Compliance im Finanzsektor 2025–2026: DORA, NIS2, MiCA

Q: Für welche Einrichtungen gilt DORA und ab wann?

DORA (Verordnung EU 2022/2554 über die digitale operationale Resilienz des Finanzsektors) gilt seit dem 17. Januar 2025 in vollem Umfang. Der Anwendungsbereich ist außergewöhnlich breit: Kreditinstitute, Wertpapierfirmen, Fondsmanager (UCITS und AIFs), Versicherungs- und Rückversicherungsunternehmen, Handelsplätze, zentrale Gegenparteien, Transaktionsregister, Krypto-Asset-Dienstleister nach MiCA, E-Geld-Institute und Zahlungsdienstleister. Kritische IKT-Drittanbieter — hauptsächlich Cloud- und Infrastrukturanbieter — unterliegen ebenfalls der direkten Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs). Kleinere Einrichtungen unterliegen verhältnismäßigen Anforderungen, aber keine Einrichtung ist vollständig ausgenommen.

Q: Was sind die fünf Compliance-Säulen von DORA?

DORA ist um fünf Säulen strukturiert: (1) IKT-Risikomanagement — ein Governance-Rahmen mit Verantwortlichkeit auf Vorstandsebene, Identifizierung und Klassifizierung kritischer IKT-Assets, Geschäftsfortführungs- und Notfallpläne; (2) IKT-Incident-Management — obligatorische Klassifizierung und Meldung schwerwiegender Vorfälle an zuständige Behörden (CNMV, Banco de España in Spanien) innerhalb strenger Fristen (Erstmeldung innerhalb von 4 Stunden, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats); (3) Tests der digitalen operationale Resilienz — erweiterte Penetrationstests (TLPT) mindestens alle drei Jahre für bedeutende Einrichtungen; (4) Management des IKT-Drittparteirisikos — detailliertes Register, Due-Diligence und obligatorische Vertragsklauseln für IKT-Anbieter; und (5) Austausch von Cyber-Bedrohungsinformationen zwischen Finanzinstituten.

Q: Wie gilt NIS2 für Finanzinstitute und wie interagiert es mit DORA?

NIS2 (in Spanien umgesetzt) legt Netz- und Informationssicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest. Die meisten Finanzinstitute qualifizieren sich als wesentliche Einrichtungen unter NIS2. Für Einrichtungen, die DORA unterliegen, fungiert die Verordnung jedoch als lex specialis: DORA-Anforderungen gehen NIS2-Anforderungen hinsichtlich Netz- und Informationssicherheit im Finanzsektor vor. Finanzinstitute müssen NIS2 NICHT parallel zu DORA einhalten, müssen aber überprüfen, ob ihre DORA-Abdeckung für ihren spezifischen Einrichtungstyp und ihre zuständige Behörde vollständig ist, da Lücken bestehen können. NIS2-Sanktionen für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2% des globalen Umsatzes; DORA sieht Bußgelder von bis zu 1% des durchschnittlichen Tagesumsatzes für jeden Tag der Nichteinhaltung vor.

Q: Welche Änderungen führt die 6. Geldwäscherichtlinie gegenüber dem aktuellen Regime ein?

Die 6. Geldwäscherichtlinie (EU 2024/1640) und die neue Geldwäscheverordnung (EU 2024/1624), im Mai 2024 verabschiedet mit Umsetzungspflicht bis zum 10. Juli 2027, stärken den Anti-Geldwäsche-Rahmen erheblich. Wesentliche Änderungen umfassen: Schaffung der EU-Behörde zur Bekämpfung der Geldwäsche (AMLA) mit Sitz in Frankfurt und direkter Aufsicht über Hochrisiko-Finanzinstitute in der EU; Erweiterung der Verpflichteten auf MiCA-Krypto-Asset-Dienstleister, Immobilienmakler und Anlageberater; verstärkte Sorgfaltspflichten für Hochrisikokunden; Senkung der Schwelle für die Berechnung des wirtschaftlich Berechtigten auf 15% (von 25%); und harmonisierte Mindestsanktionen — mindestens 10 Millionen Euro oder 10% des Umsatzes bei schwerwiegenden Verstößen.

Q: Was verlangt MiCA von Krypto-Asset-Dienstleistern, die in Spanien tätig sind?

Die MiCA-Verordnung (Markets in Crypto-Assets, EU 2023/1114) gilt seit dem 30. Dezember 2024 vollständig in Spanien. Krypto-Asset-Dienstleister (CASPs) müssen eine Genehmigung der CNMV einholen, um in Spanien tätig zu sein, sofern sie keinen europäischen Pass eines anderen Mitgliedstaats besitzen. Zu den Kernpflichten gehören: Mindestkapitalanforderungen (50.000 bis 150.000 Euro je nach Dienstleistungsart), Sicherung von Kundenvermögen mit Segregation, Veröffentlichung von Krypto-Asset-Whitepapern, Verwaltung von Interessenkonflikten, detaillierte vorvertragliche Offenlegungen, Beschwerdemanagementsysteme und verstärkte AML-Pflichten als neu verpflichtete Einrichtungen nach der AML-Verordnung.

Q: Welche Finanzinstitute sind 2025–2026 zur obligatorischen ESG-Berichterstattung verpflichtet?

Die CSRD (Corporate Sustainability Reporting Directive, EU 2022/2464) erweitert schrittweise den Kreis der zur Nachhaltigkeitsberichterstattung nach ESRS-Standards verpflichteten Einrichtungen. Für das Geschäftsjahr 2024 (Berichterstattung 2025): öffentliche Einrichtungen von öffentlichem Interesse mit mehr als 500 Mitarbeitern, die bereits der NFRD unterliegen. Für das Geschäftsjahr 2025 (Berichterstattung 2026): alle großen Unternehmen — einschließlich Finanzinstitute — mit mehr als 250 Mitarbeitern, einer Bilanzsumme über 25 Millionen Euro oder einem Nettoumsatz über 50 Millionen Euro. Kreditinstitute und Versicherer unterliegen zudem sektorspezifischen Pflichten nach den ESRS-Sektorstandards für das Finanzwesen.

Q: Was sind die wesentlichen PSD3-Änderungen für Zahlungsinstitute?

Der PSD3-Vorschlag (derzeit im EU-Gesetzgebungsprozess, mit Genehmigung erwartet 2025 und Umsetzung 2027) führt ein: verstärkte starke Kundenauthentifizierung (SCA) mit größerer Verhältnismäßigkeit nach Transaktionsart; eine neue hybride Zahlungsinstitutskategorie mit direktem Zugang zu Zahlungssystemen für Nicht-Banken; verstärkte Open-Banking- und Zahlungsdatenzugangsanforderungen; verbesserte Betrugs-Haftungsregeln mit geteilter Verantwortung zwischen Zahlungsdienstleister und Kunden; und Konvergenz mit der neuen Zahlungsdienstleistungsverordnung (PSR).

Q: Wie sollte ein Finanzinstitut seine Compliance-Funktion angesichts dieser Regulierungswelle strukturieren?

Die Bewältigung der Regulierungsagenda 2025–2026 erfordert eine Compliance-Funktion, die in der Lage ist, mehrere Rahmenwerke gleichzeitig zu handhaben. Prioritäten umfassen: Abschluss der DORA-Implementierung; Aktualisierung der AML-Richtlinien auf die neue Verordnung 2024/1624; Einholung der MiCA-Genehmigung bei Krypto-Asset-Tätigkeit; Vorbereitung des ersten CSRD-Berichts; und Überwachung des PSD3/PSR-Gesetzgebungsfortschritts für frühzeitige Anpassung. Der effizienteste Ansatz integriert alle Compliance-Rahmenwerke in eine einheitliche Risikomanagementfunktion.

Spaniens Finanzsektor steht in den Jahren 2025–2026 vor der dichtesten regulatorischen Periode seit zwei Jahrzehnten. Die Kombination von DORA, NIS2, der neuen europäischen Geldwäschebekämpfungsarchitektur, MiCA für Krypto-Assets, ESG-Anforderungen nach CSRD und dem bevorstehenden PSD3 schafft eine Compliance-Landschaft von beispielloser Komplexität und Reichweite. Dieser Leitfaden analysiert die wichtigsten Herausforderungen und ihre praktischen Implikationen für Kreditinstitute, Wertpapierfirmen, Fondsmanager, Zahlungsdienstleister, Versicherer und Krypto-Asset-Unternehmen.

DORA: Die Revolution der Digitalen Operationalen Resilienz

DORA (Digital Operational Resilience Act, Verordnung EU 2022/2554) trat am 17. Januar 2025 vollständig in Kraft. Ihr Ziel ist es sicherzustellen, dass der europäische Finanzsektor schwerwiegende IKT-bedingte Betriebsstörungen widerstehen, darauf reagieren und sich davon erholen kann.

Der Anwendungsbereich ist außergewöhnlich breit: Kreditinstitute, Wertpapierfirmen, Fondsmanager, Versicherer, Handelsplätze, zentrale Gegenparteien, MiCA-Krypto-Asset-Dienstleister, E-Geld-Institute und Zahlungsdienstleister. Kritische IKT-Drittanbieter unterliegen der direkten Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs).

DORAs fünf Säulen erfordern: einen IKT-Risikogovernancerahmen mit ausdrücklicher Vorstandsverantwortlichkeit; ein System zur Klassifizierung und Meldung schwerwiegender IKT-Vorfälle (4-Stunden-Erstmeldung, 72-Stunden-Zwischenbericht, Abschlussbericht nach einem Monat); regelmäßige Resilienztests einschließlich erweiterter bedrohungsgesteuerter Penetrationstests (TLPT) alle drei Jahre; rigoroses Drittanbieter-IKT-Risikomanagement mit obligatorischen Vertragsklauseln; und Austausch von Cyber-Bedrohungsinformationen zwischen Instituten.

NIS2 und Seine Interaktion mit DORA

NIS2, in Spanien umgesetzt, legt Sicherheitsanforderungen für wesentliche und wichtige Einrichtungen in kritischen Sektoren fest. Für Finanzinstitute fungiert DORA als lex specialis und verdrängt NIS2 für Netz- und Informationssicherheitszwecke. Einrichtungen müssen jedoch von Fall zu Fall überprüfen, ob ihre DORA-Abdeckung vollständig ist, da Lücken je nach Tätigkeitsart und zuständiger Aufsichtsbehörde bestehen können.

NIS2-Sanktionen für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2% des globalen Umsatzes, während DORA Bußgelder von bis zu 1% des durchschnittlichen Tagesumsatzes pro Tag der Nichteinhaltung vorsieht — was bei anhaltender Nichteinhaltung ein erhebliches finanzielles Risiko schafft.

Die Neue Europäische Geldwäschebekämpfungsarchitektur: 6. Richtlinie und AMLA

Der Rahmen zur Bekämpfung der Geldwäsche durchläuft seine tiefgreifendste Reform seit 2015. Das im Mai 2024 verabschiedete Legislativpaket — Richtlinie 2024/1640 (6. Geldwäscherichtlinie), Verordnung 2024/1624 (Geldwäscheverordnung) und Verordnung 2024/1620 (AMLA) — schafft eine neue EU-Behörde zur Bekämpfung der Geldwäsche (AMLA) mit Sitz in Frankfurt und direkten Aufsichtsbefugnissen über die Hochrisiko-Finanzinstitute in der EU.

Praktische Implikationen für Finanzinstitute umfassen: Aktualisierung der Kundenidentifizierungsrichtlinien mit der neuen 15%-Schwelle für wirtschaftlich Berechtigte; Erweiterung des Kreises der Verpflichteten auf MiCA-CASPs; harmonisierte Mindestanforderungen an die Mitarbeiterschulung; neue harmonisierte EU-weite Mindestsanktionsschwellen; und Vorbereitung auf eine mögliche direkte AMLA-Aufsicht für Institute mit hohem Risikoprofil.

MiCA: Der Neue Regulatorische Rahmen für Krypto-Assets

MiCA gilt seit Dezember 2024 vollständig in der EU und legt erstmals einen harmonisierten Regulierungsrahmen für Krypto-Asset-Märkte fest. In Spanien tätige CASPs müssen eine CNMV-Genehmigung einholen oder einen EU-Pass eines anderen Mitgliedstaats nachweisen.

Wesentliche Anforderungen — Mindestkapital von 50.000 bis 150.000 Euro je nach Dienstleistungsart, Segregation von Kundenvermögen, White-Paper-Pflichten und Geldwäschebekämpfungsbezeichnung als neu verpflichtete Einrichtungen — stellen erhebliche Belastungen für den Sektor dar. Unternehmen, die im vorherigen regulatorischen Vakuum tätig waren, müssen ihre Geschäftsmodelle angepasst haben oder sind mit einer Einstellung ihrer Tätigkeit konfrontiert.

ESG-Berichterstattung: Nachhaltigkeit als Regulatorische Pflicht

Die CSRD erweitert schrittweise den Kreis der zur Berichterstattung über Nachhaltigkeitsinformationen nach ESRS-Standards verpflichteten Einrichtungen. Finanzinstitute mit mehr als 250 Mitarbeitern unterliegen ab dem Geschäftsjahr 2025.

Für den Finanzsektor hat die ESG-Pflicht eine doppelte Dimension: als Einrichtungen, die ihre eigene Nachhaltigkeitsleistung nach ESRS berichten, und als Kapitalallokierer, die Investitionen in nach der Europäischen Taxonomie klassifizierte Tätigkeiten lenken. Die SFDR-Verordnung fügt produktbezogene Nachhaltigkeitsoffenlegungspflichten für Vermögensverwalter hinzu.

Greenwashing-Risiko — Fehlerdarstellung der Nachhaltigkeitsmerkmale eines Finanzprodukts — unterliegt zunehmend der Aufsichtsüberprüfung durch ESMA und nationale zuständige Behörden.

PSD3 und die Zukunft des Zahlungsverkehrs

PSD3 und die neue Zahlungsdienstleistungsverordnung (PSR) befinden sich im EU-Gesetzgebungsprozess mit Umsetzungsziel 2027. Wesentliche Änderungen umfassen verstärkte starke Kundenauthentifizierung, geteilte Betrugs-Haftungsregeln, direkter Zahlungssystemzugang für Nicht-Banken und ein leistungsfähigerer Open-Banking-Rahmen. PSD2-zugelassene Zahlungsinstitute sollten jetzt mit der Lückenanalyse beginnen, um Anpassungen im Voraus zu planen.

Compliance-Funktions-Fahrplan für 2025–2026

Eine effiziente Reaktion auf diese Regulierungsagenda erfordert eine Compliance-Funktion, die in der Lage ist, mehrere Rahmenwerke gleichzeitig zu verwalten. Prioritäten umfassen: Abschluss der DORA-Implementierung; Überarbeitung der AML-Richtlinien für die neue Verordnung 2024/1624; Einholung der MiCA-Genehmigung falls zutreffend; Vorbereitung des ersten CSRD-Berichts; und Überwachung des PSD3/PSR-Fortschritts für frühzeitige Planung.

Die Integration aller Compliance-Rahmenwerke in eine einheitliche Risikomanagementfunktion — anstatt in separate regulatorische Silos — durch eine Regulierungskarte, einen funktionsübergreifenden Compliance-Ausschuss, differenzierte Schulung nach Expositionsniveau und proaktive Aufsichtsbeziehungen ist der Schlüssel zu Effizienz und Reaktionsfähigkeit in einem Umfeld beschleunigten regulatorischen Wandels.

DORA NIS2 MiCA AML financial-compliance ESG PSD3

← Zurück zu Publikationen

Beratung

Bewertung und Analyse

Transformation

Governance und Übergang

Steuerstrategie

Compliance

Sonderregelungen

Vermögen und Streitigkeiten

Handels- und Gesellschaftsrecht

Insolvenz und Restrukturierung

Personal und Compliance

Streitigkeiten und Beilegung

Cybersicherheit

Datenschutz und KI

Finanzen und Berichtswesen

Gesellschaftsservices

Wachstum

Risiko und Resilienz

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen

DORA: Die Revolution der Digitalen Operationalen Resilienz

NIS2 und Seine Interaktion mit DORA

Die Neue Europäische Geldwäschebekämpfungsarchitektur: 6. Richtlinie und AMLA

MiCA: Der Neue Regulatorische Rahmen für Krypto-Assets

ESG-Berichterstattung: Nachhaltigkeit als Regulatorische Pflicht

PSD3 und die Zukunft des Zahlungsverkehrs

Compliance-Funktions-Fahrplan für 2025–2026

Verwandte Leistungen

DORA-Compliance (Digitale Operationelle Resilienz)

Geldwäscheprävention (AML)

NIS2-Compliance

Verwandte Artikel

Gesundheitssektor: Datenschutz und KI 2025

Finanzsektor: Compliance-Landschaft 2024

Immobiliensektor: Auswirkungen des Wohnraumgesetzes

Möchten Sie mehr erfahren?

Configuración de cookies