CRD VI in Austria: A Sharper Supervisory Architecture – Legislative Draft Published

03. Juni 2026 – need2know

The implementation of CRD VI in Austria started with a Ministerial Draft. It will not be a mere box-ticking exercise; it alters the DNA of bank governance, executive onboarding, transaction engineering, and capital allocation in Austria.

In our need2know, bpv Huegel Finance & Regulatory partner Ingo Braun outlines five main features of the proposed changes in “CRD VI in Austria: A Sharper Supervisory Architecture – Legislative Draft Published”.

How is your institution preparing for the upcoming ex-ante Fit & Proper checks and the integration of ESG transition plans into your SREP framework?

Share your thoughts or reach out directly to discuss the legal implications for your business.

Ministerial Draft 108/ME XXVIII. GP is not a routine transposition exercise. It recalibrates supervision across the Austrian Banking Act (BWG), the Austrian Financial Market Supervisory Authority Act (FMABG), the Austrian Savings Bank Act (SpG), the Austrian Investment Firms Act (WPFG) and the Austrian Credit Servicers and Credit Purchasers Act (KKG).

  • Fit & Proper Redefined: Suitability becomes an ongoing duty through strict pre-checks and continuous tracking.
  • Risk Scope Expanded: Green and digital assets (ESG/crypto) now face mandatory risk management.
  • Global Gates Closed: A unified framework and stronger enforcement tools eliminate regulatory arbitrage for third-country branches.
  • Transaction Gates Tightened: Pre-notification procedures and standardized reviews to enforce stricter prudential screening.
  • Supervisory Guardrails Sharpened: Macro buffers receive precision tuning alongside strict cooling-off rules to ensure FMA integrity.

Fit & proper: more process, more discipline

Suitability is moving from a one-off check to a continuous governance duty. Institutions must clear appointments in advance, keep monitoring them, and act fast when a mandate no longer fits:

  • Pre-appointment assessment becomes mandatory.
  • Ongoing reassessment is required.
  • Key-function holders are generally subject to internal suitability assessment.
  • Governance must reflect skill depth and diversity.
  • Board oversight must cover risk, ESG and supervision.
  • Larger institutions must file suitability application already upon clear intention to appoint.

Risk Governance – ESG becomes prudential

ESG is moved out of the margins and into the supervisory core. Institutions will need to identify, measure and manage ESG risk across short-, medium- and long-term horizons.

  • ESG becomes part of risk governance.
  • Transition planning must be horizon-based.
  • The FMA may reflect ESG in SREP and stress testing.
  • Larger banks face deeper analytical expectations.
  • Direct and indirect crypto-securities positions require appropriate risk-management strategies.

Third-country branches reset

Austria is introducing a clearer regime for branches of third-country credit institutions, with supervision tied to scale, activity profile and systemic relevance. The aim is straightforward: less arbitrage, more control.

  • Branches are placed into a harmonised framework.
  • Qualified branch status depends on supervision and AML factors.
  • The FMA gains stronger enforcement tools.

The strict core banking service prohibitions of Art. 21c CRD VI are already fully reflected in Austria’s existing license regime, meaning the local framework seamlessly absorbs the new EU baseline.

Transactions face tighter gates

Prudentially relevant transactions will move into a more standardised pre-notification and review process. That includes qualifying holdings, major asset transfers, and mergers or demergers.

  • New standardized pre-notification requirements and explicit powers for FMA to intervene.
  • Prudential soundness remains the key test.
  • Reputation and viability stay central.
  • AML and CTF risks remain in scope.

Macroprudential rules shift

The package also sharpens macroprudential calibration, including the systemic risk buffer and the framework for systemically important institutions. At the same time, it strengthens safeguards around the FMA itself.

  • Systemic risk buffer (SyRB) calibration becomes more precise.
  • Global/Other Systemically Important Institutions (G-SII/O-SII) rules align more closely with CRD VI.
  • Cooling-off and term-limit rules are tightened at the FMA.
  • Enforcement powers are reinforced.

What institutions should do

Banks, branches and groups should test their governance, transaction and compliance processes. Particular attention should be given to board appointments, key-function documentation, branch structures and ESG governance.

  • Review fit and proper procedures.
  • Map new notification workflows.
  • Assess branch and group structures.
  • Close ESG governance gaps.

 

Author:
Ingo Braun

Practice group:
Finance & Regulatory

The summary (as a PDF).

Unsere Verwendung von Cookies

Für den Betrieb unserer Website verwenden wir betriebsnotwendige und funktionale Cookies. Webanalyse-Cookies, um unsere Website zu verbessern, setzen wir nur dann ein, wenn Sie diese aktivieren. Durch die Verwendung dieses Tools zur individuellen Anpassung der Cookies wird ein Cookie auf Ihrem Gerät abgelegt, um Ihre Einstellungen zu speichern.

Weitere Informationen zu den von uns verwendeten Cookies finden Sie in unserer Cookies Policy.

Betriebsnotwendige CookiesBetriebsnotwendige Cookies ermöglichen grundlegende Funktionen wie Sicherheit, Netzwerkmanagement und Erreichbarkeit. Durch die Änderung Ihrer Browsereinstellungen können Sie diese deaktivieren, was sich jedoch auf die Funktionsweise der Website auswirken könnte.

Funktionale Cookies

Funktionale Cookies erlauben es den Nutzern, die Darstellung einer Website individuell anzupassen: sie können sich Benutzernamen, Spracheinstellungen und Regionen merken. Wir nutzen funktionale Cookies um Ihre Benutzereinstellungen zu speichern und um zu erkennen, ob Sie die Website bereits zuvor besucht haben, so dass Ihnen keine Nachrichten für Erstbesucher angezeigt werden. Diese Cookies sammeln keine Informationen über Sie, die für Marketingzwecke verwendet werden könnten, und erinnern sich nicht daran, wo Sie im Internet waren.

Sie können diese Cookies mit dem Button deaktivieren, aber Sie sollten dabei Bedenken, dass dann sämtliche Ihrer Einstellungen verloren gehen, und beim nochmaligen Besuch neu vorgenommen werden müssen, es auch sein kann, dass die Website nicht ordnungsgemäß funktioniert oder Sie einige Funktionen nicht mehr nutzen können.

Webanalyse-Cookies (inklusive von US-Anbietern)

„Webanalyse-Cookies“ sammeln aggregierte Informationen über das Nutzerverhalten zur Verbesserung unserer Website. Wir würden gerne solche Cookies von Google Analytics zur Verbesserung unserer Website einsetzen, indem wir Informationen über die Nutzung unserer Website Sammeln und Auswerten. Anbieter von Google Analytics ist Google LLC mit Sitz in den USA. Den USA wird vom Europäischen Gerichtshof kein angemessenes Datenschutzniveau bescheinigt. Es besteht insbesondere das Risiko, dass Ihre Daten dem Zugriff durch US-Behörden zu Kontroll- und Überwachungs­zwecken unterliegen und dagegen keine wirksamen Rechtsbehelfe zur Verfügung stehen. Mit Aktivierung der Schalfläche unter "Webanalyse-Cookies (inklusive von US-Anbietern)" willigen Sie ein, dass wir diese Cookies setzen dürfen und Sie auch mit der Übermittlung von Daten in die USA einverstanden sind. Ihre Einwilligung können Sie jederzeit über die Cookies-Einstellungen auf unserer Website widerrufen.