In der aktuellen Episode von „Börsepeople im Podcast" mit Anna Muri gibt Christian Drastil einen tiefen Einblick in eines der drängendsten Themen der österreichischen Finanzwelt: die digitale Widerstandsfähigkeit von Banken und Finanzinstituten. Die Juristin übernahm am 1. April 2025 die neu geschaffene Leitung des IT-Risikoteams der FMA-Bankenaufsicht – ein Schritt, der die wachsende Bedeutung von Cybersicherheit im regulatorischen Umfeld unterstreicht. Vor kurzem wurde sie beim imh‑Award „Speaker & Trainer of the Year 2025“ für ihre fachliche Expertise und ihren Beitrag zur Weiterbildungslandschaft geehrt.

Von der Juristin zur IT-Risiko-Expertin

Anna Muris Karriereweg ist alles andere als geradlinig. Nach einem Gap Year als Au-pair in Kathmandu, Nepal – inklusive einer zehntägigen Wanderung auf dem Annapurna Roundtrack bis auf 4.000 Meter Höhe – entschied sie sich für ein Jurastudium. Der Rat des Familienvaters, bei dem sie arbeitete, gab den Ausschlag: „Wenn du kein Problem hast mit Lernen, wenn du kein Problem hast mit Informationen aufnehmen, dann empfehle ich dir, mach Jus. Mit Jus kannst du alles machen."

Dieser Artikel ist eine Added Value Version zu den Key-Insights einer Podcastfolge von audio-cd.at, aufgewertet durch Archivbausteine. Die hier veröffentlichten Gedanken/Schlüsse sind weder als Empfehlung noch als ein Angebot oder eine Aufforderung zum An- oder Verkauf von Finanzinstrumenten zu verstehen und sollen auch nicht so verstanden werden. Der Handel mit Finanzprodukten unterliegt einem Risiko. Sie können Ihr eingesetztes Kapital verlieren.

Seit 2009 ist Muri für die FMA tätig. Der Einstieg erfolgte über ein Praktikum im Beschwerdemanagement – ein idealer Startpunkt, der Kontakte zu allen Bereichen der Behörde ermöglichte. Die FMA gliedert sich in sechs Bereiche: Bankenaufsicht, Versicherungsaufsicht, Wertpapieraufsicht, integrierte Aufsicht mit Geldwäschebekämpfung, Services und Organisation sowie die Abwicklungsbehörde.

Der Sprung ins IT-Thema kam 2016 durch einen Zufall. Eine Arbeitsgruppe bei der European Banking Authority zur IT-Sicherheit musste besetzt werden – ein Bereich, vor dem viele Juristen Berührungsängste hatten. Muri ergriff die Chance und arbeitete sich in das Themenfeld ein. Zeitgleich stand die Umsetzung der PSD2, der Payment Services Directive, an, die das Thema Fintech und Digitalisierung stark vorantrieb.

DORA: Das neue europäische Regelwerk für digitale Resilienz

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act – kurz DORA – anwendbar. Die Verordnung war bereits zwei Jahre zuvor in Kraft getreten, die Übergangszeit diente der Vorbereitung. DORA verpflichtet alle Unternehmen des Finanzsektors, ihre IT-Risiken systematisch zu erfassen und zu adressieren.

„Digitalization and IT-Risks are two sides of the same coin", zitiert Muri einen Kernsatz aus dem ersten DORA-Entwurf der EU-Kommission. Je stärker die Digitalisierung voranschreitet, desto mehr steigen die IT-Risiken. Die Corona-Pandemie hat diese Entwicklung noch beschleunigt – mit der Verlagerung ins virtuelle Leben nahmen auch Cyberangriffe zu.

DORA gliedert sich in vier zentrale Bereiche: Erstens das IT-Risikomanagement, das eine Integration in das Gesamtrisikomanagement des Unternehmens fordert und die Verantwortung der Geschäftsleitung festschreibt. Zweitens das Incident Management mit klaren Prozessen für den Umgang mit Cybervorfällen. Drittens das Drittanbietermanagement, das jeden Vertrag mit IT-Dienstleistern auf Risiken prüfen lässt. Viertens das Testen, einschließlich sogenannter Threat-Led-Penetration-Tests für besonders große Finanzunternehmen – dabei werden externe Experten beauftragt, das Unternehmen kontrolliert zu hacken.

Die Herausforderung der Informationsregister

Eine der größten praktischen Hürden bei der DORA-Umsetzung betrifft das sogenannte Informationsregister. Jedes Finanzunternehmen muss darin alle Verträge mit IKT-Drittdienstleistern auflisten – in einem vorgegebenen Format und mit detaillierten Informationen. Dies stellt besonders kleinere IT-Dienstleister vor Probleme, die plötzlich umfangreiche Auskünfte liefern müssen, obwohl sie selbst nicht direkt unter die DORA-Regulierung fallen.

Die indirekte Betroffenheit der IT-Branche ist ein sensibles Thema. Fintechs und junge Unternehmen aus dem Zahlungsverkehr, die mit Banken zusammenarbeiten, verfügen oft noch nicht über ausgefeilte Risikomanagement-Strukturen. DORA verlangt jedoch von den Finanzinstituten, genau diese Risiken bei der Zusammenarbeit zu adressieren.

Muri zeigt sich vorsichtig optimistisch: Die Themen, die bisher sichtbar wurden, scheinen gut angekommen zu sein. Kinderkrankheiten gibt es erwartungsgemäß, doch die grundsätzliche Umsetzung läuft.

Open Banking und die Zukunft mit FIDA

Mit der PSD2 wurde Open Banking etabliert – Banken mussten Schnittstellen für Zahlungsdienstleister wie Klarna oder Sofortüberweisung programmieren. Diese Unternehmen erhielten damit Zugriff auf Kontoinformationen oder die Möglichkeit, Zahlungen auszulösen. Für Banken bedeutete das, ihren Konkurrenten beim Aufbau deren Geschäftsmodells zu helfen.

Der nächste Schritt heißt FIDA – Financial Data Access Act. Dieser soll Open Banking auf den Wertpapier- und Versicherungsbereich ausweiten. Trotz Gerüchten über eine Streichung im Zuge von Simplification-Bemühungen steht FIDA laut Muris Informationen weiterhin auf der europäischen Agenda.

Regulierung zwischen Notwendigkeit und Vereinfachung

Die Bankenaufsicht gilt als einer der am stärksten regulierten Bereiche überhaupt. Muri räumt ein, dass es Tendenzen zur Überregulierung gegeben habe. Gleichzeitig betont sie: Im IT-Risikobereich macht jede DORA-Vorgabe Sinn. Fachleute aus dem Cybersecurity-Bereich begrüßen die Regelungen, da sie etablierte technische Standards nun verpflichtend machen.

Das Schlagwort der Stunde heißt Simplification statt Deregulierung. Die EBA arbeitet in Arbeitsgruppen daran, Regelwerke zu vereinfachen und Proportionalität besser zu berücksichtigen. Bei DORA jedoch gibt es wenig Spielraum für Rücknahmen – der Rechtsakt ist neu und inhaltlich durchdacht.

Ein neues Team für wachsende Herausforderungen

Die Schaffung eines eigenständigen IT-Risikoteams in der FMA-Bankenaufsicht zum 1. April 2025 unterstreicht die strategische Bedeutung des Themas. Bisher wurde IT-Risiko dezentral in der allgemeinen Bankenaufsicht behandelt. Die Zentralisierung folgt einem europäischen Trend und ermöglicht eine konsistentere Bearbeitung der komplexen Materie.

Muri freut sich auf die neue Aufgabe: „Es wird nie langweilig. Das Thema IT-Risiko und DORA ist unglaublich spannend. Es kommen einfach immer neue Themen, die zu berücksichtigen sind.".

Die Botschaft des Gesprächs ist klar: Cybersicherheit im Finanzsektor ist keine Option, sondern Pflicht. DORA schafft den einheitlichen europäischen Rahmen dafür. Für Banken und Finanzdienstleister bedeutet das Investitionen in IT-Sicherheit, Prozesse und Personal – aber auch die Chance, das Vertrauen der Kunden in einer zunehmend digitalisierten Welt zu stärken.