Aktuelles & Regulatory Updates

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) ist ab dem 17. Januar 2025 in allen EU-Mitgliedstaaten vollständig anwendbar. Alle betroffenen Finanzunternehmen — inkl. Kreditinstitute, Versicherungen, Investmentfirmen und kritische IKT-Drittanbieter — müssen die Anforderungen an IKT-Risikomanagement, Incident Reporting, TLPT und Drittparteienmanagement erfüllen.

Die Capital Requirements Regulation III (Verordnung (EU) 2024/1623) ist ab dem 1. Januar 2025 anwendbar und setzt die finalen Basel-IV-Standards in europäisches Recht um. Wesentliche Neuerungen: Output Floor (72,5% der Standardansatz-RWA, mit Phaseout bis 2030), überarbeitete Standardansätze für Kredit- und Marktrisiko (FRTB) sowie neuer Standardansatz für operationelle Risiken (SA).

Die EBA hat die zweite Phase der technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) zu DORA zur Konsultation gestellt. Betroffen sind unter anderem die detaillierten Anforderungen an IKT-Drittparteienverträge, das Threat-Led Penetration Testing (TLPT) und das IKT-Incident-Klassifizierungsregime.

CRR III (EU 2024/1623) und CRD VI (EU 2024/1619) wurden im EU-Amtsblatt veröffentlicht. CRR III gilt ab 01.01.2025; CRD VI ist bis zum 10.01.2026 in nationales Recht umzusetzen. Wesentliche Inhalte CRD VI: verschärfte Fit-&-Proper-Anforderungen, erweiterte Anforderungen an ESG-Risiken, neue Regelungen für Drittstaatenzweigstellen.

Das EU-Geldwäschepaket bestehend aus AML-Verordnung, 6. Geldwäscherichtlinie und AMLA-Gründungsverordnung wurde verabschiedet. Die neue Anti-Money Laundering Authority (AMLA) mit Sitz in Frankfurt am Main übernimmt ab 2025 schrittweise Aufsichtsaufgaben. Ab 2028 direkte Aufsicht über ausgewählte Verpflichtete im Hochrisikobereich.

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) ist im Oktober 2024 in Kraft getreten. Hersteller und Anbieter von Produkten mit digitalen Elementen müssen ab 2027 die Anforderungen erfüllen. Für Banken relevant als Abnehmer: Zulieferer und IT-Dienstleister unterliegen CRA-Anforderungen, was die Due-Diligence-Anforderungen im Drittparteienmanagement erweitert.

Die BaFin hat ein Merkblatt zur Verwendung von KI-Systemen in Finanzinstituten veröffentlicht. Es adressiert Governance-Anforderungen, Erklärbarkeit, Bias-Kontrolle und die Einbindung von KI in den Rahmen des IKS. Bezug zu MaRisk AT 7.2 (technisch-organisatorische Ausstattung) und AT 8 (neue Produkte/Technologien).