Diese Woche stehen die Weichen für die weitere europäische Aufsichtslandschaft im Mittelpunkt: Die AMLA konkretisiert ihren Weg zur direkten Aufsicht besonders risikoreicher Institute, die EBA schärft ihr Äquivalenz-Monitoring und gibt Banken neue Leitplanken für das erweiterte Operational-Risk-Reporting vor. Die ESMA finalisiert technische Standards zur Derivatetransparenz und formuliert Governance-Erwartungen in Form von 12 High-Level-Prinzipien. Flankiert wird dies durch eine BaFin-Orientierungshilfe zu IKT-Risiken beim Einsatz von KI im Finanzsektor sowie zwei DSK-Entschließungen zur DSGVO-Reform (KI und Herstellerverantwortung). Ergänzend zeigt ein NIST-Entwurf, wie Cybersecurity im KI-Zeitalter neu gedacht werden soll.
Inhaltsverzeichnis
- 1. EBA: Bericht zur aufsichtlichen Konsolidierung & Leitlinien zu Nebendienstleistungsunternehmen
- 2. ESMA: Grundprinzipien für risikobasierte Aufsicht
- 3. EBA: Finale technische Standards zu Booking Arrangements
- 4. EBA: Technische Standards zur Stärkung der Zusammenarbeit mit Drittstaaten
- 5. EU-Kommission: Ergebnisse der Konsultation zur Überprüfung des Digital Markets Act (DMA)
- 6. UK NCSC: Regierungs-Aktionsplan zur nationalen Cyber-Resilienz
- 7. Bundesgesetzblatt: NOOTS-Netz-Verordnung (NOOTSNetzV) veröffentlicht
- Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
1. EBA: Bericht zur aufsichtlichen Konsolidierung & Leitlinien zu Nebendienstleistungsunternehmen
Anwendbar für: Banken, Gruppensteuerung, Risk, Compliance, Regulatory Reporting
Relevante Maßnahmen:
- Gruppenstruktur analysieren und prüfen, welche Einheiten künftig aufsichtsrechtlich zu konsolidieren sind bzw. ob bestehende Konsolidierungskreise anzupassen sind.
- Nebendienstleistungsunternehmen identifizieren und deren Risikoprofil, Abhängigkeiten und Governance gemäß den neuen Leitlinien bewerten.
- Prozesse und Dokumentation anpassen, um aufsichtliche Transparenz über Risiken, Kapital- und Steuerungssysteme innerhalb der Gruppe sicherzustellen.
2. ESMA: Grundprinzipien für risikobasierte Aufsicht
Anwendbar für: Wertpapierfirmen, Handelsplätze, Compliance, Risk Management, Governance
Relevante Maßnahmen:
- Interne Aufsichts- und Complianceprogramme mit den ESMA-Prinzipien für risikobasierte Aufsicht abgleichen.
- Ressourcenplanung und Überwachungsprozesse fokussieren auf risikorelevante Aktivitäten, Produkte und Vertriebskanäle.
- Governance-Rahmen dahingehend überprüfen, ob Risikodaten und Risikoindikatoren systematisch in Managemententscheidungen einfließen.
3. EBA: Finale technische Standards zu Booking Arrangements
Anwendbar für: International tätige Banken, Treasury, Trading, Risk Management, Compliance
Relevante Maßnahmen:
- Bestehende Booking-Modelle und Front-/Back-Office-Strukturen prüfen und dokumentieren, ob sie mit den neuen Anforderungen an Transparenz, Risikoübernahme und Governance übereinstimmen.
- Datenflüsse und Verantwortlichkeiten zwischen Handels-, Risiko- und Treasury-Funktionen anpassen, um klare Zuordnung von Risiko und Entscheidungsbefugnis sicherzustellen.
- Dokumentationspflichten zu Risikosteuerung, Kontrollmechanismen und Modellwahl aktualisieren und für Aufsichtsprüfungen aufbereiten.
4. EBA: Technische Standards zur Stärkung der Zusammenarbeit mit Drittstaaten
Anwendbar für: Banken mit Auslandsaktivitäten, Regulatory Affairs, Compliance, Group Risk
Relevante Maßnahmen:
- Drittstaaten-Engagements analysieren, um sicherzustellen, dass Daten-, Informations- und Kooperationsanforderungen gemäß den neuen Standards erfüllt werden können.
- Prozesse und Governance-Routinen für Informationsaustausch, Geheimhaltungsfragen und aufsichtsrechtliche Abstimmung aktualisieren.
- Intern klären, ob Anpassungen im Lokalisierungs- oder Reporting-Setup nötig werden, insbesondere bei komplexen Buchungs- oder Servicemodellen.
5. EU-Kommission: Ergebnisse der Konsultation zur Überprüfung des Digital Markets Act (DMA)
Anwendbar für: Digitale Plattformen, Gatekeeper-Kandidaten, Wettbewerb/Regulatory Teams, Datenschutz & Datenstrategie, Produkt/IT
Relevante Maßnahmen:
- Auswirkungen möglicher Erweiterungen des DMA-Anwendungsbereichs (insb. Interoperabilität, Datenzugang, Datenportabilität, KI- und Cloud-Dienste) auf eigene Geschäftsmodelle prüfen.
- Interne Daten- und Plattformstrategien überprüfen, um sich auf strengere Anforderungen an Schnittstellen, Datenflüsse und Fairnessregeln vorzubereiten.
- Dialog- und Positionierungsstrategie gegenüber Regulatoren abstimmen, da die Konsultationsbeiträge direkt in den DMA-Review 2026 einfließen.
6. UK NCSC: Regierungs-Aktionsplan zur nationalen Cyber-Resilienz
Anwendbar für: Unternehmen mit UK-Bezug, IT- und Security-Teams, Risikomanagement
Relevante Maßnahmen:
- Cyber-Resilienzprogramme gegen die Zielsetzungen des NCSC-Aktionsplans spiegeln, insbesondere in den Bereichen Incident-Response, Grundschutz, Public-Private-Kooperation und kritische Lieferketten.
- Maßnahmen zur Abwehr von Ransomware, Social Engineering und KI-gestützten Angriffen priorisieren.
- UK-spezifische Anforderungen (z. B. Behördenmeldungen, Sektoranordnungen) in interne Richtlinien integrieren.
7. Bundesgesetzblatt: NOOTS-Netz-Verordnung (NOOTSNetzV) veröffentlicht
Anwendbar für: Behörden und öffentliche Stellen, IT-Dienstleister des öffentlichen Sektors, OZG-Projektverantwortliche, Informationssicherheit/IT-Governance
Relevante Maßnahmen:
- Prüfen, ob bestehende Datenaustauschprozesse auf das neu festgelegte Bundesnetz umzustellen sind und welche technischen Anpassungen notwendig werden.
- Schnittstellen, Datenformate und Sicherheitsvorgaben mit den NOOTS-Standards und Netzwerkarchitekturen abgleichen.
- Projekt- und IT-Planung anpassen, um künftige OZG-Leistungen sowie NOOTS-Integrationen rechts- und betriebskonform umzusetzen.
Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
Bereits viele Compliance-Beauftragte nutzen unseren kostenlosen Service und erhalten die wichtigsten Neuigkeiten aus den Bereichen Compliance, Geldwäscheprävention, Datenschutz und IT-Sicherheit. Wir geben wöchentlich einen Überblick über die wichtigsten Meldungen und ordnen diese ein.
Möchten Sie täglich auf dem aktuellen Stand sein?
Mit unserer Legal Risk Monitoring Software erhalten Sie Zugriff auf alle Meldungen und können diese nach Relevanz, Art und Bereich filtern. Sie können Zusammenfassungen erstellen und herunterladen. Sprechen Sie uns an.
Kontaktieren Sie uns für ein kostenfreies Erstberatungsgespräch.
Wir wünschen Ihnen eine erfolgreiche Woche.
Ihr Team von Riscreen