LOGO IVVA Interessensverband
Login
FACHINFOS FÜR
MITGLIEDER

DORA ist da. NIS2 kommt. Viele wissen nicht, was zu tun ist (NL 3/26)

Foto Mag. Novotny_Stephan Huger

Viele glauben, dass nur die Großen von DORA / NIS2 betroffen sind. Das sehen wir anders.
Denn: Die vorgeschriebene, fehlende Lieferkettensicherheit führt zu Beendigung der Kooperation und Provisionsverlust.

Je früher das Problembewusstsein bei Ihnen steigt, desto geringer das Risiko von Kündigungen, Sicherheitslücken und Provisionsverlust!

Hier folgen ein paar Fakten zu DORA und NIS2, vom auf Versicherungs- und Datenschutzrecht spezialisierten Anwalt Mag. Stephan Novotny.

  • DORA: FMA übernimmt neue Aufsicht. Finanzsektor muss handeln!
  • DORA und die Vermittler: Werden die Kleinen vorbereitet oder übersehen
  • Neues NIS‑Gesetz 2026: Lieferkettensicherheit wird verpflichtend und wirkt tief in die Branche hinein!

DORA: FMA übernimmt neue Aufsicht. Finanzsektor muss handeln!

Die Abhängigkeit des Finanzsektors von stabilen, gut geschützten IT‑Systemen ist heute größer denn je. Cyberangriffe – zunehmend unterstützt durch Künstliche Intelligenz – nehmen rasant zu. Gleichzeitig zeigt sich, dass viele Banken, Versicherungen und Wertpapierfirmen stark von wenigen großen Cloud‑ und IT‑Dienstleistern außerhalb der EU abhängig sind.

Mit dem Digital Operational Resilience Act (DORA) hat die EU deshalb ein einheitliches Sicherheitsregelwerk für den gesamten europäischen Finanzsektor geschaffen. Seit 17. Jänner 2025 ist DORA verpflichtend anzuwenden. In Österreich sind FMA und OeNB gemeinsam für die Aufsicht zuständig.

DORA verpflichtet Finanzunternehmen u. a. dazu:

  • IT‑Vorfälle verpflichtend zu melden,
  • kritische IT‑Dienstleister zu erfassen und zu überwachen,
  • regelmäßige Sicherheitstests (inkl. Penetrationstests) durchzuführen,
  • und klare Verantwortlichkeiten im IKT‑Risikomanagement einzurichten.

Wie notwendig das ist, zeigen die Zahlen: Allein im Jahr 2025 wurden 103 schwerwiegende IT‑Vorfälle in Österreich gemeldet, zwei Drittel davon standen im Zusammenhang mit externen Dienstleistern, informierte die FMA/OeNB in einem RisControl-Bericht.

Für die Behörden ist DORA ein Wendepunkt. FMA/OeNB sprechen bereits von einem Kulturwandel: Finanzunternehmen erkennen zunehmend, dass professionelle Cyberresilienz keine „Option“, sondern Grundvoraussetzung eines stabilen Finanzsystems ist. Besonders kritisch beobachtet werden große internationale IT‑Dienstleister wie Amazon, Microsoft oder Google.


DORA und die Vermittler: Werden die Kleinen vorbereitet oder übersehen?

DORA umfasst 21 Kategorien von Unternehmen – darunter praktisch die gesamte Wertschöpfungskette des Finanzsektors: Kreditinstitute, Wertpapierfirmen, Versicherungen, IKT‑Dienstleister und auch Berater und Vermittler.

Für kleine Vermittler gilt zwar der Grundsatz der Verhältnismäßigkeit, aber für uns ist klar:
Die Großen haften für ihre Kleinen.
Das heißt: Versicherer, Wertpapierfirmen und Banken müssen sicherstellen, dass alle ihre Partner in der Lieferkette – also auch Makler, Agenten, Vermögensberater – die Sicherheitsstandards einhalten.

Doch in der Praxis klafft derzeit eine deutliche Lücke:

  • Viele Vermittler berichten, dass sie von ihren Partnern noch keinerlei Vorgaben erhalten haben.
  • Teilweise hören sie sogar die Aussage: „Das betrifft euch nicht.“
  • Gleichzeitig fordert die FMA seit Monaten, dass alle Unternehmen konkret und überprüfbar DORA‑Pflichten umsetzen.

Ist das nicht ein gefährliches Vakuum?
Wir wiederholen daher unseren Tipp vom Vorjahr an alle Berater und Vermittler:

Fragen Sie aktiv bei Ihren Partnern nach:

  • Wie soll die DORA‑konforme Zusammenarbeit aussehen?
  • Welche IT‑Sicherheitsmaßnahmen müssen Sie als Vermittler einhalten?
  • Welche Software, Update‑Routinen oder Prozesse werden künftig verlangt?
  • Gibt es Fragebögen, Zusatzvereinbarungen oder neue AGB?

Denn letztlich wird gelten: Wer die Anforderungen nicht erfüllt, riskiert die Zusammenarbeit.

Neues NIS‑Gesetz 2026: Lieferkettensicherheit wird verpflichtend und wirkt tief in die Branche hinein!

Österreich hat kürzlich das NIS‑Gesetz 2026 (NISG) veröffentlicht. Damit wird die europäische NIS2‑Richtlinie umgesetzt, die die Cybersicherheit in kritischen Sektoren – vom Gesundheitswesen bis zum Finanzmarkt – massiv anhebt.

Wichtig erscheint uns vor allem ein Punkt:

Lieferkettensicherheit wird Pflicht.

Zwar fallen bei NIS2 in Österreich – je nach Schätzung – „nur“ 4.000 bis 12.000 Unternehmen direkt unter die Regelung. Aber:
Damit diese direkt betroffenen Unternehmen „wirklich NIS2‑konform sind“, müssen sie ihre gesamten Lieferketten absichern.

Das bedeutet konkret:

  • Jeder NIS‑pflichtige Betrieb muss alle seine Dienstleister klassifizieren.
  • Er muss Sicherheitsmaßnahmen, Nachweise und Risikobewertungen von ihnen einfordern.
  • Und er muss diese Anforderungen vertraglich überbinden – z. B. über neue AGB, Verträge, Anhänge oder Fragebögen.

Damit betrifft NIS2 viel mehr Unternehmen, als die reine Anzahl der verpflichteten Betriebe vermuten lässt.

Auch Finanzvermittler, Versicherungsvermittler, Kreditvermittler und Finanzberater gelten in diesem Modell als „Lieferanten“ und müssen daher künftig Sicherheitsanforderungen erfüllen, die ihnen große Versicherer, Banken, Wertpapierfirmen, etc. überbinden.

Wer diese Anforderungen nicht erfüllt, riskiert

  • die Beendigung der Geschäftsbeziehung,
  • den Verlust von Provisionen (wie es bereits die DORA klipp und klar vorschreibt)

Ja, die DORA ist hier klipp und klar. Aber bei der Umsetzung von NIS2droht ein ähnliches Problem wie bei DORA: Viele große Unternehmen sagen den Kleinen noch gar nicht, was sie wollen oder brauchen, obwohl sie sie laut Gesetz eigentlich binden müssten.

Ergänzung: Der Provisionsverlust bezieht sich natürlich nur auf potentielle Neuverträge, die Ansprüche aus alten Verträgen bleiben bestehen. Aber schlimm genug, aus der Lieferkette des bisherigen Partners zu fallen…


Fazit: Die Großen müssen handeln, die Kleinen müssen nachfragen

DORA und NIS2 verändern die Branche grundlegend. Beide Regelwerke bauen aufeinander auf und verlangen u.a., dass große Finanzunternehmen (darunter fällt auch die Versicherungsbranche) ihre Lieferketten absichern, überwachen und vertraglich regeln. Damit geraten Vermittler automatisch in den Fokus.

Doch viele Vermittler berichten, dass sie noch keine klaren Vorgaben erhalten haben. Genau das ist gefährlich – für beide Seiten.

Deshalb:

Appell an alle Berater, Makler und Vermittler:

  • Fragen Sie proaktiv nach, wie die künftige Zusammenarbeit gemäß DORA und NIS2 aussehen muss.
  • Holen Sie sich schriftliche Antworten ein.
  • Dokumentieren Sie, dass Sie aktiv nachgefragt haben.
  • Und senden Sie erhaltene Vorgaben (anonymisiert) gerne an redaktion@ivva.at weiter.

Je früher das Problembewusstsein steigt, desto geringer das Risiko von Kündigungen, Sicherheitslücken und Provisionsverlust.

 

Quellen: FMA/OeNB, RisControl, AFPA-Vortrag Mag. Günther Zikulnig

Beste Grüße von Mag. Stephan Novotny und dem IVVA Team

 

Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung, für IVVA Mitglieder sogar zum Spezialpreis.

 

RA Mag. Stephan Novotny, Foto: Stephan Huger


RA Mag. Stephan Novotny

1010 Wien, Landesgerichtsstraße 16/12

kanzlei@ra-novotny.at

https://www.ra-novotny.at

Ich möchte künftig topaktuell informiert werden. Senden Sie mir Ihre kostenlosen IVVA-News zu.

MITGLIEDER LOGIN

Für unsere Mitglieder
Fachinformationen für unsere Mitglieder. Einloggen rechts oben (User-Symbol)