Regulatory Radar
Aktuelle Woche & Archiv
Aktuelle regulatorische Signale der laufenden Kalenderwoche und archivierte Signale aus früheren Wochen.
Aktuelle Woche (KW 20)
46 neue SignaleDORA Umsetzungspflichten ab 17. Januar 2025
Die Digital Operational Resilience Act (DORA) Verordnung ist am 17. Januar 2025 in Kraft getreten. Finanzinstitute muessen nun die regulatorischen Anforderungen umsetzen, einschliesslich IKT-Risikomanagement, Vorfallmeldeverfahren, Resilienztests und IKT-Drittparteienmanagement
European Union
16.05.2026
BaFin-Rundschreiben zu DORA-Umsetzung
Die BaFin erwartet von beaufsichtigten Instituten eine konsequente Umsetzung der DORA-Anforderungen im Rahmen bestehender MaRisk-Verpflichtungen. Besonderes Augenmerk liegt auf der Integration von IKT-Risiken in das ganzheitliche Risikomanagement
BaFin
16.05.2026
TIBER-EU fuer Threat-Led Penetration Tests
Die TIBER-EU (Threat Intelligence-based Ethical Red Teaming) Framework-Leitlinien werden fuer DORA-Resilienztests referenziert. Finanzinstitute muessen TLPT-Tests nachweisen koennen, sowohl intern als auch durch externe Tester
ECB / ENISA
16.05.2026
ESAs-Leitlinien zu kritischen ICT-Drittparteien
Die Europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) haben konsultierte Leitlinien zu kritischen ICT-Drittparteien (CTPPs) veroeffentlicht. Die Leitlinien adressieren Due-Diligence, Vertragsanforderungen, Monitoring und Konzentrationsrisiken
EBA / EIOPA / ESMA
16.05.2026
NIS2-Umsetzung in Mitgliedstaaten
Die NIS2-Richtlinie muss von den EU-Mitgliedstaaten bis 17. Oktober 2024 in nationales Recht umgesetzt worden sein. Die Richtlinie erweitert den Sektor- und Entitaetskreis mit Cybersecurity-Anforderungen fuer kritische Infrastrukturen
European Commission
16.05.2026
EU AI Act und Finanzsektor
Der EU AI Act klassifiziert Kreditscoring und Versicherungspraemienberechnung als Hochrisiko-Anwendungen. Finanzinstitute muessen KI-Compliance, Risikomanagement und Governance fuer KI-Systeme implementieren
European Union
16.05.2026
BaFin-Schwerpunktpruefung IKT-Risiken 2025
Die BaFin hat fuer 2025 Schwerpunktpruefungen zu IKT-Risiken und DORA-Umsetzung angekuendigt. Schwerpunkte liegen auf Vorfallmanagement, Resilienztests und Drittparteienmanagement
BaFin
16.05.2026
ISO/IEC 27001:2022 Amendment 1 (2024)
Das Amendment 1 zu ISO/IEC 27001:2022 enthaelt Aktualisierungen zu Cloud-Services und erweiterte Anleitungen zur Kontextbestimmung des ISMS. Die Aenderungen betreffen insbesondere Anhang A Controls
ISO
16.05.2026
BaFin konsultiert 9. MaRisk-Novelle
Die BaFin hat am 1. April 2026 den Entwurf zur 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation gestellt. Wesentliche Änderungen: (1) Stärker prinzipienbasierte Gestaltung mit reduzierter Komplexität, (2) Drei Größenklassen (sehr kleine Institute bis 1 Mrd. EUR Bilanzsumme, kleine Institute/SNCIs, übrige weniger bedeutende Institute/LSIs), (3) Significant Institutions (SIs) werden aus dem MaRisk-Anwendungsbereich herausgenommen, (4) Öffnungsklauseln für kleine und sehr kleine Institute klar gestellt und erweitert. Umsetzung von EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) und Internen Governance. Stellungnahmen bis 8. Mai 2026 (ABGELAUFEN)
BaFin / Deutsche Bundesbank
16.05.2026
BaFin Aufsichtsmitteilung: Vereinfachter IKT-Risikomanagementrahmen (August 2025)
Die BaFin hat am 21. August 2025 eine Aufsichtsmitteilung zu DORA mit vereinfachtem IKT-Risikomanagementrahmen veröffentlicht. Diese richtet sich an Unternehmen, die bisher unter BAIT/VAIT fielen oder übergangsweise noch unter BAIT fallen und den vereinfachten Rahmen nach Artikel 16 DORA einzuhalten haben. Enthält Hinweise zur Umsetzung und Dokumentationsanforderungen für vereinfachte Rahmenbedingungen
BaFin
16.05.2026
EBA Guidelines on ICT and security risk management - DORA Alignment (11 Feb 2025)
Die EBA hat ihre Guidelines on ICT and security risk management (EBA/GL/2019/04) geändert, um DORA anzupassen. Wesentliche Änderungen: (1) Scope auf DORA-covered Entities eingeschränkt (Kreditinstitute, Zahlungsinstitute, AISPs, befreite Zahlungsinstitute), (2) Fokus verengt auf Payment Service User Relationship Management, (3) Überlappungen mit DORA-ICT-RMF eliminiert. Die Guidelines treten am 20. Mai 2025 in Kraft. PSD2-Sicherheitsanforderungen gelten weiterhin für nicht-DORA-PSPs
EBA
16.05.2026
EBA Guidelines on third-party risk management for non-ICT services - Consultation (8 Jul 2025)
Die EBA hat am 8. Juli 2025 eine Konsultation zu neuen Guidelines für Third-Party Risk Management bei NICHT-ICT-Dienstleistungen gestartet. Diese Guidelines erweitern DORA (nur ICT) auf alle Third-Party Arrangements (TPA). Wesentliche Neuerungen: (1) Ersetzt EBA Guidelines on Outsourcing (2019), (2) Gilt für ICT UND non-ICT Services, (3) Intragroup-Arrangements eingeschlossen, (4) Single Register für ICT+non-ICT, (5) Critical/Important Functions Definition wie DORA. Finalisierung erwartet April 2026, Umsetzungsfrist ca. 2 Jahre (grace period)
EBA
16.05.2026
ESA Joint Committee Annual Report 2025 - DORA als Schwerpunkt
Die gemeinsame Ausschuss der Europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) hat ihren Jahresbericht 2025 veroeffentlicht. DORA wird als eine der drei zentralen Prioritaeten 2025 hervorgehoben: (1) Verbraucherschutz in digitalen Finanzmaerkten, (2) Staerkung der operativen und Cyber-Resilienz durch DORA-Implementierung, (3) Verbesserung der Nachhaltigkeitsfinanzierung. Der Bericht unterstreicht die cross-sektorale Bedeutung von DORA fuer die gesamte EU-Finanzindustrie
EBA / EIOPA / ESMA (Joint Committee)
16.05.2026
ESAs DORA Oversight Guide - Leitfaden fuer CTPP-Oversight (15. Juli 2025)
Die drei Europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA - die ESAs) haben am 15. Juli 2025 einen umfassenden Guide zu Oversight-Aktivitaeten unter DORA veroeffentlicht. Der Guide richtet sich an Critical Third-Party Providers (CTPPs) und erlaeutert die Governance-Struktur, Oversight-Prozesse, grundlegende Prinzipien und verfuegbare Werkzeuge fuer die Aufseher. Die ESAs fuehren Oversight-Aktivitaeten durch Joint Examination Teams (JETs) durch, die aus Mitarbeitern der ESAs, der zustaendigen nationalen Aufsichtsbehoerden (CAs) und NIS-Behoerden bestehen. Der Guide ist nicht rechtlich bindend, ersetzt aber nicht die gesetzlichen Anforderungen. Er dient als Referenz fuer Finanzunternehmen, CTPPs und die Oeffentlichkeit zur Vorbereitung auf die Oversight-Implementierung
EBA / EIOPA / ESMA (Joint Committee)
16.05.2026
DORA RTS 2025/532 - Subcontracting von ICT-Dienstleistungen veroeffentlicht
Die Europaischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) haben am 17. April 2025 die finalen Regulatory Technical Standards (RTS 2025/532) zu Subcontracting von ICT-Dienstleistungen im Amtsblatt der EU veroeffentlicht. Diese Standards ergaenzen DORA Artikel 28 und definieren Anforderungen fuer die Beaufsichtigung von Unterauftragnehmern kritischer ICT-Drittparteien (CTPPs). Wesentliche Regelungen betreffen Due-Diligence fuer Subcontractor, Vertragsanforderungen, Monitoring- und Audit-Rechte sowie Konzentrationsrisiken bei Mehrfach-Subcontracting
EBA / EIOPA / ESMA
16.05.2026
DORA TLPT-Deadline 17. Januar 2028 - Erste Threat-Led Penetration Tests
Finanzinstitute mit Signifikanzstatus muessen bis spaetestens 17. Januar 2028 ihren ersten Threat-Led Penetration Test (TLPT) nach DORA Art. 26 und den EBA-RTS abgeschlossen haben. Die Planungsphase sollte jetzt beginnen: 12-18 Monate Vorlauf fuer Provider-Auswahl (TIBER-EU), Scope-Definition, Rules of Engagement (RoE) und Testdurchfuehrung. Nach dem ersten Zyklus sind TLPTs alle 3 Jahre wiederkehrend durchzufuehren
EBA
16.05.2026
9. MaRisk-Novelle Update: Konsultationsende 8. Mai 2026, Finalisierung H2 2026
Update zur 9. MaRisk-Novelle: Die BaFin-Konsultation endet am 8. Mai 2026. Die Finalisierung der Novelle ist fuer die zweite Jahreshaelfte 2026 geplant. Die Novelle wird voraussichtlich mit Inkrafttreten sofort wirksam (keine Uebergangsfrist), da sie ueberwiegend Erleichterungen enthaelt. Kritische Neuerungen: (1) Dreistufige Institutsklassifizierung mit Bilanzsummen-Schwellen (≤1 Mrd, ≤5 Mrd, >5 Mrd), (2) AT 4.3.4 explizit fuer KI-Systeme und Modelle, (3) ESG-Szenarioanalysen mit 10-Jahres-Horizont, (4) DORA-Alignment: IKT-Risiken explizit in Risikoinventur, AT 7.2 technisch-organisatorische Ausstattung wird nahezu vollstaendig gestrichen (Uebernahme durch DORA)
BaFin
16.05.2026
BaFin konsultiert WpI MaRisk (Wertpapierinstitute) - 2. Konsultationsfassung
Die BaFin hat am 6. Mai 2026 den zweiten Entwurf des Rundschreibens "Mindestanforderungen an das Risikomanagement von Wertpapierinstituten (WpI MaRisk)" zur Konsultation gestellt (Konsultation 05/2026). Der Entwurf ist weniger umfangreich und etabliert eigenständige, risikoorientierte und prinzipienbasierte Anforderungen. Besonderer Fokus auf Kleine und Mittlere Wertpapierinstitute mit passgenauen Mindestanforderungen. Grossen Wertpapierinstituten muss weiterhin das Rundschreiben (BA)-MaRisk in der jeweils gueltigen Fassung angewendet werden. Stellungnahmen bis 17. Juni 2026
BaFin
16.05.2026
DORA Informationsregister Einreichung 2026 - Frist 9.-30. März
Die BaFin hat am 4. Februar 2026 Details zur Einreichung des DORA Informationsregisters für 2026 veröffentlicht. Finanzunternehmen müssen ihre Informationsregister zwischen dem 9. und 30. März 2026 über das MVP-Portal der BaFin einreichen. Wichtige Änderungen für 2026: Das Register muss alle Vertragsinformationen mit Stichtag 31. Dezember 2025 enthalten (statt 31. März wie in 2025). Nach Einreichung erhalten Unternehmen ein Fehlerprotokoll - Fehler müssen kurzfristig korrigiert und das Register erneut eingereicht werden. Die ESAs erwarten die Übermittlung der Register durch die zuständigen Behörden bis zum 31. März 2026
BaFin
16.05.2026
EBA überarbeitet ICT Risk Management Guidelines - Scope verengt für DORA-Harmonisierung
Die EBA hat ihre Richtlinien zu ICT- und Sicherheitsrisikomanagement überarbeitet und den Anwendungsbereich verengt. Anpassungen erfolgen aufgrund der harmonisierten DORA-Anforderungen ab 17. Januar 2025. Die veränderten Richtlinien betreffen nun ausschliesslich Kreditinstitute, Zahlungsinstitute, Kontoinformationsdiensteanbieter sowie befreite Zahlungs- und E-Geld-Institute. Zahlungsdienstleister ausserhalb des DORA-Scopes (z.B. Postbankgiroinstitute, Kreditgenossenschaften) unterliegen weiterhin den PSD2-Anforderungen. Die Richtlinien treten zwei Monate nach Veröffentlichung der übersetzten Versionen in Kraft
EBA
16.05.2026
ESAs veröffentlichen zweites Policy-Paket unter DORA
Die drei Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) haben das zweite Policy-Paket unter DORA veröffentlicht. Das Paket umfasst vier final draft Regulatory Technical Standards (RTS), ein Implementing Technical Standards (ITS) und zwei Leitlinien. Fokus liegt auf Meldeframework für IKT-Vorfälle (Templates, Zeiträume), TLPT-Requirements (Kriterien für Joint Examination Teams), Oversight-Framework-Design und Kosten/Loss-Schätzungen bei Major Incidents. Die RTS wurden an die EU-Kommission übermittelt. Verbleibend: RTS zu Subcontracting (folgt in Kürze)
EBA / EIOPA / ESMA
16.05.2026
BaFin DORA Workshops für Informationsregister 2026
Die BaFin bietet auch im Jahr 2026 Workshops vor Beginn der Einreichungsperiode an, um deutsche Finanzunternehmen auf die Einreichung der Informationsregister gemäss DORA Art. 28 vorzubereiten. Die Einreichungsfrist für 2026 liegt zwischen 9. und 30. März 2026. Unternehmen müssen Melder für das Fachverfahren "Digital Operational Resilience Act (DORA)" freischalten lassen. TEST-Einreichungen über das Fachverfahren "TEST: DORA" sind möglich zur Vorbereitung. MVP-Formular-Überarbeitung für Auslagerungsanzeigen nach Art. 28 Abs. 3 UAbs. 5 DORA ist in Bearbeitung
BaFin
16.05.2026
BaFin DORA Update August 2025 - Vereinfachte IKT-Risikomanagementrahmen
BaFin hat am 21. August 2025 eine aktualisierte Aufsichtsmitteilung mit Hinweisen zur Umsetzung von DORA mit vereinfachten IKT-Risikomanagementrahmen veröffentlicht. Die Dokumentationsanforderungen für vereinfachte Rahmenwerke wurden präzisiert. Zudem wurde eine englischsprachige Übersicht zu den DORA-Dokumentationsanforderungen veröffentlicht (12.08.2025). Aktualisierungen betreffen auch Mindestvertragsinhalte (03.06.2025) und FAQ zu IKT-Vorfällen (13.05.2025)
BaFin
16.05.2026
BAIT Übergangsregelungen - Gültig bis 31. Dezember 2026
Die BaFin hat die Übergangsregelungen für BAIT (Bankenaufsichtliche Anforderungen an die IT) präzisiert. BAIT gelten weiterhin für Aufsichtsobjekte, die (noch) kein IKT-Risikomanagement nach DORA betreiben müssen. Dies betrifft: (I) Institute unter FinmadiG-Übergangsfrist bis 01.01.2027 (Zweigstellen, Wohnungsunternehmen, Finanzdienstleistungsinstitute, Drittstaatenzweigstellen, Bürgschaftsbanken), (II) Finanzholdings und andere nicht-DORA-regulierte Entitäten. Nach Ablauf der Übergangsfristen werden BAIT vollständig aufgehoben
BaFin
16.05.2026
DORA EU-Review 2028 angekündigt - Fundamental Review der Regulierung
Die Europäische Union plant eine fundamentale Überprüfung des DORA-Rahmens für 2028. BaFin-IT-Aufsicht (Jens Obermöller) bestätigt, dass dies zwar noch einige Jahre entfernt ist, aber bereits jetzt berücksichtigt werden muss. Der Review wird die Anwendungserfahrungen der ersten Jahre (seit 17.01.2025) auswerten und möglicherweise Anpassungen an der Regulierung vornehmen. Ausstehende RTS (Subcontracting, TLPT) werden voraussichtlich in naher Zukunft durch die EU-Kommission veröffentlicht
BaFin / EU
16.05.2026
MaRisk 8. Novelle: Kreditspreadrisiken und Zinsaenderungsrisiken (Rundschreiben 06/2024)
BaFin hat die 8. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) als Rundschreiben 06/2024 (BA) veroeffentlicht. Die Novelle implementiert EBA-Leitlinien zu Zinsaenderungsrisiken und fuehrt erstmals Anforderungen an Kreditspreadrisiken im Anlagebuch ein (neuer Abschnitt BTR 5). ESG-Risiken sind nun explizit in der Risikoinventur zu beruecksichtigen. Die Anforderungen gelten ab 29.05.2024, bei Zinsaenderungsrisiken werden die Anpassungen ab 2025 bei Pruefungen beruecksichtigt
BaFin
16.05.2026
BaFin Risiken im Fokus 2026 - Neun Schwerpunktrisiken fuer den Finanzsektor
Die BaFin hat am 28. Januar 2026 ihren jaehrlichen Bericht "Risiken im Fokus 2026" veroeffentlicht. Der Bericht identifiziert neun Schwerpunktrisiken fuer den deutschen Finanzsektor: (1) Risiken aus signifikanten Korrekturen an den internationalen Finanzmaerkten, (2) Risiken aus dem Ausfall von Unternehmenskrediten, (3) Risiken aus den Gewerbeimmobilienmaerkten, (4) Risiken aus Cyber-Vorfaellen mit gravierenden Auswirkungen, (5) Risiken aus Konzentrationen bei der Auslagerung von IKT-Dienstleistungen, (6) Risiken aus unzureichender Praevention von Geldwaesche und Terrorismusfinanzierung, (7) Konsumfinanzierung auf Kredit, (8) Investitionen in Kryptowerte und Einfluss sozialer Medien auf das Anlageverhalten, (9) Kosten von kapitalbildenden Lebensversicherungen. Erstmals werden neben Finanzmarktrisiken auch drei explizite Verbraucherrisiken aufgefuehrt. Die IKT-Auslagerungskonzentrationen (Risiko 5) sind direkt DORA-relevant
BaFin
16.05.2026
EBA Follow-up Report: ICT Risk Assessment under SREP (23 Feb 2026)
Die EBA hat am 23. Februar 2026 den Follow-up Report zu ihrer Peer Review 2022 zur ICT-Risikobewertung im Rahmen des Supervisory Review and Evaluation Process (SREP) veroeffentlicht. Der Report zeigt, dass die Aufsichtsbehoerden durch die DORA-Implementierung seit Januar 2025 bemerkenswerte Fortschritte bei der Staerkung der ICT-Risikobewertung gemacht haben. Gleichzeitig bleibt weitere Arbeit und kontinuierliche Investitionen notwendig, um eine konsistente und effektive ICT-Risikoueberwachung in der EU sicherzustellen. Die Ergebnisse bestaetigen, dass die Behoerden ihre ICT-aufsichtliche Kapazitaet und Expertise ausbauen, vermehrt Horizontalanalysen nutzen und ueberwachungstools systematisch anwenden. Die ICT-Risiko-Subkategorien sind nun bei fast allen Behoerden implementiert. Der Report ermutigt die Behoerden, ICT-Risikomethoden vollstaendig in die ueberwachungsprozesse zu integrieren
EBA
16.05.2026
EBA Publishes New Q&As on DORA (6 Feb 2026)
Die ESAs (EBA, EIOPA, ESMA) haben am 6. Februar 2026 drei neue Sets von Q&As (Questions & Answers) zum Digital Operational Resilience Act (DORA) veroeffentlicht. Die Q&As klaeren: (1) Ausnahmen fuer Behoerden (public authorities) unter DORA, (2) Arten von Telefondiensten, die unter die Definition von ICT-Dienstleistungen fallen, (3) Klassifizierung von Phishing-Angriffen als ICT-bezogene Vorfaelle unter DORA. Wesentliche Klarstellung: Phishing-Vorfaelle im privaten Bereich des Kunden, die die vom Finanzunternehmen bereitgestellten Dienste nicht beeintraechtigen, gelten NICHT als ICT-bezogene Vorfälle unter DORA. Diese Klaerungen sind fuer die praktische Umsetzung der DORA-Vorfallmeldeverfahren relevant
EBA / EIOPA / ESMA
16.05.2026
ESAs designieren 19 kritische ICT-Drittdienstleister (CTPPs) unter DORA
Die Europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) haben am 18. November 2025 die erste Liste der designierten kritischen ICT-Drittdienstleister (Critical ICT Third-Party Providers, CTPPs) unter DORA veroeffentlicht. Insgesamt wurden 19 Unternehmen als CTPP designiert, darunter Cloud-Provider (AWS, Google Cloud, Microsoft, Oracle), Datacenter-Betreiber (Equinix, Colt), Systemintegratoren (Accenture, Capgemini, Tata Consultancy), Software-Anbieter (SAP, IBM, Kyndryl), sowie weitere kritische Dienstleister (Bloomberg, Deutsche Telekom, Fidelity, LSEG, NTT DATA, Orange). Die Designation erfolgt auf Basis von vier Kriterien: systemische Bedeutung fuer den Finanzsektor, Konzentration der Abhaengigkeit, Ausmass der Nutzung durch Finanzinstitute und Substituierbarkeit der Dienste. CTPPs unterliegen nun der direkten EU-weiten Aufsicht durch die ESAs ueber Joint Examination Teams (JETs). Die Liste wird jaehrlich aktualisiert. Nicht-designierte ICT-Anbieter koennen sich freiwillig designieren lassen. Die CTPP-Designation ist ein zentraler Meilenstein fuer die DORA-Oversight und hat unmittelbare Auswirkungen auf Vertragsmanagement, Due-Diligence und Registerpflichten der betroffenen Finanzinstitute
EBA / EIOPA / ESMA
16.05.2026
BaFin Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen
Die BaFin hat am 18. Dezember 2025 eine Orientierungshilfe zu IKT-Risiken beim Einsatz von Kuenstlicher Intelligenz (KI) in Finanzunternehmen veroeffentlicht. Die Hilfestellung ist unverbindlich und richtet sich an Institute unter CRR und Versicherer nach Solvency II. Sie ordnet KI-Systeme als Unterfall von Netzwerk- und Informationssystemen (IKT) in den Anwendungsbereich von DORA ein. Schwerpunkte: (1) Governance und organisatorische Verantwortung der Geschaeftsleitung, (2) Integration in den IKT-Risikomanagementrahmen einschliesslich Inventarisierung (auch Shadow-KI), (3) Bereitstellung von KI (Entwicklung, Test, Change-Management), (4) Betrieb und Stilllegung (Monitoring, Anomalieerkennung, sichere Loeschung), (5) Cyber- und Datensicherheit (Datenklassifizierung, Verschluesselung, Zugriffskontrollen), (6) IKT-Drittparteienrisikomanagement bei Cloud-KI und Vendor-Lock-in. Die Orientierungshilfe enthaelt eine Fallstudie zu LLM-basierten KI-Assistenten mit konkreten Angriffsszenarien (Data Poisoning, Prompt Injection, Datenabfluesse, fehlende Zugriffsbeschraenkungen) und Gegenmassnahmen
BaFin
16.05.2026
BaFin Jahrespressekonferenz 2026: KI-gestuetzte Cyberangriffe und verstaerkte IKT-Aufsicht (12. Mai 2026)
BaFin-Präsident Mark Branson hat auf der Jahrespressekonferenz am 12. Mai 2026 in Frankfurt vier Schwerpunktthemen adressiert. Im Fokus standen: (1) KI-gestützte Cyberrisiken – neue KI-Modelle können Schwachstellen in IT-Systemen mit bemerkenswerter Geschwindigkeit identifizieren und ausnutzen. Patch-Management-Zyklen müssen von Monaten auf Tage/Stunden verkürzt werden. (2) Ausbau der BaFin-Cyberaufsicht – die Direktion Cyberrisiken und Technologie im Finanzsektor wurde auf sieben Abteilungen erweitert, mit neuen „IT-Spotlight“-Prüfungen für schnellere, zielgerichtete Inspektionen. (3) DORA-Betonung – Unternehmen müssen die DORA-Anforderungen umsetzen und gute Cyber-Hygiene praktizieren. (4) Private Debt und Wohnimmobilienkredite – Risiken aus hohem Loan-to-Value (14% der Neukredite übersteigen den Immobilienwert) und Private-Debt-Fonds. Branson betonte: „Prudenzielle Aufsicht und Verbraucherschutz gehören zusammen."
BaFin
16.05.2026
ESAs und UK-Regulierer unterzeichnen MoU zu DORA-CTPP-Oversight
Die Europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) haben am 14. Januar 2026 gemeinsam mit der Bank of England (BoE), dem Prudential Regulation Authority (PRA) und der Financial Conduct Authority (FCA) ein Memorandum of Understanding (MoU) zur Zusammenarbeit bei der Oversight kritischer ICT-Drittdienstleister (CTPPs) unter DORA unterzeichnet. Das MoU etabliert klare Prinzipien und Verfahren fuer Kooperation, Informationsaustausch und Koordination von Oversight-Aktivitaeten zwischen den EU- und UK-Aufsichtsbehoerden. Rechtsgrundlage sind DORA Artikel 36, 44 und 49 (Oversight-Befugnisse, internationale Kooperation, grenzueberschreitende Uebungen). Vor der Unterzeichnung fuehrten die ESAs eine Aequivalenzpruefung des UK-Geheimnisschutzes durch. Das MoU staerkt das Third-Party-Risk-Management und traegt zur operativen Resilienz im EU- und UK-Finanzsektor bei
EBA / EIOPA / ESMA / BoE / PRA / FCA
16.05.2026
BaFin konsultiert EBA-Leitlinien zu verhältnismäßigen Diversifizierungsmethoden (Konsultation 03/2026)
Die BaFin hat am 16. April 2026 den Entwurf eines Rundschreibens zur Übernahme der EBA-Leitlinien für verhältnismäßige Diversifizierungsmethoden im Mengengeschäft gemäß Artikel 123 Absatz 1 der Verordnung (EU) Nr. 575/2013 (EBA/GL/2026/02) zur Konsultation gestellt. Die Leitlinien konkretisieren verhältnismäßige Diversifizierungsmethoden für Kreditinstitute, die nach dem Standardansatz Kreditrisiken aus Wertpapierpositionen mit niedrigem Risiko (förderfähige gewerbliche Immobilien, forderfähige Forderungen an kleine und mittlere Unternehmen) ermitteln. Die EBA hatte die Leitlinien bereits konsultiert und die Ergebnisse veröffentlicht. BaFin beabsichtigt, die Leitlinien bis zum 19. Mai 2026 in die Verwaltungspraxis zu übernehmen. Die Konsultation lief bis 30. April 2026
BaFin / EBA
16.05.2026
EBA Opinion zu Commission-Amendments der Operational-Risk-RTS (EBA/Op/2026/04)
Die EBA hat am 23. April 2026 eine Opinion zu den von der Europaeischen Kommission vorgeschlagenen Aenderungen an den finalen draft Regulatory Technical Standards (RTS) fuer Operational Risk unter dem Capital Requirements Regulation (CRR) veroeffentlicht. Die EBA wendet sich gegen zwei Aenderungen: (1) Die Kombination von Accounting Approach (AA) und Prudential Boundary Approach (PBA) fuer die Berechnung der finanziellen Komponente des Business Indicator. Die EBA haelt die Anwendung nur EINES Ansatzes fuer den gesamten Bilanzkreis fuer notwendig, um die Kohaerenz des Rahmens zu wahren. Die Kombination beider Ansaetze ist im Basel-Standard nicht vorgesehen und kann Komplexitaet erhoehen, Inkonsistenzen schaffen und regulatorische Arbitrage ermoeglichen. (2) Die Beschraenkung von Meldepflichten an die Aufsicht auf materielle Aenderungen im PBA-Scope, wenn dieser in Kombination mit AA verwendet wird. Die EBA ist der Ansicht, dass dies die Aufsichtseffektivitaet schwaechen koennte, da institutsspezifische Materialitaetsurteile die Aufsichtspruefung verkomplizieren. Die EBA unterstuetzt die uebrigen Aenderungen, die Lesbarkeit und Rechtssicherheit verbessern. Rechtsgrundlage: Artikel 10(1) Verordnung (EU) Nr. 1093/2010
EBA
16.05.2026
ESAs veroeffentlichen erste Liste kritischer IKT-Drittdienstleister (CTPPs) — 19 Provider designiert
Die Europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) haben am 18. November 2025 die erste Liste der als kritisch eingestuften IKT-Drittdienstleister (CTPPs) unter DORA veroeffentlicht. 19 Provider wurden designiert, darunter major cloud providers und IT-Serviceunternehmen: Accenture, Amazon Web Services, Bloomberg, Capgemini, Colt, Deutsche Telekom, Equinix, FIS, Google Cloud, IBM, InterXion, Kyndryl, LSEG, Microsoft, NTT DATA, Oracle, Orange, SAP, Tata Consultancy Services. Die designierten CTPPs unterliegen nun dem europaeischen Ueberwachungsrahmen mit Lead Overseer, Joint Examination Teams (JETs) und jaehrlichen Oversight-Aktivitaeten. Finanzunternehmen muessen ihre Vertraege mit diesen Providern auf DORA-Konformitaet pruefen und gegebenenfalls anpassen.
EBA / EIOPA / ESMA
16.05.2026
ESAs korrigieren Reporting-Anforderungen fuer CTPP-Designation unter DORA (7. Mai 2026)
Die Europaeischen Aufsichtsbehoerden (EBA, ESMA, EIOPA) haben am 7. Mai 2026 eine Korrektur der Reporting-Anforderungen fuer zustaendige Behoerden zur Benennung kritischer IKT-Drittdienstleister (CTPPs) unter DORA veroeffentlicht. Ziel ist die Angleichung von Datenpunkten an die Commission Implementing Regulation (EU) 2024/2956. Fuer Institute ist dies ein wichtiges Signal, dass Taxonomie- und Datenqualitaetsanforderungen im DORA-Meldekontext fortlaufend nachgeschaerft werden und Register-/Meldeprozesse entsprechend robust versioniert werden muessen.
EBA / ESMA / EIOPA
16.05.2026
EBA konsultiert vereinfachte aufsichtliche Meldestandards (ITS) mit Frist 10. Juli 2026
Die EBA hat am 10. April 2026 ein umfassendes Konsultationspaket zur Vereinfachung der aufsichtlichen Meldungen veroeffentlicht. Ziel ist eine spuerbare Entlastung bei gleichzeitig stabiler Datenqualitaet fuer die Aufsicht. Fuer Institute ist dies ein relevantes Signal fuer Datenmodell-, Mapping- und Governance-Anpassungen in Regulatory-Reporting-Prozessen sowie fuer die Abstimmung mit DORA-bezogenen Datenqualitaetskontrollen.
EBA
16.05.2026
EU-Kommission startet Bewerbungsverfahren fuer ESAs-Berufungsausschuss (Board of Appeal) — 12. Mai 2026
Die Europaeische Kommission hat am 12. Mai 2026 ein Bewerbungsverfahren fuer die Ernennung von Mitgliedern des Berufungsausschusses (Board of Appeal) der drei Europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA — die ESAs) gestartet. Der Board of Appeal ist ein gemeinsames Gremium der ESAs und zustaendig fuer Rechtsbehelfe gegen Entscheidungen der Aufsichtsbehoerden, einschliesslich DORA-Oversight-Entscheidungen gegenueber kritischen IKT-Drittdienstleistern (CTPPs). Die Neubesetzung des Gremiums ist relevant fuer die Rechtssicherheit der DORA-Oversight-Verfahren sowie fuer Institute und CTPPs, die Rechtsmittel gegen ESA-Entscheidungen einlegen moechten
European Commission / EBA / EIOPA / ESMA
16.05.2026
EBA veroeffentlicht regelmaessige DPM-Known-Issues-Liste fuer Reporting-Qualitaet (9. April 2026)
Die EBA hat am 9. April 2026 angekuendigt, kuenftig regelmaessig eine Liste bekannter Data-Point-Model-(DPM)-Probleme zu veroeffentlichen. Die Liste enthaelt Workarounds und indikative Zeitplaene fuer Fehlerbehebungen. Zum Start wurden insbesondere Themen aus Pillar-3-Offenlegungen und Resolution-Reporting adressiert. Fuer Institute ist dies ein operativ relevantes Signal fuer Datenqualitaet, Taxonomie-Change-Tracking und belastbare Regulatory-Reporting-Governance.
EBA
16.05.2026
EBA veroeffentlicht finale Guidelines zur Supervisory Independence unter CRD (29. April 2026)
Die EBA hat am 29. April 2026 ihre finalen Guidelines zur Aufsichtsunabhaengigkeit unter der Capital Requirements Directive (CRD) veroeffentlicht. Die Guidelines konkretisieren die Anforderungen an zustaendige Behoerden zur Praevention und zum Management von Interessenkonflikten, einschliesslich der Organisation ihrer Mitarbeiter und Fuehrungsgremien. Massnahmen umfassen Interessenkonflikterklaerungen, Beschraenkungen des Handels mit Finanzinstrumenten und Cooling-Off-Regelungen. Fuer Institute ist dies relevant, da eine unabhaengige Aufsicht die Voraussetzung fuer konsistente und unvoreingenommene SREP- und Pruefungsentscheidungen ist und die Vorgaben implizite Erwartungen an institutseigene Governance-Rahmenwerke in Bezug auf Interessenkonfliktmanagement und personelle Trennung von Ueberwachungs- und operativen Funktionen signalisieren.
EBA
16.05.2026
EBA aendert Guidelines zur Definition von Default — Non-Recourse Factoring und NPV-Threshold (7. Mai 2026)
Die EBA hat am 7. Mai 2026 einen finalen Report mit gezielten Aenderungen an den Guidelines zur Anwendung der Definition von Default (EBA/GL/2016/07) veroeffentlicht. Die Aenderungen betreffen (1) die Beruecksichtigung von Non-Recourse-Factoring bei der Default-Definition — spezifische Aspekte dieser Finanzierungsform werden kuenftig besser abgebildet; (2) die Bestaetigung, dass der 1%-Schwellenwert fuer NPV-Verluste bei Schuldenrestrukturierungen angemessen bleibt. Fuer Institute mit Factoring-Aktivitaeten sind Anpassungen der Default-Erkennungslogik und der Restrukturierungsprozesse erforderlich.
EBA
16.05.2026
EBA konsultiert Änderungen der RTS zur Risikogewichtung von Spezialfinanzierungen nach dem Supervisory Slotting Criteria Approach (SSCA)
Die EBA hat am 7. Mai 2026 eine öffentliche Konsultation zu vorgeschlagenen Änderungen ihrer Regulatory Technical Standards (RTS) zur Risikogewichtung von Spezialfinanzierungspositionen nach dem Supervisory Slotting Criteria Approach (SSCA) gestartet. Ziel der Änderungen ist die Aktualisierung der RTS im Lichte der Änderungen durch CRR 3 sowie die Verbesserung der Risikosensitivität, Klarheit und Benutzerfreundlichkeit des Rahmens. Die RTS betreffen Projektfinanzierungen, Objektfinanzierungen, Warenkreditfinanzierungen und Finanzierungen von einkommensgenerierenden Immobilien. Die Konsultation läuft bis zum 7. August 2026. Für Institute mit Spezialfinanzierungen sind Anpassungen der Risikogewichtungslogik und interner Ratingverfahren erforderlich.
EBA
16.05.2026
EBA strafft Guidelines on connected clients — Anpassung an neue EU-Rechtsvorschriften (29. April 2026)
Die EBA hat am 29. April 2026 beschlossen, Teile ihrer Guidelines on connected clients (EBA/GL/2017/15) zu streichen. Grund ist das Inkrafttreten der Commission Delegated Regulation (EU) 2024/1728, die verbindliche Regulatory Technical Standards (RTS) zur Identifizierung von Gruppen verbundener Kunden (connected clients) enthält. Die gestrichenen Guideline-Abschnitte sind durch die direkt anwendbaren EU-RTS obsolet geworden. Die verbleibenden Teile der Guidelines bleiben gültig. Für Institute bedeutet dies eine erhöhte Rechtssicherheit bei der Anwendung der Connected-Clients-Definition für Großkreditgrenzen, aber auch Anpassungsbedarf in internen Rating- und Meldeverfahren. Relevanz für MaRisk-Kreditrisiko-Content (BTR 1, BTR 3) sowie für Large Exposures nach CRR
EBA
16.05.2026
ESAs Joint Committee Annual Report 2025: DORA-Implementierung und Cyber-Resilienz als zentrale Prioritäten
Das Joint Committee der Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) hat am 24. April 2026 seinen Jahresbericht 2025 veröffentlicht. Der Bericht identifiziert drei zentrale Schwerpunkte der behördenübergreifenden Arbeit: (1) Verbraucherschutz in zunehmend digitalen Finanzmärkten, (2) Stärkung der operativen und Cyber-Resilienz durch die Implementierung des Digital Operational Resilience Act (DORA), (3) Verbesserung der Wirksamkeit von Sustainable-Finance-Offenlegungen sowie verbessertes sektorübergreifendes Risikomonitoring. Der Bericht hebt hervor, dass in einem Umfeld erhöhter geopolitischer Unsicherheit, beschleunigter Digitalisierung und rascher Finanzinnovation die Regulierungsrahmen robust, verhältnismäßig und zukunftsorientiert bleiben müssen. Das Joint Committee hat zudem Arbeiten zur Vereinfachung des EU-Finanzregulierungsrahmens vorangetrieben. Dies ist ein wichtiges Signal für die strategische Ausrichtung der Plattform: DORA und Cyber-Resilienz bleiben Top-Priorität der EU-Aufsichtsbehörden
EBA / EIOPA / ESMA (Joint Committee)
16.05.2026
BaFin Rundschreiben 01/2026 (VA): Hinweise zum Betrieb von Lösegeldversicherungen — Ransomware-Versicherung mit Cyber-Versicherung bündelbar
Die BaFin hat am 1. April 2026 ein Rundschreiben zu Lösegeldversicherungen (Ransomware-Versicherungen) veröffentlicht. Das Rundschreiben löst das bisherige R 3/1998 (VA) ab und fasst die aktuellen Voraussetzungen zusammen. Wesentliche Neuerung: Die Bündelung der Lösegeldversicherung mit der Versicherung gegen Cyberrisiken wird von der BaFin als zulässig erachtet. Weitere Anforderungen: kein Werbeverbot, Laufzeit max. 1 Jahr, angemessene Versicherungssumme, präventive Sicherheitsberatung durch qualifiziertes Unternehmen, zentrale Verschwiegenheitsstelle im Vorstandsressort, unverzügliche Polizeianzeige im Schadenfall, verschlüsselte Datenspeicherung. Das Rundschreiben ist relevant für die operationelle Resilienz und das Cyber-Risikomanagement unter DORA sowie für Versicherer unter Solvency II
BaFin
16.05.2026
Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.