content hub

Regulatorische Themen und Fristen 2026 

14/01/2026

Grafik Regulatorische Fristen 2026Herunterladen

GRUNDSÄTZLICHES 2026

2026 wird das Jahr, in dem sich zeigt, ob die großen EU-Regelwerke der vergangenen Jahre wirklich funktionieren. DORA, NIS2, der AI Act – alle diese Vorschriften sind bereits in Kraft, aber jetzt kommt es für Banken, Finanzdienstleister und angrenzende Branchen darauf an: Können sie beweisen, dass ihre Compliance-Systeme auch im Ernstfall greifen? Der rote Faden durch alle aktuellen Regelwerke ist dabei klar: Neben soliden Policies rückt die nachweisbare operative Wirksamkeit immer stärker in den Fokus. Es reicht nicht mehr, Richtlinien zu haben; Unternehmen müssen belegen können, dass ihre Maßnahmen im Stressfall wirklich greifen und kontinuierlich verbessert werden.  

Digital Operational Resilience Act (DORA)

DORA gilt seit 17. Januar 2025-Das Jahr 2026 zeigt, ob die Umsetzung wirklich funktioniert. Die Aufsicht prüft nicht mehr nur, ob Unternehmen die Anforderungen formal erfüllen, sondern ob ihre Governance-Strukturen, das IKT-Risikomanagement und die Vorfallmeldungen im Alltag wirklich funktionieren. Operative Resilienz bedeutet konkret: Tests, Übungen, Messwerte und Evidenzen, nicht nur Policy-Dokumente.  

Deutschland baut nationale IT-Rundschreiben schrittweise ab; die BAIT werden bis Jahresende 2026 vollständig aufgehoben, ebenso die ZAIT. Für einige Institute wie Leasing- und Factoring-Unternehmen beginnt die DORA-Pflicht erst zum 1. Januar 2027. Auch Zahlungsdienstleister müssen 2026 beweisen, dass ihre DORA-Umsetzung im Alltag greift. 

NIS2-Richtlinie und nationales Umsetzungsgesetz 

In Deutschland ist die NIS2-Richtlinie zum Jahreswechsel 2025/2026 in Kraft getreten und verschärft damit die Anforderungen an Cybersicherheit erheblich. 2026 müssen betroffene Unternehmen das erste Mal beweisen, dass sie die neuen Regeln wirklich umgesetzt haben. Rund 30.000 Unternehmen aus kritischen Sektoren (Energie, Transport, Gesundheitswesen, digitale Infrastruktur, Teile der Finanzwirtschaft) müssen sich beim BSI registrieren und Incident-Management etablieren. Wichtig: Für die meisten klassischen Banken und beaufsichtigte Finanzdienstleister ist DORA der primäre Rahmen. Sie werden nicht zusätzlich als NIS2-Einrichtungen reguliert. Diese Erleichterung bezieht sich jedoch nur auf den durch DORA geregelten Bereich der Meldepflichten von IKT-Vorfällen sowie des IKT-Risikomanagements. 

EU AI Act

Der AI Act ist bereits in Kraft, entfaltet aber stufenweise seine Wirkung. 2026 markiert einen entscheidenden Meilenstein, da im August die wesentlichen Verpflichtungen für Hochrisiko-KI-Systeme greifen. Für Finanzdienstleister bedeutet das: Systematische Erfassung, Klassifizierung und Governance aller KI-Anwendungen wird Pflicht – von Scoring-Algorithmen über Fraud-Detection bis hin zu automatisierten Entscheidungssystemen. Die Zeiten, in denen KI-Tools „einfach so“ eingesetzt werden konnten, sind vorbei. Auch hier geht es um operative Nachweise, nicht um reine Dokumentation. 

AML-Verordnung und AMLA 

Das neue europäische Geldwäscherecht steht in den Startlöchern. Die AML-Verordnung ersetzt ab Juli 2027 die nationalen Gesetze, aber 2026 sollten Institute ihre Vorbereitungen abschließen. Der neue Aufsichtsrahmen verstärkt die Logik der operativen Wirksamkeit: Es geht nicht darum, ob Institute ein AML-Policy-Dokument haben, sondern ob KYC, Risk Assessments, Monitoring, Alert-Bearbeitung und SAR-Prozesse robust funktionieren – und ob Institute das nachweisen können.  

eIDAS 2.0 und European Digital Identity Wallet

Mit der novellierten eIDAS-Verordnung wird der Grundstein für eine europaweit einheitliche digitale Identität gelegt. Ende 2026 müssen die EU-Mitgliedstaaten mindestens eine EUDI-Wallet bereitstellen. Für Finanzinstitute beginnt damit die technische Vorbereitung: Ab Ende 2027 müssen Banken, Zahlungsdienstleister und E-Geld-Institute EUDI-Wallets als starkes Identitäts- und Authentifizierungsmittel akzeptieren. Pilotprojekte wie APTITUDE testen bereits Zahlungs- und Banking-Use-Cases für diese Zukunft. 

FRISTEN UND TERMINE 2026

JANUAR 2026

NIS2: Freischaltung des BSI-Portals 
Am 6. Januar 2026 schaltet das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein zentrales NIS2-Portal frei. Ab diesem Zeitpunkt können sich betroffene Unternehmen registrieren und müssen erhebliche IT-Sicherheitsvorfälle melden. Das Portal richtet sich vor allem an Unternehmen aus kritischen Sektoren, die nicht bereits unter DORA reguliert sind – klassische Banken und beaufsichtigte Finanzdienstleister melden IT-Vorfälle weiterhin primär über DORA-Kanäle. Ab dem Stichtag gelten auch die 24-/72-Stunden- und 30-Tage-Fristen für Incident-Meldungen. Betroffene Unternehmen sollten sich frühzeitig mit den Meldeformularen und -prozessen vertraut machen. 

MÄRZ 2026 

GwG-Meldeverordnung tritt in Kraft 
Am 1. März 2026 wird die neue GwG-Meldeverordnung (GwGMeldV) wirksam. Sie modernisiert das geldwäscherechtliche Meldewesen grundlegend: Strukturierte XML-Formate ersetzen die bisherigen Freitextmeldungen an die FIU, bei Kryptowerte-Transaktionen sind erweiterte Angaben erforderlich, außerdem werden technische Verifikationsverfahren eingeführt. Für viele Institute bedeutet das eine komplette Überarbeitung ihrer FIU-Meldeprozesse. 

JULI 2026

ESG-Rating-Verordnung gilt ab sofort 
Ab dem 2. Juli 2026 müssen Anbieter von ESG-Ratings umfassende EU-Vorschriften zu Transparenz, Organisation und Governance befolgen und unterstehen der ESMA-Aufsicht. Für Banken, Versicherungen und andere Finanzmarktteilnehmer entstehen neue Pflichten im Umgang mit externen ESG-Ratings. Diese müssen in interne Prozesse eingebunden und deren Qualität bewertet werden. 

EU-AML: AMLA konkretisiert Standards 
Bis zum 10. Juli 2026 muss die Anti-Money Laundering Authority (AMLA) die Customer Due Diligence Regulatory Technical Standards (CDD-RTS) finalisieren. Diese Standards werden die praktische Umsetzung der AML-Verordnung erheblich prägen und sollten von Instituten aufmerksam verfolgt werden. 

AUGUST 2026

MiCAR: Ende nationaler Übergangsregelungen 
Im zweiten und dritten Quartal 2026 laufen in verschiedenen EU-Mitgliedstaaten die letzten nationalen Übergangsregelungen für Kryptodienstleister aus. Danach sind MiCAR-Erlaubnisse für alle Anbieter von Kryptowerte-Dienstleistungen Pflicht. 

EU AI Act: Hauptanwendungsdatum 
Ab dem dritten Quartal 2026 treten die zentralen Bestimmungen des EU AI Act in Kraft, insbesondere für Hochrisiko-KI-Systeme. Finanzdienstleister müssen ab diesem Zeitpunkt sicherstellen, dass alle betroffenen KI-Anwendungen den Anforderungen an Risikomanagement, Datenqualität, Dokumentation und menschliche Aufsicht entsprechen. Gleichzeitig werden in allen EU-Mitgliedstaaten AI RegulatorySandboxes und die Zusammenarbeit der Behörden schrittweise aufgebaut. 

DEZEMBER 2026

Vollständige Aufhebung der BAIT 
Mit Ablauf des 31. Dezember 2026 werden die Bankaufsichtlichen Anforderungen an die IT (BAIT) endgültig aufgehoben. Ab diesem Zeitpunkt sind für IT-Governance und digitale Resilienz von Instituten ausschließlich die DORA-Vorgaben sowie der allgemeine aufsichtsrechtliche Rahmen maßgeblich. Ein symbolisches Ende einer Ära und der definitive Übergang zur europäischen IT-Aufsicht. 

AUSBLICK 2027

AML-Verordnung: Vollständige Anwendung ab Juli 2027 

Nach der Vorbereitungszeit 2026 tritt die AML-Verordnung am 10. Juli 2027 in vollem Umfang in Kraft und ersetzt dann weite Teile des nationalen Geldwäscherechts. Institute müssen bis dahin ihre Systeme vollständig angepasst haben. 

DORA für Leasing und Factoring 

Ab dem 1. Januar 2027 unterliegen Leasing- und Factoring-Unternehmen vollständig den DORA-Anforderungen, profitieren aber von spezifischen Erleichterungen wie einem vereinfachten IKT-Risikomanagementrahmen. 

eIDAS 2.0: Akzeptanzpflichten ab 2027 

Nach der Bereitstellung der EUDI-Wallets Ende 2026 werden 2027 die ersten Akzeptanzpflichten für private Dienste greifen. Banken und Zahlungsinstitute gehören zu den ersten, die EUDI-Wallets akzeptieren müssen. 

2026: VON POLICIES ZU OPERATIVER WIRKSAMKEIT 

2026 ist weniger ein Jahr spektakulärer Neuerungen, sondern vielmehr eines der Konsolidierung. Der Trend geht klar zu operativen Beweisen: Tests, Übungen, Audit-Trails, Metriken und belastbare Verantwortlichkeiten. Ob DORA, NIS2, AI Act oder die neue AML-VO – überall steht die Frage im Mittelpunkt: Funktionieren unsere Systeme wirklich, wenn es darauf ankommt? Wer seine Hausaufgaben macht und operative Wirksamkeit nachweisen kann, wird 2027 strukturiert ins nächste Kapitel der europäischen Finanzregulierung starten. 

Hinweis: Dieser Beitrag ersetzt keine rechtliche oder regulatorische Beratung. Alle quantitativen Angaben basieren auf Marktstudien und Pilotprojekten und können je nach Institut variieren.

Quellen: 

Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14.12.2022 über die digitale operationelle Resilienz des Finanzsektors (DORA), ABl. L 333 vom 27.12.2022, S. 1–93. 

Deutsche Bundesbank: „BAIT / DORA“ – Informationen zur Anwendung von DORA und zur schrittweisen Aufhebung der BAIT (inkl. Außerkrafttreten der BAIT zum 31.12.2026). 

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2), ABl. L 333 vom 27.12.2022, S. 80–152. 

Gesetz zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und Änderung des BSI-Gesetzes, Bundesgesetzblatt Teil I (Deutschland), in Kraft seit 06.12.2025 (einschließlich Regelungen zum NIS2‑Registrierungs‑ und Meldeportal des BSI). 

Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 12.07.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (AI Act), insbesondere Art. 6 und Art. 113 sowie Anhang III zu Hochrisiko‑Systemen. 

Verordnung (EU) 2024/1624 zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder Terrorismusfinanzierung (Anti‑Money‑Laundering Regulation – AMLR), insbesondere Übergangs‑ und Anwendungsbestimmungen (Anwendung ab 10.07.2027) und Mandat der AMLA für technische Regulierungsstandards. 

Verordnung (EU) 2024/3005 des Europäischen Parlaments und des Rates vom 13.11.2024 über Transparenz und Integrität von ESG‑Rating‑Aktivitäten, ABl. L 2024, mit Anwendungsbeginn 02.07.2026. 

Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11.04.2024 zur Änderung der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste (eIDAS 2.0), insbesondere Fristen zur Bereitstellung der EUDI‑Wallets und Akzeptanzpflichten für „relying parties“. 

Bundesministerium der Justiz: Verordnung über die Form von und die erforderlichen Angaben in Meldungen an die Zentralstelle für Finanztransaktionsuntersuchungen nach § 43 Absatz 1 und § 44 des Geldwäschegesetzes (GwG‑Meldeverordnung – GwGMeldV) vom 26.08.2025, BGBl. I 2025, Inkrafttreten 01.03.2026. 

Finanzmarktdigitalisierungsgesetz (FinmadiG), BGBl. I 2024, mit Regelungen zur Umsetzung von MiCAR und DORA in deutsches Recht sowie Ausweitung des DORA‑Anwendungsbereichs (u. a. für Leasing‑ und Factoringinstitute ab 01.01.2027). 

EU‑Kommission: „EU Digital Identity Wallet – Large Scale Pilot Projects“, insbesondere Projekt APTITUDE (Pilotierung von EUDI‑Wallet‑Use‑Cases u. a. für Zahlungen und Finanzdienstleistungen). 

Tags:

Julia Quittek

Julia hat umfassende Erfahrung in der Leitung von Payments Strategie- und Implementierungsprojekten. Julias Superpower ist ihre Fähigkeit, komplexe Projekte zu managen, indem sie ihre ausgeprägten Projektmanagement-Fähigkeiten mit ihrer regulatorischen Expertise im Payments kombiniert.

www.consalty.com

More Knowledge Drops

Neue Auslegungs- und Anwendungshinweise zum Geldwäschegesetz

20/12/2024 read article

Das neue EU AML-Paket (1) – Hintergrund und Kontext

28/05/2024 read article

AML-VO Schritt für Schritt: Gap-Analyse und Umsetzungsplan 

03/12/2025 read article

Key Facts about DORA – The Digital Operational Resilience Act

28/05/2024 read article