Technologische Entwicklungen ändern die Rahmenbedingungen am Finanzmarkt und eröffnen Versicherungsunternehmen neue Möglichkeiten, die aber auch mit Risiken verbunden sind. Zudem hat die Covid-19-Pandemie Innovationen sowie digitale Vernetzungen beschleunigt und die aktuellen geopolitischen Entwicklungen haben die Herausforderungen im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologien (IKT) noch verschärft.
In diesem Umfeld führt die FMA ihre Analysen zur Digitalisierung am österreichischen Finanzmarkt fort. Darauf aufbauend kann die FMA präventive Maßnahmen ergreifen, Verbesserungen des rechtlichen Rahmens initiieren, die Aufsichtsintensität der einzelnen beaufsichtigten Unternehmen risikoadäquater bestimmen und bei der Planung und Schwerpunktsetzung der Aufsicht risikobasiert und vorausschauend agieren.
Im Mittelpunkt der Rechtsweiterentwicklung steht die Stärkung der Cyberresilienz.
- So verfolgt die Europäische Kommission insbesondere seit dem FinTech-Aktionsplan von März 2018 unter anderem das Ziel, die Abwehrkraft des EU -Finanzsektors gegen Cyberangriffe zu stärken. Im Rahmen des Pakets zur Digitalisierung des Finanzsektors wurden im September 2020 auch Vorgaben zur Stärkung der digitalen Betriebsstabilität im Zusammenhang mit der Nutzung von Informations- und Kommunikationstechnologien vorgeschlagen. Die zugehörige Verordnung zur digitalen operationalen Resilienz im Finanzsektor (DORA-Verordnung) gilt ab 17. Januar 2025. Sie umfasst die Themen IKT -Risikomanagement, Management und Meldung von IKT-Vorfällen, Resilienztests (inkl. Threat Led Penetration Tests), IKT -Dienstleistungsrisiken sowie Informationsaustausch zu Cyberrisiken zwischen Unternehmen.
- Auch die FMA hat den Unternehmen schon 2018 einen FMA -Leitfaden IT -Sicherheit in Versicherungs- und Rückversicherungsunternehmen‘ als Orientierungshilfe zur Verfügung gestellt.
- Der FMA -Leitfaden wurde im Juli 2021 durch die EIOPA -Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie ersetzt.
- Ab dem 17. Jänner 2025 ist DORA (der Digital Operational Resillience Act) für weite Finanzmarktsektoren, inklusive für Versicherungsunternehmen, anwendbar.
Zudem konzentrieren sich die Arbeiten von EIOPA , zu denen auch die FMA aktiv beiträgt, unter anderem auf die Themen InsurTech und Big Data, sowie auf Cyber Underwriting und auf die Entwicklung effizienter und innovativer, digitaler Aufsichtspraktiken.
Auch der Regulierungsvorschlag der EU -Kommission für die Anwendung von künstlicher Intelligenz ist für die Versicherungsunternehmen von Bedeutung.
Die FMA setzt im Bereich der Digitalisierung folgende Maßnahmen und Schwerpunkte:
- DORA-Informationsregister: Der Stichtag für die erstmalige Erstellung des Informationsregisters ist der 31. März 2025. Die Einmeldung ist bis zum 11. April 2025 über die Incoming Plattform vorzunehmen. Excel-Vorlage, die bei der Einmeldung des Informationsregisters an die FMA verpflichtend zu verwenden ist:
- Austrian Digital Finance Landscape: Im Rahmen des thematischen Aufsichtsschwerpunkts zur Digitalisierung führte die Finanzmarktaufsicht (FMA) im Jahr 2024 eine Analyse zur Austrian Digital Landscape durch, um den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Landschaft, Verflechtungen von Informations- und Kommunikationstechnologien, Cyber-Resilienz) der Unternehmen am österreichischen Finanzmarkt zu evaluieren. Auch die Vorbereitung auf die Vorgaben des Digital Operational Resilience Act (DORA) wurde in der Analyse thematisiert (DORA-Gap-Analyse). Die Unternehmen hatten dadurch die Möglichkeit, etwaige Verbesserungen bei der Implementierung der neuen regulatorischen Vorgaben vorzunehmen.
- Studie „Digitalisierung Finanzmarkt“: Die FMA führt regelmäßig sektorübergreifende Digitalisierungsanalysen durch.
- Cyber Exercise: Durch eine realitätsbezogene Simulation eines Cyberangriffs werden die unternehmensindividuellen Maßnahmen zur Sicherstellung der Cyberresilienz getestet und Verbesserungsmöglichkeiten evaluiert.
- FMA -Assessment zu Mitigationsmaßnahmen: Ziel des Assessments ist die Evaluierung der Sicherheitsmaßnahmen, die Versicherungsunternehmen zur Bewältigung eines ausgewählten Cybervorfallsszenarios gesetzt haben.
- FMA Blackout Maturity Level Assessment: Vorbereitungen auf und der Umgang mit möglichen Blackouts wurden im Versicherungssektor evaluiert.
- FMA -Cyber-Maturity Level Assessment: Die FMA setzt seit 2019 ein selbst entwickeltes Tool zur Messung und Evaluierung der Cyberresilienz der österreichischen Versicherungsunternehmen ein. Siehe dazu etwa FMA , Fakten, Trends & Strategien 2021, Beitrag „Cyber Maturity Level Assessment“ oder FMA , Digitalisierung am österreichischen Finanzmarkt 2021, Kapitel 10 FMA-Cyber Maturity Level Assessment.
- FMA -Cloud Maturity Level Assessment: Dieses Tool hat die FMA 2019 zur Evaluierung der von Versicherungsunternehmen und Pensionskassen getroffenen Vorkehrungen beim Cloud-Einsatz entwickelt. Siehe dazu auch FMA , Digitalisierung am österreichischen Finanzmarkt 2021, Kapitel 11 FMA-Cloud Maturity Level Assessment.
- IT -Verflechtungen: Auf Basis der Visualisierung der Vernetzungen der IT -Dienstleisterlandschaft im Versicherungssektor werden potentielle Konzentrationsrisiken dargestellt und weitere Ableitungen für die aufsichtliche Strategie und Praxis getroffen. Siehe dazu auch Bericht der FMA 2022 zur Lage der österreichischen Versicherungswirtschaft, Kapitel 2.10 Verflechtungen: IT-Provider.
- IKT -bezogene Vorfälle: Die FMA fragt solche Vorfälle ab und bereitet die Versicherungsunternehmen dadurch auf künftige, verbindliche Meldeerfordernisse vor. Siehe dazu auch FMA , Bericht der FMA 2021 zur Lage der österreichischen Versicherungswirtschaft, Kapitel 2.13.2 IKT -bezogene Vorfälle – Cybervorfälle.
- Post Covid-19 bezogene Risiken: Risiken, die im Zusammenhang mit der Rückkehr an den Arbeitsplatz stehen, wurden analysiert.
- Praxisdialog: Mit der Branche findet ein laufender Austausch zu Digitalisierungsthemen statt.