IT-Risiko-Aufsicht
IT-Risiko-Aufsicht
Die Abteilung I/6 ist in der österreichischen Finanzmarktaufsicht (FMA) für die IT-Risiko-Aufsicht von Less Significant Institutions (LSI), Zahlungsinstituten und E-Geld-Instituten zuständig. Aufsichtliches Ziel ist es, die Widerstandsfähigkeit dieser Institute gegenüber IT-Risiken und Cyberbedrohungen zu stärken.
Im Rahmen ihrer Aufsichtstätigkeit unterstützt die FMA die beaufsichtigten Unternehmen bei der Umsetzung der gesetzlichen Vorgaben durch transparent kommunizierte aufsichtliche Erwartungshaltungen und der Bereitstellung von umfassenden Informationen auf ihrer Website.
Ein besonderer Schwerpunkt liegt in der FMA auf der sektorübergreifenden Koordinierung der DORA-Aufsicht. Die Umsetzung der Anforderungen der Verordnung über digitale operationale Resilienz (DORA) erfordert eine bereichsübergreifende Zusammenarbeit innerhalb der FMA, um eine einheitliche, effiziente und risikoorientierte Aufsicht über alle betroffenen Finanzmarktteilnehmer sicherzustellen.
Weiterführende Informationen finden Sie auf der DORA-Themenseite der FMA.
Die fortschreitende Digitalisierung bringt zahlreiche Innovationen und Effizienzgewinne für den Finanzsektor mit sich – zugleich steigen jedoch die Anforderungen an die IT-Sicherheit und digitale operationelle Resilienz gegenüber Störungen, Ausfällen oder Cyberangriffen.
Die FMA überwacht im Rahmen ihrer IT-Risiko-Aufsicht, wie Finanzunternehmen diesen Herausforderungen begegnen und ihre Systeme gegen Cyberangriffe, technische Ausfälle und andere operationelle Risiken absichern.
Ein zentrales Regulierungsinstrument zur Stärkung der digitalen Resilienz ist die Verordnung über digitale operationale Resilienz (DORA), die seit dem 17. Jänner 2025 gilt. DORA schafft erstmals einen einheitlichen europäischen Rechtsrahmen für das Management von IKT-Risiken im Finanzsektor und verpflichtet Unternehmen unter anderem zu umfassenden Vorkehrungen in den Bereichen Risikomanagement, Vorfallsmeldungen, Tests digitaler Resilienz sowie dem Management des Drittparteienrisikos.
Zur wirksamen Überwachung der IT-Risiken setzt die FMA auf ein breites Spektrum an Aufsichtsinstrumenten. Ziel ist es nicht nur, die gesetzlichen Vorgaben durchzusetzen, sondern auch eine konstruktive und zukunftsorientierte Aufsichtskultur im Austausch mit den beaufsichtigten Unternehmen zu fördern.
Ein zentrales Element sind dabei Sektorendialoge und Fachveranstaltungen. Sie dienen der Vermittlung aufsichtlicher Erwartungshaltungen und ermöglichen einen strukturierten Wissens- und Erfahrungsaustausch mit dem Markt.
Die Überprüfung der gesetzlichen Vorgaben erfolgt durch die Kombination unterschiedlicher Aufsichtsinstrumente, insbesondere durch IKT- Governance-Einsichtnahmen, IT-Vor-Ort-Prüfungen (IT-VOP), Managementgespräche, Fit and Proper-Tests sowie Umfragen sowie Self-Assessments (Digitalisierungsstudie/Abfragen im SREP). Im Rahmen der Kompetenzverteilung zwischen FMA und OeNB werden IT-VOP und Managementgespräche durch die OeNB durchgeführt.