Spaniens Finanzsektor steht in den Jahren 2025–2026 vor der dichtesten regulatorischen Periode seit zwei Jahrzehnten. Die Kombination von DORA, NIS2, der neuen europäischen Geldwäschebekämpfung, MiCA für Krypto-Assets, ESG-Anforderungen nach CSRD und dem bevorstehenden PSD3 schafft eine Compliance-Landschaft von beispielloser Komplexität und Reichweite. Dieser Leitfaden analysiert die wichtigsten Herausforderungen und ihre praktischen Implikationen für Kreditinstitute, Wertpapierfirmen, Fondsmanager, Zahlungsdienstleister, Versicherer und Krypto-Asset-Unternehmen.
DORA: Die Revolution der Digitalen Operationalen Resilienz
DORA (Digital Operational Resilience Act, Verordnung EU 2022/2554) trat am 17. Januar 2025 vollständig in Kraft. Ihr Ziel ist es sicherzustellen, dass der europäische Finanzsektor schwerwiegende IKT-bedingte Betriebsstörungen widerstehen, darauf reagieren und sich davon erholen kann.
Der Anwendungsbereich ist außergewöhnlich breit: Kreditinstitute, Wertpapierfirmen, Fondsmanager, Versicherer, Handelsplätze, zentrale Gegenparteien, MiCA-Krypto-Asset-Dienstleister, E-Geld-Institute und Zahlungsdienstleister. Kritische IKT-Drittanbieter unterliegen der direkten Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs).
DORAs fünf Säulen erfordern: einen IKT-Risikogovernancerahmen mit ausdrücklicher Vorstandsverantwortlichkeit; ein System zur Klassifizierung und Meldung schwerwiegender IKT-Vorfälle (4-Stunden-Erstmeldung, 72-Stunden-Zwischenbericht, Abschlussbericht nach einem Monat); regelmäßige Resilienztests einschließlich erweiterter bedrohungsgesteuerter Penetrationstests (TLPT) alle drei Jahre; rigoroses Drittanbieter-IKT-Risikomanagement mit obligatorischen Vertragsklauseln; und Austausch von Cyber-Bedrohungsinformationen zwischen Instituten.
NIS2 und Seine Interaktion mit DORA
NIS2, in Spanien umgesetzt, legt Sicherheitsanforderungen für wesentliche und wichtige Einrichtungen in kritischen Sektoren fest. Für Finanzinstitute fungiert DORA als lex specialis und verdrängt NIS2 für Netz- und Informationssicherheitszwecke. Einrichtungen müssen jedoch von Fall zu Fall überprüfen, ob ihre DORA-Abdeckung vollständig ist, da Lücken je nach Tätigkeitsart und zuständiger Aufsichtsbehörde bestehen können.
NIS2-Sanktionen für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2% des globalen Umsatzes, während DORA Bußgelder von bis zu 1% des durchschnittlichen Tagesumsatzes pro Tag der Nichteinhaltung vorsieht — was bei anhaltender Nichteinhaltung ein erhebliches finanzielles Risiko schafft.
Die Neue Europäische Geldwäschebekämpfungsarchitektur: 6. Richtlinie und AMLA
Der Rahmen zur Bekämpfung der Geldwäsche durchläuft seine tiefgreifendste Reform seit 2015. Das im Mai 2024 verabschiedete Legislativpaket — Richtlinie 2024/1640 (6. Geldwäscherichtlinie), Verordnung 2024/1624 (Geldwäscheverordnung) und Verordnung 2024/1620 (AMLA) — schafft eine neue EU-Behörde zur Bekämpfung der Geldwäsche (AMLA) mit Sitz in Frankfurt und direkten Aufsichtsbefugnissen über die Hochrisiko-Finanzinstitute in der EU.
Praktische Implikationen für Finanzinstitute umfassen: Aktualisierung der Kundenidentifizierungsrichtlinien mit der neuen 15%-Schwelle für wirtschaftlich Berechtigte; Erweiterung des Kreises der Verpflichteten auf MiCA-CASPs; harmonisierte Mindestanforderungen an die Mitarbeiterschulung; neue harmonisierte EU-weite Mindestsanktionsschwellen; und Vorbereitung auf eine mögliche direkte AMLA-Aufsicht für Institute mit hohem Risikoprofil.
MiCA: Der Neue Regulatorische Rahmen für Krypto-Assets
MiCA gilt seit Dezember 2024 vollständig in der EU und legt erstmals einen harmonisierten Regulierungsrahmen für Krypto-Asset-Märkte fest. In Spanien tätige CASPs müssen eine CNMV-Genehmigung einholen oder einen EU-Pass eines anderen Mitgliedstaats nachweisen.
Wesentliche Anforderungen — Mindestkapital von 50.000 bis 150.000 Euro je nach Dienstleistungsart, Segregation von Kundenvermögen, White-Paper-Pflichten und Geldwäschebekämpfungsbezeichnung als neu verpflichtete Einrichtungen — stellen erhebliche Belastungen für den Sektor dar. Unternehmen, die im vorherigen regulatorischen Vakuum tätig waren, müssen ihre Geschäftsmodelle angepasst haben oder sind mit einer Einstellung ihrer Tätigkeit konfrontiert.
ESG-Berichterstattung: Nachhaltigkeit als Regulatorische Pflicht
Die CSRD erweitert schrittweise den Kreis der zur Berichterstattung über Nachhaltigkeitsinformationen nach ESRS-Standards verpflichteten Einrichtungen. Finanzinstitute mit mehr als 250 Mitarbeitern unterliegen ab dem Geschäftsjahr 2025.
Für den Finanzsektor hat die ESG-Pflicht eine doppelte Dimension: als Einrichtungen, die ihre eigene Nachhaltigkeitsleistung nach ESRS berichten, und als Kapitalallokierer, die Investitionen in nach der Europäischen Taxonomie klassifizierte Tätigkeiten lenken. Die SFDR-Verordnung fügt produktbezogene Nachhaltigkeitsoffenlegungspflichten für Vermögensverwalter hinzu.
Greenwashing-Risiko — Fehlerdarstellung der Nachhaltigkeitsmerkmale eines Finanzprodukts — unterliegt zunehmend der Aufsichtsüberprüfung durch ESMA und nationale zuständige Behörden.
PSD3 und die Zukunft des Zahlungsverkehrs
PSD3 und die neue Zahlungsdienstleistungsverordnung (PSR) befinden sich im EU-Gesetzgebungsprozess mit Umsetzungsziel 2027. Wesentliche Änderungen umfassen verstärkte starke Kundenauthentifizierung, geteilte Betrugs-Haftungsregeln, direkter Zahlungssystemzugang für Nicht-Banken und ein leistungsfähigerer Open-Banking-Rahmen. PSD2-zugelassene Zahlungsinstitute sollten jetzt mit der Lückenanalyse beginnen, um Anpassungen im Voraus zu planen.
Compliance-Funktions-Fahrplan für 2025–2026
Eine effiziente Reaktion auf diese Regulierungsagenda erfordert eine Compliance-Funktion, die in der Lage ist, mehrere Rahmenwerke gleichzeitig zu verwalten. Prioritäten umfassen: Abschluss der DORA-Implementierung; Überarbeitung der AML-Richtlinien für die neue Verordnung 2024/1624; Einholung der MiCA-Genehmigung falls zutreffend; Vorbereitung des ersten CSRD-Berichts; und Überwachung des PSD3/PSR-Fortschritts für frühzeitige Planung.
Die Integration aller Compliance-Rahmenwerke in eine einheitliche Risikomanagementfunktion — anstatt in separate regulatorische Silos — durch eine Regulierungskarte, einen funktionsübergreifenden Compliance-Ausschuss, differenzierte Schulung nach Expositionsniveau und proaktive Aufsichtsbeziehungen ist der Schlüssel zu Effizienz und Reaktionsfähigkeit in einem Umfeld beschleunigten regulatorischen Wandels.
Häufige Fehler im Compliance-Management des Finanzsektors
Die gleichzeitige Bewältigung mehrerer regulatorischer Rahmenwerke überfordert viele Compliance-Abteilungen. Die folgenden Fehler führen systematisch zu Aufsichtsmaßnahmen, Bußgeldern und Reputationsschäden.
Fehler 1: DORA-Implementierung auf die IKT-Abteilung delegieren ohne Governance-Einbeziehung auf Vorstandsebene. DORA schreibt ausdrücklich vor, dass das Leitungsorgan (Vorstand oder Aufsichtsrat) für das IKT-Risikomanagement verantwortlich ist — nicht die IKT-Abteilung. Finanzinstitute, die DORA als rein technisches Projekt behandeln, verfehlen den regulatorischen Kern der Verordnung und riskieren Feststellungen bei CNMV- und Banco-de-España-Inspektionen. Die Vorstandsverantwortlichkeit erfordert mindestens: jährliche Vorstandsschulung zu IKT-Risiken, dokumentierte Risikoakzeptanzentscheidungen durch das Leitungsorgan und explizite Governance-Regelungen in den Unterlagen des Verwaltungsrats. Fehlen diese Nachweise, wird die DORA-Implementierung trotz technisch vorhandener Sicherheitsmaßnahmen als unvollständig gewertet.
Fehler 2: MiCA-Klassifizierungsentscheidungen nicht ausreichend dokumentieren. Viele Unternehmen, die digitale Vermögenswerte emittieren oder damit handeln, haben intern entschieden, dass ihre Token nicht unter MiCA fallen — ohne diese Entscheidung rechtlich zu dokumentieren. Die CNMV und andere nationale zuständige Behörden prüfen zunehmend, ob Unternehmen die MiCA-Klassifizierung ihrer Produkte hinreichend analysiert und belegt haben. Eine fehlende oder unzureichende Klassifizierungsanalyse kann bei einer späteren Aufsichtsuntersuchung als Umgehungsversuch gewertet werden. Alle Unternehmen mit Token-Aktivitäten benötigen ein Rechtsgutachten zur MiCA-Klassifizierung und eine Dokumentation der Entscheidungsgrundlagen.
Fehler 3: AML-Schulungsprogramme nicht auf die neue EU-Verordnung 2024/1624 aktualisieren. Die neue AML-Verordnung (EU 2024/1624) verschärft die Anforderungen an die Mitarbeiterschulung erheblich: Schulungen müssen risikoproportioniert sein, die neue 15%-Schwelle für wirtschaftlich Berechtigte berücksichtigen und die neuen AMLA-Vorgaben für Hochrisikosituationen integrieren. Finanzinstitute, die ihre Schulungsprogramme seit der letzten nationalen AML-Richtlinienumsetzung nicht aktualisiert haben, sind bei regulatorischen Inspektionen unvorbereitet. Die Transition-Frist bis Juli 2027 entbindet nicht von der Pflicht, die Schulungsinhalte bereits jetzt an die neuen Standards anzupassen.
Regelungsrahmen: Schlüsselnormen des europäischen Finanzsektors 2025–2026
Die regulatorischen Anforderungen an den Finanzsektor 2025–2026 fußen auf einem dichten Normengefüge aus EU-Verordnungen mit direkter Anwendbarkeit, EU-Richtlinien und deren nationaler Umsetzung.
Verordnung (EU) 2022/2554 (DORA) — Digital Operational Resilience Act: DORA gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten ohne Umsetzungsakt. Artikel 5-16 DORA regeln das IKT-Risikogovernance-Rahmenwerk mit der ausdrücklichen Verantwortlichkeit des Leitungsorgans. Artikel 17-23 DORA definieren das Incident-Management und die Meldepflichten bei schwerwiegenden IKT-Vorfällen. Artikel 24-27 DORA legen die Anforderungen an Resilienztests (einschließlich TLPT) fest. Artikel 28-44 DORA regeln das Drittanbieter-IKT-Risikomanagement und die obligatorischen Vertragsklauseln. In Spanien ist die Banco de España zuständig für die DORA-Aufsicht über Kreditinstitute und Zahlungsdienstleister; die CNMV ist zuständig für Wertpapierfirmen und Fondsmanager.
Verordnung (EU) 2024/1624 (AML-Verordnung) und Richtlinie (EU) 2024/1640 (6. AMLD): Dieses im Mai 2024 verabschiedete Legislativpaket reformiert das europäische AML-Recht grundlegend. Die AML-Verordnung 2024/1624 ist eine unmittelbar anwendbare EU-Verordnung — sie ersetzt nach ihrer vollen Wirksamkeit (1. Juli 2027) die bisherigen nationalen AML-Gesetze als Mindeststandard. In Spanien gilt bis dahin weiterhin die Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo sowie ihr Durchführungsreglement (Real Decreto 304/2014). Die neue Verordnung senkt die Schwelle für die Definition des wirtschaftlich Berechtigten von 25 % auf 15 %, erweitert den Kreis der Verpflichteten auf MiCA-CASPs und Krypto-Börsen und schafft harmonisierte Mindestsanktionen. Finanzinstitute müssen bereits jetzt Gap-Analysen durchführen, um Anpassungsbedarfe bis Juli 2027 zu identifizieren.
Verordnung (EU) 2023/1114 (MiCA) — Markets in Crypto-Assets: MiCA gilt seit Dezember 2024 vollständig und schafft für Krypto-Asset-Dienstleister erstmals eine CNMV-/Banco-de-España-Genehmigungspflicht. Finanzinstitute, die Krypto-Custody oder Krypto-Handelsplattformen als Zusatzdienstleistung anbieten oder planen, unterliegen den CASP-Anforderungen einschließlich Mindestkapital, Whitepaper-Pflichten und der CASP-spezifischen AML-Compliance. Die Übergangsfrist für Altdienstleister endet am 1. Juli 2026.
