FMA-Schwerpunkte 2026: Was das für KI und Versicherer heißt

FMA-Schwerpunkte 2026: Was das für KI und Versicherer heißt

Österreichs Versicherer stehen heute mit einer Solvenzquote von rund 271 % im Median deutlich besser da als der EU-Durchschnitt. Gleichzeitig häufen sich Unwetterschäden, Cyberangriffe und neue Anforderungen an IT-Sicherheit und Geldwäscheprävention. Genau in dieses Spannungsfeld setzt die Finanzmarktaufsicht (FMA) ihre Aufsichtsschwerpunkte für 2026 – und die treffen direkt ins Herz jedes InsurTech- und KI-Projekts.

Für die Serie „KI für österreichische Versicherungen: InsurTech“ ist das kein Randthema, sondern der Rahmen, in dem alle innovativen Lösungen stattfinden. Wer KI in Schadenbearbeitung, Risikobewertung, Betrugserkennung oder im Underwriting einsetzen will, muss verstehen, wo die FMA 2026 genauer hinschauen wird – und wie man Regulatorik als Wettbewerbsvorteil und nicht nur als Bremse nutzt.

Dieser Beitrag ordnet die FMA-Pläne ein, übersetzt sie in Konsequenzen für Versicherungen und zeigt, wie KI und Datenstrategie helfen können, die neuen Erwartungen nicht nur zu erfüllen, sondern produktiv zu nutzen.

---

1. Stabiler Finanzsektor, wachsende Risiken – die Ausgangslage für KI

Die Kernbotschaft der FMA: Der österreichische Finanzsektor ist stabil, aber das Risikoumfeld wird rauer.

• Längste Rezession der Nachkriegszeit – trotzdem stabile Banken und Versicherer
• Starke Kapitalbasis, insbesondere in der Versicherung
• Wachstum durch Osteuropageschäft und Expansion der Vienna Insurance Group

Gleichzeitig benennt die FMA drei Risikoblöcke, die für jede datengetriebene Versicherung zentral sind:

1. Naturkatastrophen und Unwetterschäden: Häufigkeit und Schadenhöhe steigen, Klimarisiken werden zur strategischen Daueraufgabe.
2. Cyberrisiken und IT-Sicherheit: Geplant ist 2026 ein erster „Threat-Led Penetration Test“ (TLPT) bei einem Versicherer.
3. Marktrisiken durch Private Equity und Krypto-Assets: Mögliche Blasenbildung, in die auch Versicherer investiert sein könnten.

Für KI-Strategen heißt das: Risikomodelle von gestern reichen nicht mehr. Wer weiter nur historische Daten extrapoliert, unterschätzt systematisch Klimarisiken, Cybergefahren und komplexe Marktstrukturen.

Warum das relevant ist:

• KI-gestützte Risikomodelle können nicht-stationäre Risiken (z.B. Klima) besser abbilden als klassische Modelle.
• Frühwarnsysteme für Portfoliorisiken (inkl. Krypto-Exposure) lassen sich mit Machine Learning deutlich feiner einstellen.
• Cyber-Risikomodelle und automatisierte Security-Monitoring-Lösungen werden selbst zu einem Aufsichtsthema.

Wer KI ernsthaft in der Risikosteuerung einsetzt, steht 2026 bei der FMA nicht als Exot da – sondern wirkt vorbereitet.

---

2. „360 Grad“-Aufsicht: Was Simplifizierung für Daten und KI wirklich bedeutet

Die FMA setzt mit dem Projekt „360 Grad“ auf eine vollintegrierte, digitalisierte Aufsicht. Offiziell geht es um Vereinfachung, Harmonisierung und mehr Effizienz. Für Versicherungen und InsurTechs ist das vor allem eines: ein massives Datenprojekt.

Weniger Berichte, mehr Qualität – aber höhere Erwartungen

Die FMA will:

• schlankere Berichte mit weniger Seiten und klaren Aussagen
• schnellere Bewilligungen durch digitale Prozesse
• bessere Abstimmung und weniger Doppelgleisigkeiten
• mehr Austausch und Transparenz mit den Beaufsichtigten

Auf europäischer Ebene zieht Eiopa mit: weniger Datenpunkte in Meldungen, stärkere Proportionalität, vereinfachte Offenlegung.

Das klingt nach Entlastung – ist es aber nur, wenn die internen Datenhaushalte sauber sind. Wer heute noch Excel-Kollagen kurz vor Meldefrist erstellt, wird von der neuen Aufsichtswelt überrollt.

Was bedeutet das für KI- und Datenprojekte in Versicherungen?

Die Realität: Ohne datengetriebene Architektur und KI-Unterstützung wird es schwierig, der FMA künftig „auf Augenhöhe“ zu begegnen.

Drei konkrete Hebel:

1. Automatisierte Regulatorik-Reports

   • Aufbau eines zentralen Data Warehouse / Data Lake mit klaren Datenmodellen.
   • Nutzung von KI, um Inkonsistenzen, Ausreißer und fehlende Werte in Regulierungsdaten zu erkennen.
   • Generierung von Standardberichten per Self-Service aus einem validierten Datenkern.

2. NLP für Textberichte und qualitative Einschätzungen

   • Viele Aufsichtsdokumente enthalten Freitext (z.B. Risikoanalysen, Governance-Beschreibungen).
   • KI-gestützte Textanalyse kann dabei helfen, Inhalte zu standardisieren, Widersprüche zu erkennen und Entwürfe zu erstellen.

3. Erklärbare KI (XAI) als Brücke zur Aufsicht

   • Je stärker KI in Pricing, Underwriting und Schadenbearbeitung eingreift, desto wichtiger wird Nachvollziehbarkeit.
   • Erklärbare KI-Ansätze (Feature-Importance, Shapley-Werte etc.) sind ein starkes Argument gegenüber Aufsicht und Vorstand.

Wer jetzt in Datenqualität, Governance und KI-basierte Auswertungen investiert, steht 2026 besser da – nicht nur bei der FMA, sondern auch gegenüber Kund:innen.

---

3. Horizontale Hubs: DORA, Sustainable Finance und KI rücken zusammen

Die FMA organisiert Querschnittsthemen in sogenannten horizontalen Hubs. Drei davon sind für InsurTechs und KI-Projekte besonders spannend:

• Digital Operational Resilience Act (DORA)
• Sustainable Finance
• Künstliche Intelligenz

Der wichtige Punkt: Diese Themen werden nicht mehr isoliert behandelt. IT-Sicherheit, Nachhaltigkeitsrisiken und KI-Einsatz werden gemeinsam betrachtet.

DORA und IT-Resilienz: KI-Projekte unter Stresstest

DORA bringt strikte Anforderungen an:

• ICT-Risikomanagement
• Incident Reporting
• Tests der digitalen Resilienz (wie TLPT)

Für KI-Projekte in Schadenbearbeitung, Underwriting oder Kundenschnittstellen bedeutet das:

• Robuste Betriebsmodelle: KI-Services müssen hochverfügbar, testbar und auditierbar sein.
• Dokumentierte Modelle: Trainingsdaten, Modellversionen, Parameter und Änderungen gehören sauber dokumentiert.
• Klare Verantwortlichkeiten: Wer trägt im Ernstfall die Verantwortung für falsche KI-Entscheidungen?

Wer KI nur als „Pilotprojekt in der Ecke“ betreibt, wird 2026 angreifbar. Wer KI dagegen in ein professionelles MLOps-Setup mit Monitoring, Rollback-Strategien und Angriffserkennung einbettet, ist deutlich robuster aufgestellt.

Sustainable Finance: Klimarisiken erfordern bessere Daten

Mehr Naturkatastrophen, mehr Regulierung zu Nachhaltigkeit – das geht direkt in die Bücher der Versicherer.

KI kann hier drei Rollen spielen:

1. Risikomodellierung: Kombination von historischen Schaden- und Wetterdaten, Geodaten und Klimaszenarien für feinere Tarifierung und Portfoliosteuerung.
2. ESG-Datenerfassung: Automatisierte Auswertung von Unternehmensberichten, News und öffentlichen Daten, um ESG-Risiken von Investments zu bewerten.
3. Impact-Analyse im Bestand: Welche Kundensegmente und Regionen wären von Extremwetterereignissen besonders betroffen? Wie sieht die Exponierung im Portfolio aus?

Wer hier KI einsetzt, kann aufsichtliche Erwartungen an Klimarisikoanalysen besser erfüllen und gleichzeitig sein Pricing zukunftsfähig machen.

KI selbst als Aufsichtsthema

Die FMA nennt Künstliche Intelligenz ausdrücklich als Querschnittsthema. Das ist ein deutlicher Hinweis: KI ist nicht mehr nur „Innovation“, sondern aufsichtsrechtlich relevant.

Daraus ergeben sich zentrale Fragen, auf die Versicherer bis 2026 gute Antworten parat haben sollten:

• Wie wird Diskriminierung in KI-Modellen verhindert?
• Wie wird sichergestellt, dass KI-Entscheidungen nachvollziehbar sind?
• Wie werden Datenherkunft, Einwilligungen und Zweckbindung dokumentiert?

Wer hier proaktiv ein internes KI-Governance-Framework aufsetzt, hat einen klaren Vorsprung – auch gegenüber Wettbewerbern, die erst reagieren, wenn die Aufsicht konkret nachfragt.

---

4. Neue Aufsichtsschwerpunkte: Cybertests, IRRD und Geldwäscheprävention

Neben den großen Linien setzt die FMA für 2026 drei klare Akzente, die jede österreichische Versicherung auf dem Radar haben sollte.

Threat-Led Penetration Test: Reifeprüfung für die IT-Sicherheit

Der geplante TLPT bei einem Versicherer ist eine echte Reifeprüfung. Es handelt sich um eine der anspruchsvollsten Methoden, um IT-Sicherheit realitätsnah zu testen – mit Angriffs-Szenarien, die auf echte Bedrohungen abgestimmt sind.

Für KI- und InsurTech-Projekte bedeutet das:

• Modelle, Datenpipelines und Schnittstellen müssen als kritische Assets in die Sicherheitsarchitektur integriert sein.
• KI kann gleichzeitig helfen, Anomalien im Netzwerkverkehr, an Logins oder Transaktionsmustern automatisiert zu erkennen.
• Wer bereits Security-Analytics mit KI nutzt, wird in einem TLPT deutlich besser abschneiden.

IRRD ab 2027: Sanierung und Abwicklung von Versicherern

Die FMA bereitet sich schon 2026 auf die Insurance Recovery and Resolution Directive (IRRD) vor. Dabei geht es darum, wie Versicherer Krisenszenarien bewältigen und – wenn nötig – geordnet abgewickelt werden.

KI kann hier eine unterschätzte Rolle spielen:

• Szenarioanalysen: Simulation von Stressszenarien (Markt, Schaden, Lapse) auf Portfolios mit Hilfe von Machine-Learning-gestützten Modellen.
• Frühwarnindikatoren: KI-gestützte Scoringmodelle, die Risiken im Bestand früh signalisieren.
• Datenbereitstellung: Automatisierte Aufbereitung von Daten für Recovery-Pläne.

Wer IRRD-relevante Daten heute schon strukturiert und analysierbar vorhält, spart sich später hektische Ad-hoc-Projekte.

Geldwäscheprävention und Sanktionen: Daten- und KI-Thema par excellence

Ab 2026 bündelt die FMA Geldwäscheprävention, Sanktionenaufsicht und Proliferationsfinanzierung unter einem Dach und übernimmt die vollständige Sanktionenaufsicht für den Kapitalmarkt. Kombi-Prüfungen sollen bis zu 25 % effizienter sein.

Für Versicherungen, insbesondere mit Lebens- und Anlageprodukten, heißt das:

• Know-Your-Customer (KYC), Transaktionsmonitoring und Sanktionslistenprüfungen werden noch wichtiger.
• Klassische Regelwerke stoßen bei komplexeren Mustern an Grenzen.

Genau hier spielt KI ihre Stärken aus:

• Anomalieerkennung in Zahlungs- und Transaktionsströmen
• Risikobasierte Kunden-Scorings statt starre Regeln
• NLP-Analyse von Dokumenten und Korrespondenz, um Auffälligkeiten zu identifizieren

Wer diese Systeme sauber dokumentiert und überwacht, kann den Spagat zwischen aufsichtlicher Erwartung und operativer Effizienz deutlich besser schaffen.

---

5. Wie sich österreichische Versicherer 2026 smart aufstellen

Die FMA macht klar: Der Finanzsektor soll Teil der Lösung sein, nicht Teil des Problems. Für österreichische Versicherer heißt das, KI nicht als Experiment, sondern als strategische Infrastruktur zu begreifen.

Fünf konkrete Schritte, die ich für 2026 empfehle:

1. Governance für KI festziehen

   • Klare Richtlinien zu Datenquellen, Modellfreigabe, Monitoring und Dokumentation.
   • Zuständigkeiten zwischen Fachbereich, Aktuariat, IT und Compliance sauber regeln.

2. Datenarchitektur auf FMA-„360 Grad“ vorbereiten

   • Zentrale, qualitätsgesicherte Datenbasis für Reporting und Analysen.
   • Automatisierte Schnittstellen für aufsichtsrechtliche Meldungen.

3. Security- und DORA-Fähigkeit prüfen

   • Kritische KI-Systeme identifizieren und mit Security- und Resilienzanforderungen abgleichen.
   • Vorbereitende interne „Mini-TLPTs“ oder Red-Team-Übungen durchführen.

4. Klimarisiko- und ESG-Analytics professionalisieren

   • KI in der Risikomodellierung von Naturkatastrophen systematisch nutzen.
   • ESG-Daten und Nachhaltigkeitsrisiken in Investment- und Produktentscheidungen integrieren.

5. KI für AML und Sanktionen einsetzen

   • Bestehende Regelwerke durch lernende Systeme ergänzen.
   • Erklärbarkeit und Audit-Trails von Anfang an mitdenken.

Wer diese Punkte angeht, erfüllt nicht nur die FMA-Erwartungen, sondern schafft echten Mehrwert in Schadenbearbeitung, Risikobewertung und Betrugserkennung – genau das, worum es in dieser InsurTech-Serie geht.

Die FMA hat ihre Schwerpunkte für 2026 klar formuliert. Jetzt ist die Frage: Welche Rolle wollen Sie als österreichischer Versicherer in diesem neuen Rahmen spielen – Getriebener oder Gestalter?