20.02.2023

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

Gastbeitrag. Die EU hat einen neuen Rechtsrahmen für die Beaufsichtigung von IT-Systemen beschlossen. Welcher Folgen dieser hat, erläutern Markus Aigner und Helena Nyikos von der Anwaltssozietät Wolf Theiss.
/artikel/dora-verordnung
Markus Aigner und Helena Nyikos
Markus Aigner und Helena Nyikos | Foto: Wolf Theiss / Adobe Stock (Hintergrund)

Mit der am 16. Jänner 2023 in Kraft getretenen Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA), hat die Europäische Union ein einheitliches europäisches Aufsichtsregime zur Gewährleistung der Funktionsfähigkeit von Informations- und Kommunikationstechnologie-Systemen (IKT) im Finanzsektor erlassen. Dieser weist derzeit eine starke Abhängigkeit von IKT Systemen auf, wobei die fortschreitende Digitalisierung eine noch intensivere Einbindung von IKT erwarten lässt.

Mit DORA wurde nun ein Rahmenwerk zur Überprüfung sowie Beaufsichtigung von IKT-Systemen im Finanzsektor eingeführt, welches primär darauf abzielt, einheitliche Bestimmungen für Finanzunternehmen festzulegen. Dadurch soll europaweit die IKT-Sicherheit gestärkt sowie IKT- und Cybersicherheitsrisiken entgegengewirkt werden. Die Bestimmungen der Verordnung sind allerdings erst ab 17. Jänner 2025 anwendbar, womit der Finanzbranche noch ausreichend Vorbereitungszeit bleibt.

Worauf sich die Finanzbranche jetzt einstellen muss

Doch worauf muss sich die Finanzbranche jetzt einstellen, welche Anpassungen sind notwendig und sind ausschließlich Finanzdienstleister erfasst?

DORA teilt sich im Wesentlichen in die Abschnitte IKT-Risikomanagement, Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Testen der digitalen operationalen Resilienz, Management des IKT-Drittparteienrisikos sowie administrative Bestimmungen.

Die Europäische Union hat den Adressatenkreis, welcher unter dem Sammelbegriff “Finanzunternehmen” zusammengefasst wird, bewusst weit gefasst, um u.a. sowohl den klassischen Finanzmarkt (z.B. Kreditinstitute, Zahlungsinstitute und Wertpapierfirmen), die Versicherungsbranche, aber auch alternative Finanzierungsanbieter (Crowdfunding und Krypto-Dienstleister) zu verpflichten. Beachtenswert dabei ist, dass auch IKT-Unternehmen selbst in den Anwendungsbereich der Verordnung fallen. Dieser Schritt wurde bewusst gewählt, da die Europäische Union die Auslagerung (das “Outsourcing”) spezifisch in der Verordnung adressiert und offenbar auch als eigenes Risikofeld betrachtet.

Ein wesentlicher Eckpfeiler von DORA ist der Grundsatz der Verhältnismäßigkeit, gemäß dem Finanzunternehmen die Vorgaben angepasst an ihre Größe, ihr Risikoprofil sowie die Komplexität ihrer Tätigkeit umzusetzen bzw. anwenden müssen. Damit sollen u.a. überschießenden Verpflichtungen für kleinere Unternehmen vermieden werden.

Darüber hinaus können viele der Verpflichtungen innerhalb eines Konzerns sowie auch an externe Dritte ausgelagert werden. Die Letztverantwortung verbleibt allerdings immer beim Management des Finanzunternehmens.

Aufbau von IKT-Risikomanagementstrukturen

Finanzunternehmen sind verpflichtet eine umfassende interne IKT-Risikomanagement und -kontrollstruktur zu errichten, welche insbesondere einen Verantwortlichen für die Überwachung von ausgelagerten IKT-Dienstleistungen, eine Fortbildungsverpflichtung des Managements, aber auch Pläne für den Umgang mit IKT-Vorfällen und die Eindämmung von Schäden bzw. die Fortführung des Finanzunternehmens im Falle eines IKT-Vorfalls vorzusehen hat. Darüber hinaus müssen Finanzunternehmen im Rahmen ihres Gesamtrisikomanagements einen IKT-Risikomanagementrahmen erstellen und dokumentieren. Dieser soll dazu dienen Risiken zu erkennen und zu minimieren. Der Rahmen ist mindestens einmal jährlich zu überprüfen und anzupassen.

Generell besteht die Verpflichtung für angemessenen Schutz der IKT-Systeme zu sorgen, sämtliche verwendeten Systeme, Protokolle und Tools auf dem neuesten Stand zu halten und die IKT-Systeme laufend zu überwachen sowie potentielle Risiken zu identifizieren. Daneben müssen angemessene Back-ups und Methoden zur Wiedergewinnung und Wiederherstellung von Daten etabliert werden, wobei Zentralverwahrer einen zusätzlichen “Ausweichstandort” haben müssen, der im Bedarfsfall die Geschäftsabwicklung übernehmen kann.

Was tun, wenn die IKT-Systeme beeinträchtigt werden?

Sollte es zu einem IKT-Vorfall kommen, der erhebliche Auswirkungen auf die Systeme eines Finanzunternehmens hat, unterliegt dieses umfassenden Meldeverpflichtungen gegenüber der für das Finanzunternehmen zuständigen Aufsichtsbehörde – für Österreich in der Regel die Finanzmarktaufsichtsbehörde (FMA). Darüber hinaus bestehen, sofern finanzielle Interessen von Kunden betroffen sind, ebenso gegenüber diesen Meldeverpflichtungen. Auf freiwilliger Basis können auch Cyberbedrohungen gemeldet werden.

“Stresstests” für die IT

Ein Herzstück von DORA bilden die bedrohungsorientierten Penetrationstests (Threat-Led Penetration Testing – kurz TLPT). Finanzunternehmen werden verpflichtet, ihre IKT-Systeme regemäßigen Stresstests zu unterziehen, um etwaige Schwächen und Lücken aufzudecken sowie die Abläufe bei Beeinträchtigungen der IKT-Infrastruktur zu üben.

Das Konzept von Stresstests ist dem Aufsichtsrecht allerdings nicht fremd. Im Bereich der Kapitalvorschriften wurden schon also Folge der Bankenkrise 2008 die medial immer wieder präsenten Bankenstresstests eingeführt, bei denen das Kapital der Banken auf Krisenresistenz getestet wird. In Branchen, die mit sensiblen Daten arbeiten, ist die Beauftragung von professionellen Hackern zur Überprüfung der eigenen Sicherheitssysteme ohnedies bereits weit verbreitet.

Die Umsetzung dieser Vorgaben dürfte daher für die meisten Unternehmen unproblematisch sein. Auf IT-Sicherheit bzw. professionelle Hackerangriffe spezialisierte Unternehmen dürften von DORA jedenfalls profitieren.

IKT-Outsourcing

Ein weiteres Kernstück von DORA stellt das Risikomanagement von ausgelagerten IKT-Leistungen dar. Die Europäische Union hat die Definition des “IKT-Drittdienstleisters” dabei bewusst weit gefasst, um das Outsourcing von IKT-Leistungen im Finanzbereich möglichst umfassend in den Anwendungsbereich der Verordnung mitaufzunehmen. Darunter fallen z.B. auch die Cloud Anbieter und Entwickler von Banking-Apps.

Das neue Rahmenwerk sieht weitgehende Verpflichtungen für die laufende Überprüfung von Drittdienstleistern sowie verpflichtende Vertragsbestandteile und Mindeststandards für Verträge mit IKT-Drittdienstleistern vor. Geplante Neuabschlüsse von Outsourcing-Verträgen sind der Aufsichtsbehörde anzuzeigen, sofern sich diese auf kritische oder wichtige IKT-Leistungen beziehen. Weiters müssen Finanzunternehmen Notfallpläne erstellen, die eine Wiedereingliederung von ausgelagerten IKT-Leistungen in die eigenen Strukturen ermöglicht und die Betriebsstabilität im Falle des Wegfalls des IKT-Drittdienstleisters sichert.

Beachtenswert ist in diesem Zusammenhang die Unterwerfung von als kritisch eingestuften IKT-Drittdienstleistern – das sind Unternehmen, die für die Funktionsfähigkeit von Finanzunternehmen wesentliche Leistungen anbieten – unter die Aufsicht der Aufsichtsbehörden. Dies stellt sowohl für die betroffenen IKT-Unternehmen, als auch für die Behörden eine große Umstellung dar, da insbesondere letztere hierfür vermehrt technisches Know-how aufbauen werden müssen.

Befugnisse der Aufsichtsbehörden

Den Aufsichtsbehörden werden umfangreiche Prüfungsbefugnisse eingeräumt, welche von klassischen Auskunftsrechten über Inspektionen, Vor-Ort-Prüfungen bis hin zu Vorladungen sowie Befragungen reichen.

Die vorgesehenen Strafen sehen u.a. Zwangsgelder in Höhe von bis zu 1 PRozent des weltweiten Tagesumsatzes (pro Tag!) sowie eine Veröffentlichung der Verstöße (Naming and Shaming) vor.

Grundsätzlich sind die Durchsetzungsbestimmungen aber weitestgehend von den Mitgliedstaaten selbst festzulegen und können auch strafrechtliche Konsequenzen umfassen.

Ausblick

Mit DORA hat der europäische Gesetzgeber ein umfassendes und sowohl für Finanzunternehmen als auch die Aufsichtsbehörden herausforderndes Regelwerk geschaffen. Ob dieses für mehr IKT-Sicherheit und Stabilität sorgen und größere Ausfälle im Finanzmarkt vermeiden wird, bleibt allerdings abzuwarten. Dass IKT-Systeme nunmehr regelmäßig verpflichtend durchleuchtet werden müssen, ist aber jedenfalls zu begrüßen, auch wenn dies weitestgehend bereits der gelebten Praxis entspricht.


Über die Autor:innen

Markus Aigner ist Banking & Finance Senior Associate bei der Anwaltssozietät Wolf Theiss. Helena Nyikos ist Banking & Finance Legal Trainee bei Wolf Theiss.

Deine ungelesenen Artikel:
21.03.2024

Künstliche Intelligenz & Suchmaschinenoptimierung – Chance oder Risiko?

Gastbeitrag. Was bedeutet der Aufstieg von künstlicher Intelligenz (KI) für Suchmaschinenoptimierung (SEO)? Johannes Luger von SEOschmiede erläutert Chancen und Risiken für Website-Betreiber:innen.
/artikel/ki-seo-chance-oder-risiko
21.03.2024

Künstliche Intelligenz & Suchmaschinenoptimierung – Chance oder Risiko?

Gastbeitrag. Was bedeutet der Aufstieg von künstlicher Intelligenz (KI) für Suchmaschinenoptimierung (SEO)? Johannes Luger von SEOschmiede erläutert Chancen und Risiken für Website-Betreiber:innen.
/artikel/ki-seo-chance-oder-risiko
Johannes Luger von SEOschmiede über KI & SEO
Johannes Luger von SEOschmiede | Foto: SEOschmiede, Adobe Stock (Hintergrund)

Die rasante Entwicklung künstlicher Intelligenz (KI) revolutioniert die Welt des Online-Marketings. KI bietet Unterstützung bei der Analyse von Daten und der Erstellung von Inhalten, doch der Einsatz birgt auch Risiken für Website-Betreiber:innen.

Was sich für Onlineshops & Websites durch KI ändert

Noch bevor fortschrittliche Technologien wie ChatGPT den Markt erreichten, erleichterten Plattformen wie Fiverr, Upwork und Co. die Erstellung von Webinhalten erheblich. Diese Online-Marktplätze ermöglichten es, auf ein globales Netzwerk von Freelancer:innen zuzugreifen, die Texte, Grafiken und andere Inhalte zu erschwinglichen Preisen anbieten.

Der einfache Zugang zu Inhalten und spätestens die Einführung von ChatGPT führte zu einer erheblichen Zunahme von Duplikaten und nur geringfügig modifizierten Texten im Internet, was letztlich die Qualität der Suchergebnisse beeinträchtigte.

Als Antwort darauf setzte Google mehrere Updates durch, zuletzt im März 2024, um gegen minderwertige Inhalte vorzugehen und das Nutzererlebnis zu verbessern.

Um sich in diesem veränderten Umfeld hervorzuheben, ist es heutzutage entscheidend, einzigartige und originelle Inhalte zu erstellen, die sich klar von der Masse abheben. Sichtbarkeit in den Suchmaschinen wird zukünftig mehr denn je mit authentischem und unverwechselbarem Content verbunden sein.

Interaktivität wird unglaublich wichtig

Interaktivität entwickelt sich aus Sicht der SEO-Agentur SEOschmiede zu einem zentralen Element einer herausragenden Nutzererfahrung. Rechner, Tools, interaktive Checklisten und Tabellen, unterstützt durch den Einsatz von künstlicher Intelligenz (KI), werden zu einem entscheidenden Faktor in der Content-Strategie. Die gute Nachricht ist, dass KI hervorragend eingesetzt werden kann, um solche interaktiven Anwendungen zu entwickeln.

In der nahen Zukunft wird entscheidend sein, welche Akteur:innen im digitalen Umfeld die Nase vorn haben werden. Aus SEO-Perspektive könnte argumentiert werden, dass Webseiten mit interaktiven Features durch längere Verweilzeiten und ihr Potenzial als linkwürdige Assets – also Inhalte, die zur Verlinkung durch andere Webseiten anregen – einen klaren Wettbewerbsvorteil erzielen.

Dies bedeutet, dass Webseitenbetreiber:innen, die in interaktive Tools investieren und diese durch KI noch weiter verbessern, nicht nur das Engagement und die Zufriedenheit ihrer Nutzer:innen steigern, sondern auch ihre Sichtbarkeit und vor allem die Autorität im Internet weiter ausbauen können. In einer Zeit, in der der Wettbewerb um Aufmerksamkeit stetig wächst, könnte dies ein entscheidender Faktor für den Erfolg sein.

Funktioniert klassische SEO-Optimierung noch?

Die Landschaft der Suchmaschinenoptimierung (SEO) ist dynamisch, doch grundlegende Optimierungsstrategien bleiben auch in Zeiten von ChatGPT und weiteren KI-Tools erhalten. Dazu gehören Maßnahmen wie die Optimierung von Title-Tags, die Strukturierung von Überschriften und weitere Faktoren wie Meta-Beschreibungen, Alt-Texte für Bilder, interne Verlinkungen sowie der Fokus auf Suchintentionen der Zielgruppen. Diese Maßnahmen sind keineswegs überholt; vielmehr bilden sie das Fundament für eine effektive SEO.

Googles primäres Ziel war und ist es, die Nutzererfahrung zu verbessern. Die Qualität und Relevanz des Contents, eine klare und logische Website-Architektur sowie eine mobilfreundliche Gestaltung sind Aspekte, die in diesem Bestreben weiterhin entscheidend sind.

Es ist möglich, dass die Bedeutung von Backlinks als Rankingfaktor zugunsten von Nutzersignalen, wie etwa der Verweildauer oder der Interaktionsrate, leicht abnimmt. Auch der Pagespeed, also die Ladezeit einer Webseite, wird wahrscheinlich an Bedeutung gewinnen, da dieser die Nutzerzufriedenheit direkt beeinflusst. Aber das bleibt vorerst Spekulation.

SEO für ChatGPT und andere Sprachmodelle (LLMs)

Neben den etablierten Kanälen wie Suchmaschinen und Social Media entsteht mit den fortschrittlichen Sprachmodellen wie ChatGPT ein neuer, wesentlicher Bereich für das Online-Marketing. Für Expert:innen in diesem Sektor ist es unerlässlich, die Bedeutung der Optimierung in diesem neuen Umfeld zu erkennen.

Der Grund dafür liegt auf der Hand: Menschen beginnen, direkt in LLMs (Large Language Models) nach Informationen, Dienstleistungen oder Produkten zu suchen. Die Anpassung an diese Entwicklung ist nicht nur eine Option, sondern eine Notwendigkeit für zukunftsorientierte Marketingstrategien. Die Optimierung für LLMs ähnelt auf den ersten Blick der Suchmaschinenoptimierung, hat aber ihre eigenen Feinheiten und ist sehr viel dynamischer, wie einige Tests bereits zeigen konnten.

Fazit

Die rasante Entwicklung der künstlichen Intelligenz (KI) im Online-Marketing präsentiert sowohl signifikante Chancen als auch Herausforderungen für die gesamte Branche. KI transformiert die Landschaft durch fortschrittliche Datenanalyse und Content-Erstellung, fordert aber gleichzeitig Website-Betreiber:innen heraus, sich durch hochwertigen Content von der Masse abzuheben. Die Integration von KI zur Entwicklung interaktiver Tools öffnet neue Wege, um Nutzerbindung und -zufriedenheit zu verbessern, was essenziell für die Steigerung der Online-Sichtbarkeit und -Autorität ist.

Obwohl die Bedeutung klassischer SEO-Techniken bestehen bleibt, zeichnet sich ein Wandel hin zu Nutzersignalen und einer agileren Optimierung von Inhalten ab. Die Anpassung an neue Technologien wie fortschrittliche Sprachmodelle, exemplarisch ChatGPT, wird zunehmend kritisch, um in der dynamischen digitalen Welt erfolgreich zu sein.

Für Online-Marketer:innen, Shopbetreiber:innen und Website-Besitzer:innen bergen die aktuellen Entwicklungen sowohl enorme Chancen als auch alltägliche Herausforderungen. Der Wettbewerb im Bereich der Suchmaschinenoptimierung und des Online-Marketings wird intensiver, was sowohl Gewinner als auch Verlierer hervorbringen wird.

Es ist entscheidend, sich kontinuierlich mit den neuesten Trends und Entwicklungen auseinanderzusetzen und schnell auf Neuerungen reagieren zu können. Diese Anpassungsfähigkeit ist der Schlüssel, um die sich bietenden Möglichkeiten zu ergreifen und den bevorstehenden Herausforderungen effektiv zu begegnen.


Über den Autor

Johannes Luger ist Gründer und Head of SEO bei SEOschmiede. Die Agentur für SEO & Content Marketing hat Standorte in Wien und Oberösterreich. Sie ist offizieller Google Ads Partner.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Neue IT-Verordnung der EU: Worauf sich die Finanzbranche jetzt einstellen muss