2025 – das sind die wesentlichen regulatorischen Neuerungen
Zentrale Herausforderungen liegen in der Implementierung der neuen Regelungen ins operative Geschäft. Besondere Auswirkungen werden insbesondere durch den Digital Operational Resilience Act (DORA), die Instant-Payment-Verordnung, die neuen Eigenkapitalanforderungen der CRR III als Teil des EU-Bankenpakets und den neuen Prüfungsansatz der BaFin zu Kreditspreadrisiken erwartet.
DORA – Digital Operational Resilience Act
DORA soll eine europäische finanzsektorweite Regulierung für Cybersicherheit, Risiken der Informations- und Kommunikationstechnologien (IKT) und digitale operationale Resilienz schaffen. Betroffen sind ab dem 17. Januar 2025 neben Finanzunternehmen erstmals auch direkt deren Vertragspartner.
IKT-Drittdienstleister müssen durch die Finanzunternehmen durchgehend überwacht werden: beginnend mit einer Risikoanalyse vor Vertragsschluss, einer Due-Diligence-Prüfung zur Bewertung der Eignung, konkreten Anforderungen an die Mindestvertragsinhalte sowie einer Dokumentation im Informationsregister.
Finanzunternehmen müssen ein wirksames und umsichtiges Management von IKT-Risiken gewährleisten, die digitale operationelle Resilienz testen und IKT-bezogene Vorfälle behandeln, klassifizieren und in schwerwiegenden Fällen melden. Hierfür ist eine Registrierung beim BaFin-Portal durch das Unternehmen bzw. den Auslagerungsdienstleister erforderlich.
So gut wie alle IKT-Drittdienstleister von Finanzunternehmen werden die DORA-Anforderungen über neue und erweiterte zwingende Vertragsinhalte zumindest indirekt spüren. Neu ist allerdings, dass als kritisch eingestufte IT-Anbieter selbst direkt einer Überwachung unterstehen. Die zuständige Überwachungsbehörde verfügt dabei gegenüber solchen kritischen IKT-Drittdienstleistern über unmittelbare, zwangsgeldbewährte Informations-, Kontroll- und Prüfrechte. Dadurch werden für den Finanzbereich zentrale IT-Anbieter deutlich stärker als bisher in die Pflicht genommen.
Instant-Payment-Verordnung
Mit der Instant-Payment-Verordnung sollen Echtzeitüberweisungen leichter zugänglich werden und bewirken, dass ein Zahlbetrag zehn Sekunden nach Erteilung des Zahlungsauftrages durch den Zahler beim Zahlungsempfänger verfügbar ist.
Zahlungsdienstleister, die in einem Mitgliedstaat mit Euro als Währung ansässig sind und die Versendung und den Empfang von Überweisungen anbieten, müssen bis zum 9. Januar 2025 die Entgegennahme und bis zum 9. Oktober 2025 die Versendung von Echtzeitüberweisungen in Euro entsprechend den aktualisierten Vorgaben anbieten. Die Entgelte für die Versendung und Entgegennahme von Euro-Echtzeitüberweisungen, dürfen ab dem 9. Januar 2025 im Sinne einer Kostenparität nicht höher sein als die für andere Überweisungen. Die Möglichkeit einer Empfängerüberprüfung (sogenannter IBAN-Name-Check) vor Autorisierung einer Überweisung muss bis zum 9. Oktober 2025 implementiert sein. Zahlungsdienstleister müssen alle zwölf Monate einen Bericht in Bezug auf Entgelthöhe und verweigerte Zahlungsausführungen vorlegen, erstmals am 9. April 2025.
Eigenkapitalanforderungen durch CRR III und CRD VI
Ab dem 1. Januar 2025 wird die CRR III anwendbar sein. CRR III und CRD IV sehen neue Eigenkapitalregelungen für Institute vor, die größtenteils ab dem 1. Januar 2025 gelten. Eine Studie der Bundesbank hat prognostiziert, dass sich nach Auslaufen der Übergangsregelungen im Jahr 2033 die Mindestkapitalanforderungen um 8 % für den gesamten Bankensektor erhöhen.
Dies erfolgt maßgeblich durch eine Änderung bei der Abgrenzung von Anlage- und Handelsbuch, neue KSA-Forderungsklassen und die Risikogewichtung für bestimmte Positionen, wie etwa Spezialfinanzierungen und Immobilienkredite und Zuschläge für Positionen in Fremdwährungen. Dazu wird ein Standardansatz eingeführt für die Eigenmittelunterlegung für operationelle Risiken. Neue Meldebögen wird es ab März 2025 geben.
Prüfungsansatz BaFin zu Kreditspreadrisiken im Anlagebuch
In der 8. MaRisk Novelle für Kreditinstitute hat die BaFin ein neues Modul integriert, in dem erstmals allgemeine Anforderungen an das Risikomanagement von Kreditspreadrisiken formuliert werden.
Bei der Bestimmung von Kreditspreadrisiken im Anlagebuch sind die Auswirkungen von Kreditspreadänderungen auf das handelsrechtliche Ergebnis des Instituts und auf die Markt- bzw. Barwerte der betroffenen Positionen zu betrachten. Im Rahmen der Identifizierung und Beurteilung treffen die Institute Begründungs- und Dokumentationspflichten.
Die BaFin hat angekündigt, spätestens ab 2025 bei Prüfungen zu berücksichtigen, wie Kreditinstitute mit Kreditspreadrisiken umgehen. Hierbei soll dem Grundsatz der Proportionalität folgend eine intensivere Prüfung erfolgen, wenn der Einfluss auf das Risikoprofil eines Instituts erhöht ist und damit eine deutliche Exponierung besteht.
