichtige IKT-Leistungen beziehen. Weiters müssen Finanzunternehmen Notfallpläne erstellen, die eine Wiedereingliederung von ausgelagerten IKT-Leistungen in die eigenen Strukturen ermöglicht und die Betriebsstabilität im Falle des Wegfalls des IKT-Drittdienstleisters sichert.

Beachtenswert ist in diesem Zusammenhang die Unterwerfung von als kritisch eingestuften IKT-Drittdienstleistern – das sind Unternehmen, die für die Funktionsfähigkeit von Finanzunternehmen wesentliche Leistungen anbieten – unter die Aufsicht der Aufsichtsbehörden. Dies stellt sowohl für die betroffenen IKT-Unternehmen, als auch für die Behörden eine große Umstellung dar, da insbesondere letztere hierfür vermehrt technisches Know-how aufbauen werden müssen.

Befugnisse der Aufsichtsbehörden

Den Aufsichtsbehörden werden umfangreiche Prüfungsbefugnisse eingeräumt, welche von klassischen Auskunftsrechten über Inspektionen, Vor-Ort-Prüfungen bis hin zu Vorladungen sowie Befragungen reichen.

Die vorgesehenen Strafen sehen u.a. Zwangsgelder in Höhe von bis zu 1 PRozent des weltweiten Tagesumsatzes (pro Tag!) sowie eine Veröffentlichung der Verstöße (Naming and Shaming) vor.

Grundsätzlich sind die Durchsetzungsbestimmungen aber weitestgehend von den Mitgliedstaaten selbst festzulegen und können auch strafrechtliche Konsequenzen umfassen.

Ausblick

Mit DORA hat der europäische Gesetzgeber ein umfassendes und sowohl für Finanzunternehmen als auch die Aufsichtsbehörden herausforderndes Regelwerk geschaffen. Ob dieses für mehr IKT-Sicherheit und Stabilität sorgen und größere Ausfälle im Finanzmarkt vermeiden wird, bleibt allerdings abzuwarten. Dass IKT-Systeme nunmehr regelmäßig verpflichtend durchleuchtet werden müssen, ist aber jedenfalls zu begrüßen, auch wenn dies weitestgehend bereits der gelebten Praxis entspricht.

Über die Autor:innen

Markus Aigner ist Banking & Finance Senior Associate bei der Anwaltssozietät Wolf Theiss. Helena Nyikos ist Banking & Finance Legal Trainee bei Wolf Theiss.

Deine ungelesenen Artikel:

Momcilo Nikolic

08.06.2026

250.000 Euro Förderung: Wiener Startup Nifty IP baut KI-Schutzplattform aus

Kreative Inhalte werden zunehmend für das Training generativer KI-Systeme genutzt – oft ohne transparente Nachvollziehbarkeit für Rechteinhaber. Das Wiener Startup Nifty IP will hier ansetzen und baut nach ersten Förderungen und Eigeninvestitionen seine Plattform weiter aus.

/artikel/250-000-euro-foerderung-wiener-startup-nifty-ip-baut-ki-schutzplattform-aus

Momcilo Nikolic

08.06.2026

250.000 Euro Förderung: Wiener Startup Nifty IP baut KI-Schutzplattform aus

/artikel/250-000-euro-foerderung-wiener-startup-nifty-ip-baut-ki-schutzplattform-aus

Stile und Werke von Kreativschaffenden landen oft ungewollt im Training generativer KI. Nifty IP will das ändern – mit einem Werkzeug, das Schutz und Kontrolle ermöglichen soll – brutkasten berichtete bereits im Vorjahr.

Nifty IP mit frischem Kapital

Seitdem hat sich bei der Wiener FlexCo einiges getan. Man erhielt eine Förderung in Höhe von 250.000 Euro – 150.000 Euro aus dem „AI Adoption Programm“ des aws, 40.000 Euro Förderung durch das „Media Innovation Lab“ der Wiener Zeitung und rund 60.000 Euro Eigeninvestitionen der Gründer. Zudem etwa 2.000 Euro an „Google Cloud Credits“.

Die neuen Mittel werden künftig für den Aufbau der technischen Infrastruktur, die Analyse großer Datensätze und KI-Modelle sowie die Weiterentwicklung der Plattform eingesetzt.

„Millionen Bilder, Illustrationen und kreative Werke wurden bereits für das Training generativer KI-Systeme verwendet. Für die meisten Rechteinhaber ist jedoch kaum nachvollziehbar, ob ihre Inhalte betroffen sind oder welche Möglichkeiten sie haben, darauf zu reagieren“, sagt Sabrina Masur, Co-Founderin und CEO von Nifty IP. „Der aktuelle Prototyp von uns unterstützt Rechteinhaber dabei, mögliche Verwendungen ihrer Werke im KI-Kontext zu identifizieren und zu analysieren.“

Dokumentation der Ergebnisse

Dabei können Nutzer:innen ihre Bilder hochladen und prüfen lassen, ob Hinweise auf eine Nutzung ihrer Inhalte in Datensätzen oder im Umfeld generativer KI vorliegen. Die Ergebnisse werden dokumentiert und in nachvollziehbarer Form aufbereitet. Darüber hinaus bietet die Plattform Monitoring-Funktionen: Rechteinhaber können ihre Werke registrieren und werden benachrichtigt, wenn künftig neue potenzielle Verwendungen erkannt werden. Ziel des Teams ist es nicht nur, vergangene Nutzungen sichtbar zu machen, sondern auch zukünftige Verwendungen frühzeitig zu erkennen.

Technisch nutzt Nifty IP eine Kombination aus Bildanalyse-, Vergleichs- und Forensikverfahren. Registrierte Bilder werden mit bekannten Datensätzen und Bildsammlungen – die für das Training von KI verwendet werden – und weiteren relevanten Quellen abgeglichen, um potenzielle Verwendungen urheberrechtlich geschützter Inhalte zu identifizieren und nachvollziehbar zu dokumentieren.

„Membership-Inference“

Zusätzlich setzt Nifty IP sogenannte „Membership-Inference“-Verfahren ein. Diese ermöglichen es, punktuell auch sogenannte Blackbox-Modelle zu untersuchen, also KI-Modelle, deren Trainingsdaten von den Anbietern nicht offengelegt werden.

Ein weiterer Bestandteil der Plattform ist die Analyse von Websites auf Schutzmaßnahmen gegen KI-Crawler. Nifty IP prüft bestehende Schutzmechanismen und kann technische Maßnahmen empfehlen oder automatisiert umsetzen, um die Sichtbarkeit für KI-Crawler einzuschränken.

„Viele Künstler, Agenturen oder Museen wissen gar nicht, dass ihre Inhalte automatisiert von KI-Systemen erfasst werden können, wenn man dies nicht explizit verbietet“, erklärt Masur. „Nifty IP deckt daher den gesamten Schutzprozess ab: von der Prävention gegen KI-Crawler über den Nachweis und die Dokumentation der unerlaubten Nutzung zum Training von KI bis hin zum Monitoring zur Früherkennung von weiteren Verstößen.“

Nifty IP: Fokus auf größere Unternehmen

Zur Zielgruppe des Startups gehören Künstler:innen, Fotografen:innen, Illustrator:innen und Agenturen, da sie besonders stark von den Auswirkungen generativer KI betroffen seien. Über die Plattform können jene ihre Werke analysieren, überwachen und „künftig besser schützen“.

„Unser momentaner Fokus liegt zurzeit jedoch stark bei größeren Unternehmen und Organisationen, die umfangreiche Content-Bestände verwalten. Dazu zählen besonders große Stock-Plattformen, Verwertungsgesellschaften, Medienhäuser und Verlage, die Millionen von Werken verwalten. Mit mehreren großen Akteuren aus diesen Bereichen stehen wir bereits im Austausch und das Interesse ist sehr hoch“, präzisiert die Founderin.

Überwachen statt Verändern

Die Abgrenzung zur bestehenden Konkurrenz wie Glaze, Nightshade oder Spawning.ai liegt darin, dass etwa Glaze und Nightshade einen präventiven Ansatz verfolgen würden und Inhalte vor der Veröffentlichung verändern, um zukünftiges KI-Training zu erschweren oder die Qualität späterer Modelltrainings zu beeinflussen.

„Nifty IP verfolgt dagegen einen anderen Ansatz. Wir versuchen nicht, KI-Modelle oder Trainingsprozesse zu beeinflussen, sondern entwickeln forensische Werkzeuge, die Rechteinhabern helfen sollen, die potenzielle Nutzung ihrer Inhalte nachzuweisen, zu dokumentieren und kontinuierlich zu überwachen. Damit beschäftigen wir uns eher mit der Frage: Was passiert, wenn Inhalte trotz Schutzmaßnahmen oder ohne Wissen der Rechteinhaber bereits für KI-Training verwendet wurden“, erklärt Masur ihre Arbeitsweise. „Darüber hinaus arbeiten wir gemeinsam mit spezialisierten Kanzleien an standardisierten Prozessen für Dokumentation und rechtliche Durchsetzung, um die Brücke zwischen technischer Analyse und praktischer Anwendbarkeit für Rechteinhaber zu schließen. Unser Ziel ist es nicht nur mehr ihnen Transparenz zu verschaffen, sondern Betroffenen auch konkrete Handlungsmöglichkeiten zu geben, wenn ihre Inhalte ohne Zustimmung genutzt werden.“

Ziel: Datenbasis aufbauen

In den kommenden Monaten konzentriert sich Nifty IP auf die kontinuierliche Indexierung relevanter Datensätze und den Ausbau seiner Analyse- und Monitoring-Infrastruktur. Parallel dazu steht man mit mehreren größeren Plattformen, Rechteinhabern und Akteuren der Kreativwirtschaft im Austausch, um strategische Partnerschaften und erste Pilotprojekte zu evaluieren, wie die Founderin erklärt.

„Gleichzeitig“, gibt Masur einen weiteren Einblick in die nächste Zeit ihres Unternehmens, „bereiten wir die nächsten Wachstumsschritte (Seed-Round) vor und führen Gespräche mit potenziellen Investoren und strategischen Partnern. So wollen wir den weiteren Ausbau der Plattform beschleunigen und den Schutz kreativer Inhalte im Zeitalter generativer KI langfristig stärken.“

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag