Blog
Notizen zur regulatorischen Praxis.
Quellengestützte Beiträge zu Horizon Scanning, EU-Regulierung und Compliance-Operations. Jede zitierte Aussage führt zur Primärquelle.
- Zahlungsdienste / PSD28 Min Lesezeit
PSD3 und die PSR: Was die EU-Zahlungsdienste-Reform ändert — und wann
Das EU-Zahlungsdienste-Paket von 2023 — PSD3 (Richtlinie) plus die unmittelbar geltende Payment Services Regulation (PSR) — erreichte am 27. November 2025 eine vorläufige politische Einigung und steht kurz vor der Verabschiedung, ist aber noch nicht Gesetz. Was sich ändern soll (E-Geld-Eingliederung, Betrugs-Erstattung, Verification-of-Payee, besserer API-Zugang) — und warum man bis zur Amtsblatt-Veröffentlichung nichts darauf kalibrieren sollte.
Lesen - EU AI Act10 Min Lesezeit
EU AI Act und Kreditscoring: Wann das Modell einer Bank zum Hochrisiko-System wird
Anhang III Nr. 5(b) macht KI zur Bewertung der Kreditwürdigkeit natürlicher Personen zum Hochrisiko-System — und die Ausnahme nach Art. 6 Abs. 3 öffnet sich nie, sobald das Modell ein Profiling vornimmt. Was das für Banken bedeutet: die Linie zwischen Origination-Scoring (erfasst) und IRB-Kapitalmodellen (laut EBA nicht unmittelbar), warum der Eigenbau oder das Nachtrainieren eines Modells zur vollen Provider-Pflicht nach Art. 9–17 führt, die Grundrechte-Folgenabschätzung, die auch private Banken nach Art. 27 schulden, und warum der 2. August 2026 trotz des vorgeschlagenen Aufschubs weiter gilt.
Lesen - EU AI Act9 Min Lesezeit
EU AI Act: Welche Frist gilt wann — und was der Digital Omnibus verschieben will
Stand 2. Juni 2026 gilt der ursprüngliche Zeitplan: Hochrisiko-Pflichten nach Anhang III greifen ab 2. August 2026. Der Digital Omnibus on AI würde sie auf den 2. Dezember 2027 verschieben — ist aber noch nicht verabschiedet. Was heute verbindlich ist, was für Banken und Versicherer als Hochrisiko gilt, und warum Sie bis zur Verabschiedung für August 2026 planen sollten.
Lesen - CSRD / Nachhaltigkeit11 Min Lesezeit
CSRD für Versicherer nach dem Omnibus: Wer berichtet wann (Stand Juni 2026)
Der Omnibus hat die CSRD zweifach geändert — und beides ist inzwischen geltendes Recht: die „Stop-the-clock”-Verschiebung (Richtlinie (EU) 2025/794) und die Verkleinerung des Anwendungsbereichs auf > 1.000 Beschäftigte (Richtlinie (EU) 2026/470, in Kraft seit 18.3.2026). Offen ist nur noch der überarbeitete ESRS-Entwurf. Was das für Versicherer als PIE konkret bedeutet.
Lesen - NIS2 / Cybersicherheit11 Min Lesezeit
NIS2 oder DORA? Was für Versicherer und Finanzunternehmen wirklich gilt
Banken, Versicherer und andere Finanzunternehmen fragen sich, ob sie unter NIS2 oder DORA fallen. Die Antwort liegt im Lex-specialis-Mechanismus aus Art. 4 NIS2 und Art. 1(2) DORA — und in einer wichtigen Feinheit: keine pauschale Befreiung, sondern Verdrängung der überschneidenden Pflichten. Plus der Umsetzungsstand: Deutschland (seit 6.12.2025) und Österreich (NISG 2026).
Lesen - DORA / IKT-Resilienz10 Min Lesezeit
DORA-Meldefristen: die 4-Stunden-Regel für schwerwiegende IKT-Vorfälle
Was DORA Art. 19 wirklich verlangt: Erstmeldung binnen 4 Stunden nach Einstufung (spätestens 24 Stunden nach Kenntnis), Zwischenbericht binnen 72 Stunden, Abschlussbericht binnen eines Monats — und wann ein Vorfall überhaupt „schwerwiegend” ist. Mit den korrekten Rechtsgrundlagen (RTS 2025/301, Klassifizierungs-RTS 2024/1772).
Lesen - AML / Krypto11 Min Lesezeit
TFR Art. 14(5): Self-hosted Wallets unter der Krypto-Travel-Rule verifizieren
Zwei 1.000-EUR-Schwellen, die ständig verwechselt werden — und was die Verordnung (EU) 2023/1113 bei Self-hosted Wallets wirklich verlangt: keine Bagatellgrenze für die Datenübermittlung, aber eine Inhaberschafts-Verifikation oberhalb von 1.000 EUR, für die bloße Selbstauskunft nicht genügt.
Lesen - EU AI Act14 Min LesezeitAktualisiert
EU AI Act ab 02.08.2026 — was Versicherer als Deployer tun müssen
Am 2. August 2026 werden die Pflichten für Hochrisiko-KI-Systeme nach Verordnung (EU) 2024/1689 vollständig anwendbar — und Versicherer sind in fast jeder kundenrelevanten KI-Anwendung Deployer im Sinne des AI Act. Welche Use-Cases unter Annex III fallen, was Art. 26 konkret verlangt, wann eine Fundamental-Rights-Impact-Assessment nach Art. 27 fällig wird und wie die Konsistenz zu DSGVO Art. 22, DORA und Solvency II hergestellt wird.
Lesen - Solvency II13 Min LesezeitAktualisiert
Solvency II 2024-Review — was die Richtlinie (EU) 2025/2 ab 30.01.2027 ändert
Die Richtlinie (EU) 2025/2 ändert Solvency II in zehn Punkten — von der neuen Proportionalitäts-Schwelle für Small and Non-Complex Undertakings über die Risk-Margin-Senkung auf 4,75 % bis hin zu einer explizit verlangten Liquiditätsrisiko-Managementsfunktion. Mitgliedstaaten haben bis zum 30. Januar 2027 zur Umsetzung; die Vorbereitung in den Versicherern beginnt 2026.
Lesen - MiCA10 Min LesezeitAktualisiert
MiCA Grandfathering 2026 — was übergangsregistrierte CASPs jetzt brauchen
Die MiCA-Übergangsbestimmung (Art. 143 Abs. 3) lässt Bestandsanbieter längstens bis zum 1. Juli 2026 unter altem nationalem Recht weiterarbeiten — sofern der Mitgliedstaat das Fenster nicht verkürzt hat. Wie das Übergangsregime funktioniert, wo die nationalen Fristen laut ESMA-Liste wirklich stehen, wie das Zulassungsverfahren nach Art. 62/63 abläuft, was der Antrag substantiell adressiert und was bis zum Stichtag laufend zu überwachen ist.
Lesen - DORA13 Min LesezeitAktualisiert
DORA-Inspektionswelle 2026 — was Aufseher tatsächlich fragen
Achtzehn Monate nach DORA-Anwendungsbeginn verschiebt sich der Aufsichtsfokus von „ist es aufgesetzt?“ zu „ist es vollständig und nachweisbar?“. Eine quellengestützte Checkliste der sieben Inspektionsschwerpunkte für 2026 — Drittparteienregister, Sub-Outsourcing-Kette, Incident-Reporting-Zeitdruck, TLPT, Vorstandsbeleg, kritische Funktionen und ICT-Risk-Framework.
Lesen - Methodik10 Min LesezeitAktualisiert
Was ist Horizon Scanning — und welche Vorteile hat es?
Eine quellengestützte Einführung in Horizon Scanning für Compliance-Teams in europäischen Finanzinstituten: Definition, Disziplin-Ursprung, vier belegbare Vorteile, die Strafrahmen für 2025/2026 und wie EU-Aufsichtsbehörden die Praxis selbst betreiben.
Lesen