Der Aufwand für die Umsetzung neuer oder geänderter gesetzlicher Vorschriften ist mittlerweile sehr hoch und stellt Unternehmen zunehmend vor Herausforderungen. Ein aktuelles Beispiel dafür ist der Digital Operational Resilience Act (DORA) und dabei insbesondere das Informationsregister, das Finanzunternehmen in Österreich bis 11. April 2025 an die FMA übermitteln müssen.
Wie steht es um die Erfüllung der EU-Verordnung und wie weit sind die Betriebe bei der Erstellung des Informationsregisters? Welche Auswirkungen hat die Zunahme regulatorischer Vorgaben im Finanzsektor auf die Wettbewerbsfähigkeit europäischer Unternehmen? Welche positiven Effekte lassen sich dabei durch Digitalisierung und KI erzielen? Diese und weitere Fragen waren Thema des Presse Expert:innen-Talks am 25. März 2025.
Auf dem Podium diskutierten:
- Ulrike Rhomberg, Wertpapieraufsicht, Schwerpunkt Risikomanagement und IT-Risiko (DORA, MICAR), FMA
- Stefan Röder, Governance-Experte für Outsourcing/DORA und IT-Risikomanagement im Finanzsektor
- Katrin Repic, Rechtsanwältin, DORDA Rechtsanwälte GmbH
- Robin Schmeisser, Geschäftsführer, Fabasoft Contracts GmbH
Status quo der DORA-Umsetzung in der Praxis
Während Teilaspekte von DORA wie das IKT-Risikomanagement oder das Vorfallsmeldewesen in der Umsetzung bereits weit fortgeschritten sind, besteht etwa beim IKT-Drittanbietermanagement und der Anpassung der Verträge immer noch Aufholbedarf. So meint Katrin Repic, dass so gut wie kein Unternehmen in diesen Bereichen bereits vollständig DORA-compliant sei. Bislang nicht oder nur wenig regulierte Finanzunternehmen, beispielsweise Versicherungsvermittler, Wertpapierfirmen oder Krypto-Dienstleister, täten sich aktuell noch besonders schwer mit der Umsetzung, berichtet die Rechtsanwältin aus der Praxis.
Ein Bereich aus dem IKT-Drittanbietermanagement, den alle Podiumsgäste als besonders herausfordernd einstufen, ist die Erstellung des Informationsregisters. Neben dem bürokratischen Aufwand, der dadurch entsteht, würde sich Stefan Röder mehr Spezifikationen und präzisere Detaillierungen zum Aufbau des Registers und den genauen Erwartungshaltungen wünschen. Auch die nationalen Behörden stünden vor Herausforderungen, da sie in sehr kurzer Zeit eine Vielzahl von Daten aus den Informationsregistern der Institute sammeln, kontrollieren und konsolidieren müssen, erklärt Ulrike Rhomberg.
Steigende Regulierung im Finanzsektor – Chance oder Hürde?
Durch „Simplification“ und „Burden Reduction“ verfolge die EU grundsätzlich das Ziel, unnötigen Mehraufwand und Bürokratie zu reduzieren, so Rhomberg. Dennoch sind sich die Expert:innen einig, dass gesetzliche Vorgaben wie jene des Digital Operational Resilience Act notwendig sind. Repic sieht in DORA den Vorteil einer einheitlichen und klaren Regulierung für alle Marktakteur:innen – sprich ein „Level Playing Field“ – welches aus der Legal-Perspektive für eine spürbare Arbeitserleichterung sorgt. Die Kehrseite: Die steigende Regulatorik beeinflusst gleichzeitig auch die Wettbewerbsfähigkeit (vor allem von Start-ups) am Markt. Dies sei allerdings aufgrund der hohen Sicherheitsanforderungen an Finanzunternehmen und deren interne Prozesse nur schwer zu vermeiden, meint Robin Schmeisser.
Auch Röder begrüßt ein genaues Regelwerk, damit alle Beteiligten die Mindestanforderungen kennen und wissen, in welchem rechtlichen Rahmen sie sich bewegen müssen. Dies verhindere zudem unnötige Diskussionen mit Vertragspartnern, externen Prüfungsinstitutionen sowie der Aufsicht.
Ansatzmöglichkeiten für Digitalisierung und KI
Für Röder ist unbestritten, dass der mit DORA verbundene Arbeitsaufwand ohne echte Digitalisierung nicht zu bewerkstelligen ist. Berichte wie das Informationsregister sind seiner Meinung nach händisch oder mit Excel-Tabellen nicht umsetzbar. Am Einsatz digitaler Tools käme dabei kein Unternehmen vorbei. Der Governance-Experte rät, das Thema allerdings schon zu Beginn größer zu denken und die ganze Wertschöpfungskette, die mit dem Informationsregister verbunden ist, zu digitalisieren. Ansonsten würde es zu Problemen mit der Datenqualität kommen.
Auch die Anwendung von künstlicher Intelligenz bietet durch Automatisierung von ausgewählten Tätigkeiten das Potenzial zur Effizienzsteigerung. Als Beispiel nennt Schmeisser etwa die Vertragsprüfung auf DORA-Compliance. Entscheidend dabei sei, den gesamten Geschäftsprozess zu betrachten und beispielsweise KI mit digitalen Workflows zu kombinieren, um eine ganzheitliche Digitalisierung zu erreichen, so der Geschäftsführer der Fabasoft Contracts GmbH.
Die Aufzeichnung des Expert:innen-Talks in voller Länge finden Sie hier.
