Nachschlagen 16

Glossar

Ein Eintrag pro Begriff — wächst organisch aus den Journal-Posts und Dossiers.

Confidential Computing

Technik, die Daten auch während der Verarbeitung im Arbeitsspeicher verschlüsselt hält — über hardwaregestützte, isolierte Ausführungsumgebungen. Ein Baustein, um Betreiberzugriff in der Cloud technisch auszuschließen und damit Souveränität nachzuweisen.

Siehe Dossier: Souveräne Cloud-Initiativen in Europa →
Critical ICT Third-Party Provider CTPP

Unter DORA als kritisch eingestufter IKT-Drittdienstleister. CTPPs — darunter große Hyperscaler — unterliegen einem gemeinsamen Oversight der europäischen Aufsichtsbehörden mit einem Lead Overseer. Die erste Liste (November 2025) umfasste 19 Anbieter.

Siehe Dossier: DORA & operationelle Resilienz →
Datenresidenz vs. Betreiberkontrolle

Drei getrennte Fragen prägen „Cloud-Souveränität”: Wo liegen die Daten (Datenresidenz)? Wer kann technisch und operativ zugreifen (Betreiberkontrolle)? Welchem Recht unterliegt der Anbieter (Jurisdiktion, etwa US CLOUD Act)? Erst alle drei zusammen ergeben ein belastbares Souveränitätsniveau.

Siehe Dossier: Souveräne Cloud-Initiativen in Europa →
Digital Operational Resilience Act DORA

EU-Verordnung, die seit dem 17. Januar 2025 einheitliche Anforderungen an die digitale operationelle Resilienz des gesamten Finanzsektors stellt: IKT-Risikomanagement, Meldung schwerwiegender Vorfälle, Resilienztests und ein Register aller IKT-Dienstleistungen. Erstmals unterliegen auch kritische IKT-Drittanbieter einer direkten EU-Aufsicht.

Siehe Dossier: DORA & operationelle Resilienz →
EUDI-Wallet

Europäische Brieftasche für digitale Identität nach eIDAS 2.0. Mitgliedstaaten müssen sie bis Ende 2026 anbieten; Banken müssen sie ab Ende 2027 akzeptieren — auch für die starke Kundenauthentifizierung (SCA) bei Zahlungen.

Siehe Dossier: Zahlungsverkehr der Zukunft →
Fundamental Review of the Trading Book FRTB

Grundlegend überarbeitetes Regelwerk für Marktrisiken im Handelsbuch. In der EU treten die FRTB-Eigenmittelanforderungen (verschoben) 2027 in Kraft, mit temporären Erleichterungen bis 2030.

Siehe Dossier: Basel-Rahmenwerk & Kapitalregulierung →
Hochrisiko-KI (AI Act)

KI-Systeme, die der EU AI Act wegen ihres Einsatzfeldes streng reguliert. Im Bankkontext zählt dazu insbesondere die Kreditwürdigkeitsprüfung. Die zugehörigen Pflichten wurden per Digital Omnibus auf Dezember 2027 verschoben.

Siehe Dossier: EU AI Act im Bankenkontext →
Joint Oversight Network JON

Koordinationsnetzwerk der Überwachungsbehörden unter DORA. Im JON stimmen sich die federführenden Behörden (Lead Overseers) der als kritisch eingestuften IKT-Drittdienstleister operativ ab, um über alle Anbieter hinweg einen kohärenten Aufsichtsansatz zu sichern und Doppelarbeit zu vermeiden. Es ergänzt das übergeordnete Überwachungsforum (sektorübergreifende Steuerung, Art. 32) und die operativen gemeinsamen Prüfteams (Joint Examination Teams, Art. 40); verankert ist das JON in Art. 33–34 der Verordnung (EU) 2022/2554.

Siehe Dossier: DORA & operationelle Resilienz →
Konzentrationsrisiko

Das Risiko, das entsteht, wenn ein großer Teil des Finanzsektors von wenigen Anbietern — etwa denselben Hyperscalern — abhängt. Fällt ein solcher Anbieter aus oder wird er unerreichbar, kann das systemische Wirkung entfalten. Kernmotiv hinter DORA-Oversight und Exit-Anforderungen.

Siehe Dossier: Cloud-Exit, Konzentrationsrisiko & Auslagerungssteuerung →
Markets in Crypto-Assets Regulation MiCA

EU-Verordnung für Kryptowerte, die Emittenten und Dienstleister lizenzpflichtig macht und ein eigenes Regime für Stablecoins schafft. Mit dem Ende der Übergangsfristen Mitte 2026 gilt die Lizenzpflicht vollständig.

Siehe Dossier: Krypto & tokenisierte Assets →
NIS2-Richtlinie NIS2

EU-Richtlinie (2022/2555) zur Cybersicherheit, EU-weit ab dem 18. Oktober 2024 anzuwenden (nationale Umsetzung teils verzögert). Sie setzt einheitliche Risikomanagement- und Meldepflichten für „wesentliche” und „wichtige” Einrichtungen in kritischen Sektoren — von Energie über Verkehr bis zum Finanzwesen. Für den Finanzsektor gilt der Grundsatz lex specialis: Wo DORA speziellere Anforderungen stellt, geht DORA vor. Die Melde- und Aufsichtswelten beider Rechtsakte überlappen sich dennoch und sind nicht vollständig aufgelöst.

Siehe Dossier: DORA & operationelle Resilienz →
Output Floor

Basel-III-Untergrenze, die die mit internen Modellen berechneten Eigenmittelanforderungen auf mindestens 72,5 % der Standardansatz-Werte anhebt. Sie begrenzt, wie stark Banken ihre Kapitalanforderungen durch eigene Modelle senken können, und wird schrittweise eingeführt.

Siehe Dossier: Basel-Rahmenwerk & Kapitalregulierung →
Regulatory Technical Standards RTS

Technische Regulierungsstandards, die eine EU-Rahmenverordnung konkretisieren. Sie werden von den Aufsichtsbehörden (etwa der EBA) entworfen und von der Kommission als delegierte Rechtsakte erlassen — hier stecken oft die praktisch entscheidenden Details.

Stablecoin

Kryptowert, dessen Wert an eine Referenz — meist eine Währung wie den Euro oder US-Dollar — gekoppelt ist. Unter MiCA als E-Geld-Token oder wertreferenzierter Token reguliert. Dollar-Stablecoins werfen die Frage nach der europäischen Zahlungsverkehrssouveränität auf.

Siehe Dossier: Krypto & tokenisierte Assets →
Threat-Led Penetration Testing TLPT

Bedrohungsgeleitete Penetrationstests: realistische Angriffssimulationen auf produktive Systeme, die DORA für bedeutende Institute vorschreibt. Sie orientieren sich am europäischen TIBER-Rahmenwerk.

Siehe Dossier: DORA & operationelle Resilienz →
Verification of Payee VoP

Abgleich von Empfängername und Kontonummer (IBAN) vor Auslösung einer Überweisung. Die Instant Payments Regulation macht VoP verpflichtend, um Betrug und Fehlüberweisungen bei Echtzeitzahlungen zu reduzieren.

Siehe Dossier: Zahlungsverkehr der Zukunft →