Vom Pflichtprogramm zum Wettbewerbsvorteil
NIS2, DORA, AI Act … – während viele Unternehmen noch mit den Anforderungen der DSGVO ringen, rollt bereits die nächste Welle regulatorischer Vorgaben auf sie zu und verändert die digitale Landschaft grundlegend. Im Gespräch mit Thomas Simon, Experte für IT-Compliance und Cybersecurity bei BDO Austria, erfahren wir: Wer die neuen Spielregeln frühzeitig versteht und umsetzt, kann daraus echte strategische Chancen schaffen.
Die EU hat in den letzten Jahren eine Vielzahl von Technikvorschriften erlassen. Welche Ziele verfolgt man in Brüssel mit dieser regulatorischen Offensive?
Thomas Simon: Grundsätzlich will die EU den digitalen Binnenmarkt stärken. Gleichzeitig sind Themen wie Sicherheit, Vertrauen und Fairness sehr wichtig. Das ist das übergeordnete Ziel. Vor allem bei Cyberangriffen, KI-Systemen und Datenverarbeitungen, die grenzüberschreitend stattfinden, reichen nationale Regulierungen nicht mehr aus. Die neuen Regulierungen sollen einen ähnlichen Einfluss haben wie die DSGVO. Es geht nicht nur um Kontrolle, sondern auch um Wettbewerbsfähigkeit, Resilienz und ethische Aspekte.
Sie beraten Unternehmen bei der Umsetzung von Vorschriften wie NIS2, DORA und dem AI Act. Wo sehen Sie die größten Herausforderungen für Betriebe, die plötzlich mit dieser Regulierungsflut konfrontiert sind?
Thomas Simon: Viele Unternehmen sind weder personell noch strukturell vorbereitet. Die Anforderungen aus den neuen Rechtssektoren sind sehr komplex, oft technisch tiefgehend und überschneiden sich in verschiedenen Bereichen wie IT-Sicherheit, Risikomanagement und Dokumentation. Die Regulatorik muss in greifbare, operativ umsetzbare Maßnahmen übersetzt werden, und dafür fehlt es vielen an Know-how und Ressourcen. Erschwerend kommt hinzu, dass manche Gesetze noch nicht endgültig verabschiedet sind – NIS2 ist in Österreich etwa noch nicht umgesetzt. Viele Unternehmen warten daher ab, was problematisch werden kann, wenn plötzlich Fristen eingehalten werden müssen.
Welche neuen Pflichten kommen auf Entscheidungsträger zu, und wie können sie dieser Verantwortung gerecht werden?
Thomas Simon: Entscheidungsträger müssen sich aktiv mit Themen wie Cyberresilienz, KI-Risiken und Compliancestrukturen befassen und vorsorgen. Dazu gehört das Etablieren von Governance-
strukturen, das Festlegen von Verantwortlichkeiten und das Einfordern regelmäßiger Berichterstattung. Der Schlüssel liegt darin, diese Themen nicht einfach an die IT-Abteilung abzuschieben. Es handelt sich um Managementaufgaben. Die Verantwortung dafür liegt bei den Führungskräften – auch aufgrund von Haftungsstrafen für das Management.
Die Strafen bei Verstößen sind teilweise drastisch. Ist diese Härte aus Ihrer Sicht gerechtfertigt, oder schießt der Gesetzgeber über das Ziel hinaus?
Thomas Simon: Die Strafen wirken hart, aber genau das ist beabsichtigt. Es geht darum, Anreize zu schaffen, die Themen ernst zu nehmen. Aus Compliancesicht muss man aber keine Angst haben: Wer sauber dokumentiert, die Risiken ernst nimmt und strukturiert vorgeht, hat nichts zu befürchten. Wenn ein Unternehmen nachweisen kann, dass es sich bemüht – etwa durch einen Zertifizierungsprozess oder den Aufbau entsprechender Strukturen –, wird auch eine Behörde das bei der Beurteilung berücksichtigen.
Ist es sinnvoll, sich proaktiv nach der DSGVO zertifizieren zu lassen?
Thomas Simon: Die DSGVO sieht vor, dass man sich zertifizieren lassen kann, was bei einem Datenschutzvorfall strafmindernd wirkt. Schließlich kann man nachweisen, dass ausreichende Maßnahmen gesetzt wurden. Besonders im Zeitalter von KI und geopolitischen Unruhen besteht die Befürchtung, personenbezogene Daten weltweit zu verteilen. Eine Zertifizierung hilft, Kunden und Dienstleistern zu signalisieren, dass die Daten DSGVO konform und sicher verarbeitet werden. Wir als BDO sind die erste und einzige Zertifizierungsstelle in Österreich, die sowohl Verantwortliche als auch Auftragsverarbeiter zertifizieren darf.
Der AI Act kategorisiert KI-Systeme nach Risikostufen. Nachdem wir auf dem Gebiet einen regelrechten Boom erleben: Wie stellt man fest, in welche Kategorie KI-Anwendungen fallen?
Thomas Simon: Die risikoorientierte Einstufung hängt vom Anwendungszweck ab und nicht von der Technologie. Eine KI, die Lebensläufe vorsortiert, fällt gegebenenfalls in die Hochrisikokategorie, während ein KI-Chatbot im Kundenservice eher niedrig eingestuft wird. Unternehmen müssen künftig ein KI-Register führen, Risikoanalysen durchführen und bei Hochrisiko-KI strenge Anforderungen einhalten. Dabei geht es um Transparenz, Datenqualität und menschliche Aufsicht.
Welche positiven Effekte beobachten Sie bei Unternehmen, die die Regulierungen nicht nur als lästige Pflicht, sondern als Chance begreifen – gibt es messbare Vorteile?
Thomas Simon: Viele Unternehmen nutzen den Anlass, um ihre IT-Strukturen zu professionalisieren, Risiken gezielt zu managen und Vertrauen bei Kunden und Partnern zu stärken. Gerade in den Bereichen Cybersecurity und KI können gute Governance und Transparenz echte Marktvorteile bringen. Die Attraktivität als Geschäftspartner oder Dienstleister steigt, wenn man die geforderten Anforderungen nachweislich einhält. Es geht nicht nur um eine Pflicht, sondern um strategische Resilienz und Wettbewerbsfähigkeit. Ausschreibungen werden zunehmend diese Anforderungen explizit fordern – wer sie nicht erfüllt, ist schnell aus dem Rennen.
Wie können sich Unternehmen schon heute auf die regulatorischen Entwicklungen vorbereiten, die bereits „am Horizont“ zu erkennen sind?
Thomas Simon: Unternehmen sollten ihre Compliancestrukturen modular und skalierbar aufbauen und Themen frühzeitig scannen, bevor der Gesetzgeber zuschlägt. Es ist wichtig, sich mit den Themen zu beschäftigen – selbst wenn man feststellt, dass man nicht betroffen ist, ist das eine wertvolle Erkenntnis. Idealerweise sollte ein Compliance Officer diese IT-Regulatorik im Blick haben. Da dieser aber oft nicht auf IT-Regulatorik spezialisiert ist, empfiehlt es sich, eine zentrale Stelle zu definieren oder regelmäßig externe Unterstützung zu holen, um auf dem Laufenden zu bleiben._
INFOBOX
Redaktion
- David Bauer
Fotos
Gettyimages / imaginima; BDO: Benjamin Weiss
