Die Welt der Finanzregulierung ist im Wandel. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die neunte Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht, und es scheint, als ob die Zeit drängt. Bis zum 1. Januar 2027 müssen die neuen Vorgaben umgesetzt werden. Dabei geht es nicht nur um trockene Vorschriften – die Neuregelung zielt darauf ab, die Anforderungen besser mit dem Digital Operational Resilience Act (DORA) zu verzahnen und gleichzeitig ESG-Risiken in die Risikoinventur zu integrieren. Das klingt nach einer echten Herausforderung für viele Institute!

Doch keine Angst – das Proportionalitätsprinzip könnte kleineren Instituten etwas Luft verschaffen. Diese profitieren von administrativen Erleichterungen, besonders jene mit einer Bilanzsumme von bis zu einer Milliarde Euro und den sogenannten Small and Non-Complex Institutions (SNCI). Aber auch größere Institute stehen nicht ohne Anforderungen da. Die neuen Regelungen verlangen präzisere inverse Stresstests und eine langfristige Resilienzanalyse. Ein weiteres Augenmerk liegt auf der Geldwäsche-Prävention, wo konsistente und revisionssichere Prozesse gefordert werden. Ein einfaches Führungszeugnis reicht hier nicht mehr aus – risikobasierte Ansätze sind das Gebot der Stunde.

Die Rolle von DORA und BAIT

Die Regulierung im Finanzsektor wird zunehmend komplexer. In Deutschland und der EU gibt es drei zentrale Regelwerke: DORA, MaRisk und BAIT. Diese bilden einen Rahmen für ein harmonisiertes Sicherheits- und Governance-Niveau. DORA, der Digital Operational Resilience Act, tritt am 17. Januar 2025 in Kraft und betrifft eine breite Palette von Finanzdienstleistern – von Banken über Zahlungsdienstleister bis hin zu Krypto-Anbietern. Das Ziel? Einheitliche Regeln für IKT-Risiken im Finanzsektor, die nicht nur für nationale Institute relevant sind, sondern auch für internationale Player.

In der Zwischenzeit bleibt MaRisk ein wichtiges nationales Regelwerk, das organisatorische und prozessuale Anforderungen an das Risikomanagement von Banken definiert. Es regelt Governance, interne Kontrollen, Notfallmanagement und Outsourcing. Hier wird deutlich, dass DORA viele nationale Vorgaben, vor allem in der BAIT, ergänzt oder ersetzt. BAIT konkretisiert die IT-Anforderungen der MaRisk und war bis zur Einführung von DORA das zentrale IT-Regelwerk für Banken in Deutschland.

Herausforderungen und Chancen für die Branche

Die neuen Regelungen bringen nicht nur Herausforderungen mit sich. Sie bieten auch Chancen für Unternehmen, die bereit sind, sich anzupassen. Beispielsweise müssen Krypto-Anbieter ab Anfang 2026 verstärkt Transaktionsdaten an Steuerbehörden melden (DAC8). Das sorgt zwar für zusätzlichen Aufwand, könnte aber auch die Transparenz und das Vertrauen in die Krypto-Branche erhöhen.

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren

Im Bereich der Compliance sind die Anforderungen an die Unternehmen gestiegen. Laut aktuellen Marktanalysen haben 40 % der Finanzdienstleister ein unvollständiges Asset-Inventar, und 30 % wissen nicht einmal genau, welche IT-Umgebung sie haben. Das ist beunruhigend! Und während 82 % der Unternehmen ihre Detection- und Response-Maßnahmen nicht über KPIs steuern, haben 42 % sogar keine eigenen SOC- oder CERT-Kapazitäten. Ein risikobasierter Ansatz für Cloud-Drittanbieter wird ebenfalls gefordert – Compliance by Design ist das neue Mantra.

Außerdem wird der regulatorische Druck durch EU-Entwicklungen wie die Novelle des Außenwirtschaftsgesetzes (AWG) und das 20. EU-Sanktionspaket nicht geringer. Unternehmen müssen damit rechnen, dass bei Verstößen Bußgelder von bis zu 40 Millionen Euro oder Haftstrafen bis zu zehn Jahren drohen. Das ist kein Spaß!

Ein weiterer wichtiger Aspekt ist die neue europäische Geldwäschebehörde AMLA, die an technischen Regulierungsstandards für die EU-Geldwäscheverordnung arbeitet. Diese sollen ab Juli 2027 in Kraft treten und die Branche vor zusätzliche Herausforderungen stellen. Die Anforderungen an das Meldewesen nach DORA gelten bereits seit dem 17. Januar 2025, während die restlichen Vorgaben erst ab dem 1. Januar 2027 wirksam werden.

Deutschland hat bereits 57 Genehmigungen nach der MiCA-Verordnung erteilt, was etwa 23 % der EU-weiten Lizenzen ausmacht. Das zeigt, wie dynamisch und vielschichtig die Landschaft der Finanzregulierung ist. Es bleibt spannend, wie sich die Dinge entwickeln und welche neuen Herausforderungen und Chancen sich in dieser sich rasch verändernden Welt ergeben werden.