Nachschlagen 16
Glossar
Ein Eintrag pro Begriff — wächst organisch aus den Journal-Posts und Dossiers.
- Confidential Computing
- Siehe Dossier: Souveräne Cloud-Initiativen in Europa →
Technik, die Daten auch während der Verarbeitung im Arbeitsspeicher verschlüsselt hält — über hardwaregestützte, isolierte Ausführungsumgebungen. Ein Baustein, um Betreiberzugriff in der Cloud technisch auszuschließen und damit Souveränität nachzuweisen.
- Critical ICT Third-Party Provider CTPP
- Siehe Dossier: DORA & operationelle Resilienz →
Unter DORA als kritisch eingestufter IKT-Drittdienstleister. CTPPs — darunter große Hyperscaler — unterliegen einem gemeinsamen Oversight der europäischen Aufsichtsbehörden mit einem Lead Overseer. Die erste Liste (November 2025) umfasste 19 Anbieter.
- Datenresidenz vs. Betreiberkontrolle
- Siehe Dossier: Souveräne Cloud-Initiativen in Europa →
Drei getrennte Fragen prägen „Cloud-Souveränität”: Wo liegen die Daten (Datenresidenz)? Wer kann technisch und operativ zugreifen (Betreiberkontrolle)? Welchem Recht unterliegt der Anbieter (Jurisdiktion, etwa US CLOUD Act)? Erst alle drei zusammen ergeben ein belastbares Souveränitätsniveau.
- Digital Operational Resilience Act DORA
- Siehe Dossier: DORA & operationelle Resilienz →
EU-Verordnung, die seit dem 17. Januar 2025 einheitliche Anforderungen an die digitale operationelle Resilienz des gesamten Finanzsektors stellt: IKT-Risikomanagement, Meldung schwerwiegender Vorfälle, Resilienztests und ein Register aller IKT-Dienstleistungen. Erstmals unterliegen auch kritische IKT-Drittanbieter einer direkten EU-Aufsicht.
- EUDI-Wallet
- Siehe Dossier: Zahlungsverkehr der Zukunft →
Europäische Brieftasche für digitale Identität nach eIDAS 2.0. Mitgliedstaaten müssen sie bis Ende 2026 anbieten; Banken müssen sie ab Ende 2027 akzeptieren — auch für die starke Kundenauthentifizierung (SCA) bei Zahlungen.
- Fundamental Review of the Trading Book FRTB
- Siehe Dossier: Basel-Rahmenwerk & Kapitalregulierung →
Grundlegend überarbeitetes Regelwerk für Marktrisiken im Handelsbuch. In der EU treten die FRTB-Eigenmittelanforderungen (verschoben) 2027 in Kraft, mit temporären Erleichterungen bis 2030.
- Hochrisiko-KI (AI Act)
- Siehe Dossier: EU AI Act im Bankenkontext →
KI-Systeme, die der EU AI Act wegen ihres Einsatzfeldes streng reguliert. Im Bankkontext zählt dazu insbesondere die Kreditwürdigkeitsprüfung. Die zugehörigen Pflichten wurden per Digital Omnibus auf Dezember 2027 verschoben.
- Joint Oversight Network JON
- Siehe Dossier: DORA & operationelle Resilienz →
Koordinationsnetzwerk der Überwachungsbehörden unter DORA. Im JON stimmen sich die federführenden Behörden (Lead Overseers) der als kritisch eingestuften IKT-Drittdienstleister operativ ab, um über alle Anbieter hinweg einen kohärenten Aufsichtsansatz zu sichern und Doppelarbeit zu vermeiden. Es ergänzt das übergeordnete Überwachungsforum (sektorübergreifende Steuerung, Art. 32) und die operativen gemeinsamen Prüfteams (Joint Examination Teams, Art. 40); verankert ist das JON in Art. 33–34 der Verordnung (EU) 2022/2554.
- Konzentrationsrisiko
- Siehe Dossier: Cloud-Exit, Konzentrationsrisiko & Auslagerungssteuerung →
Das Risiko, das entsteht, wenn ein großer Teil des Finanzsektors von wenigen Anbietern — etwa denselben Hyperscalern — abhängt. Fällt ein solcher Anbieter aus oder wird er unerreichbar, kann das systemische Wirkung entfalten. Kernmotiv hinter DORA-Oversight und Exit-Anforderungen.
- Markets in Crypto-Assets Regulation MiCA
- Siehe Dossier: Krypto & tokenisierte Assets →
EU-Verordnung für Kryptowerte, die Emittenten und Dienstleister lizenzpflichtig macht und ein eigenes Regime für Stablecoins schafft. Mit dem Ende der Übergangsfristen Mitte 2026 gilt die Lizenzpflicht vollständig.
- NIS2-Richtlinie NIS2
- Siehe Dossier: DORA & operationelle Resilienz →
EU-Richtlinie (2022/2555) zur Cybersicherheit, EU-weit ab dem 18. Oktober 2024 anzuwenden (nationale Umsetzung teils verzögert). Sie setzt einheitliche Risikomanagement- und Meldepflichten für „wesentliche” und „wichtige” Einrichtungen in kritischen Sektoren — von Energie über Verkehr bis zum Finanzwesen. Für den Finanzsektor gilt der Grundsatz lex specialis: Wo DORA speziellere Anforderungen stellt, geht DORA vor. Die Melde- und Aufsichtswelten beider Rechtsakte überlappen sich dennoch und sind nicht vollständig aufgelöst.
- Output Floor
- Siehe Dossier: Basel-Rahmenwerk & Kapitalregulierung →
Basel-III-Untergrenze, die die mit internen Modellen berechneten Eigenmittelanforderungen auf mindestens 72,5 % der Standardansatz-Werte anhebt. Sie begrenzt, wie stark Banken ihre Kapitalanforderungen durch eigene Modelle senken können, und wird schrittweise eingeführt.
- Regulatory Technical Standards RTS
-
Technische Regulierungsstandards, die eine EU-Rahmenverordnung konkretisieren. Sie werden von den Aufsichtsbehörden (etwa der EBA) entworfen und von der Kommission als delegierte Rechtsakte erlassen — hier stecken oft die praktisch entscheidenden Details.
- Stablecoin
- Siehe Dossier: Krypto & tokenisierte Assets →
Kryptowert, dessen Wert an eine Referenz — meist eine Währung wie den Euro oder US-Dollar — gekoppelt ist. Unter MiCA als E-Geld-Token oder wertreferenzierter Token reguliert. Dollar-Stablecoins werfen die Frage nach der europäischen Zahlungsverkehrssouveränität auf.
- Threat-Led Penetration Testing TLPT
- Siehe Dossier: DORA & operationelle Resilienz →
Bedrohungsgeleitete Penetrationstests: realistische Angriffssimulationen auf produktive Systeme, die DORA für bedeutende Institute vorschreibt. Sie orientieren sich am europäischen TIBER-Rahmenwerk.
- Verification of Payee VoP
- Siehe Dossier: Zahlungsverkehr der Zukunft →
Abgleich von Empfängername und Kontonummer (IBAN) vor Auslösung einer Überweisung. Die Instant Payments Regulation macht VoP verpflichtend, um Betrug und Fehlüberweisungen bei Echtzeitzahlungen zu reduzieren.