Marktlandkarte

Marktlandkarte

Wer reguliert, wer liefert, was gilt ab wann — die Akteure und das Regelwerk auf einen Blick.

01 · Akteure

Wer reguliert, wer liefert.

Regulator 7

Europäische Zentralbank (EZB)

EU

Zentralbank des Euroraums und über den SSM direkte Aufseherin der bedeutenden Banken.

Rolle
Bankenaufsicht (SSM), Geldpolitik, Projekt digitaler Euro.
Relevanz
Formuliert Aufsichtserwartungen an IKT-Risiko und KI-Governance; treibt den digitalen Euro.
Website ↗

Europäische Bankenaufsichtsbehörde (EBA)

EU

EU-Behörde für ein einheitliches Regelwerk im Bankensektor.

Rolle
Technische Standards (RTS/ITS), Leitlinien zu Outsourcing und DORA, Lead Overseer.
Relevanz
Führt mit ESMA/EIOPA das Oversight kritischer IKT-Drittdienstleister (CTPP).
Website ↗

Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA)

EU

EU-Aufsicht für Wertpapiermärkte, Krypto (MiCA) und DLT-Pilotregime.

Rolle
Standards und Aufsicht für Kapitalmärkte, Krypto-Dienstleister, Teil des Joint Oversight.
Relevanz
Zentral für MiCA, tokenisierte Wertpapiere und Marktinfrastruktur.
Website ↗

Europäische Aufsichtsbehörde für das Versicherungswesen (EIOPA)

EU

EU-Aufsicht für Versicherer und betriebliche Altersvorsorge.

Rolle
Dritte der drei ESAs; Teil des gemeinsamen DORA-Oversight.
Relevanz
Bündelt mit EBA/ESMA die Aufsicht über kritische IKT-Drittanbieter.
Website ↗

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)

DE

Deutsche Allfinanzaufsicht über Banken, Versicherer und Wertpapierhandel.

Rolle
Nationale Aufsicht, Verwaltungspraxis zu Auslagerung, DORA-Umsetzung, KI-Erwartungen.
Relevanz
Erster Ansprechpartner deutscher Institute; prägt die Auslegung vor Ort.
Website ↗

Europäischer Ausschuss für Systemrisiken (ESRB)

EU

Makroprudenzielle Aufsicht über das EU-Finanzsystem, angesiedelt bei der EZB.

Rolle
Identifiziert Systemrisiken und gibt Warnungen sowie Empfehlungen (comply or explain) heraus.
Relevanz
Beobachter im DORA-Überwachungsforum; adressiert IKT-Konzentrations- und Cloud-Systemrisiken.
Website ↗

Anti-Money Laundering Authority (AMLA)

EU

Neue EU-Geldwäscheaufsicht mit Sitz in Frankfurt.

Rolle
Direkte Aufsicht über ausgewählte Hochrisiko-Institute ab 2028; einheitliches Regelwerk.
Relevanz
Verlagert die AML-Aufsicht auf die EU-Ebene — neue Erwartungen an Screening und KI.
Website ↗

Institution 3

Deutsche Bundesbank

DE

Nationale Zentralbank, in die laufende Bankenaufsicht eingebunden.

Rolle
Operative Aufsicht mit der BaFin, Zahlungsverkehrsinfrastruktur, digitaler Euro.
Relevanz
Technische und aufsichtliche Instanz für Zahlungsverkehr und Resilienz.
Website ↗

Agentur der Europäischen Union für Cybersicherheit (ENISA)

EU

EU-Agentur für Cybersicherheit — Kompetenzzentrum für Netz- und Informationssicherheit.

Rolle
Entwickelt Cybersicherheits-Zertifizierungen, unterstützt die NIS2-Umsetzung und erstellt Bedrohungslagebilder.
Relevanz
Beobachter im DORA-Überwachungsforum; Bindeglied zwischen der NIS2- und der DORA-Sicherheitswelt.
Website ↗

Europäische Kommission (EU-Kommission)

EU

Exekutive der EU und Urheberin der meisten hier behandelten Rechtsakte.

Rolle
Gesetzesinitiative (AI Act, CADA, Data Act, PSD3), Cloud Sovereignty Framework.
Relevanz
Setzt den regulatorischen Takt — von DORA bis zum Cloud and AI Development Act.
Website ↗

Cloud-Anbieter 6

Amazon Web Services (AWS)

US

Größter Hyperscaler; European Sovereign Cloud in Aufbau.

Rolle
Cloud-Infrastruktur für Banken; auf der ersten CTPP-Liste unter DORA-Oversight.
Relevanz
Konzentrationsrisiko und Souveränitätsfrage bündeln sich hier besonders.
Website ↗

Microsoft

US

Azure-Hyperscaler; souveräne Angebote via Delos Cloud (mit SAP/Arvato) und Bleu.

Rolle
Cloud- und KI-Plattform für Finanzinstitute; CTPP unter DORA-Oversight.
Relevanz
Delos Cloud ist der Test, ob souveräne Hyperscaler-Ableger die Assurance Levels treffen.
Website ↗

Google Cloud

US

Hyperscaler mit souveränen Partnerschaften (T-Systems, S3NS mit Thales).

Rolle
Cloud/KI-Dienste; auf der ersten CTPP-Liste unter DORA-Oversight.
Relevanz
S3NS und die T-Systems-Kooperation adressieren Jurisdiktions- und Betreiberkontrolle.
Website ↗

OVHcloud

FR

Größter unabhängiger europäischer Cloud-Anbieter.

Rolle
Europäische Alternative zu den Hyperscalern; Gaia-X-Mitglied.
Relevanz
Referenz für die Frage, ob europäische Anbieter Hyperscaler-Workloads tragen können.
Website ↗

IONOS / StackIT

DE

Deutsche Cloud-Anbieter (IONOS; StackIT von der Schwarz-Gruppe).

Rolle
Souveräne Cloud-Kapazität mit Datenresidenz in Deutschland.
Relevanz
Kandidaten für regulatorisch sensible Workloads mit klarer Jurisdiktion.
Website ↗

T-Systems

DE

IT-Tochter der Deutschen Telekom, Partnerin für souveräne Cloud-Modelle.

Rolle
Betreiber souveräner Umgebungen in Kooperation mit Google und anderen.
Relevanz
Verkörpert das Modell „Hyperscaler-Technik unter europäischer Betreiberkontrolle".
Website ↗

Konsortium 1

Gaia-X

EU

Europäische Initiative für eine föderierte, souveräne Dateninfrastruktur.

Rolle
Standards für Datenräume, Portabilität und Vertrauens-Labels.
Relevanz
Politischer Bezugsrahmen der Souveränitätsdebatte, Bezug zu IPCEI-CIS / 8ra.
Website ↗

02 · Regelwerk-Zeitachse

Was gilt ab wann.

wirksam anstehend im Verfahren
2025
  1. CRR III anwendbar wirksam

    Neue Kapitalanforderungen inkl. Output Floor mit Übergangsregeln.

  2. DORA anwendbar wirksam

    IKT-Risikomanagement, Vorfallsmeldung und Drittparteienrecht für den gesamten Finanzsektor.

  3. AI Act: Verbote & KI-Kompetenz wirksam

    Verbotene Praktiken (u. a. Social Scoring) und Pflicht zur KI-Kompetenz greifen.

  4. AI Act: GPAI-Pflichten wirksam

    Pflichten für Anbieter von Basismodellen (General-Purpose AI).

  5. EU Data Act anwendbar wirksam

    Cloud-Switching- und Interoperabilitätspflichten treten in Kraft.

  6. IPR: Senden + VoP (Euroraum) wirksam

    Pflicht zum Senden von Instant Payments samt Verification of Payee im Euroraum.

  7. DORA: erste CTPP-Liste wirksam

    Erste Liste kritischer IKT-Drittdienstleister (19 Anbieter) — Hyperscaler unter EU-Oversight.

2026
  1. CADA: Kommissionsvorschlag im Verfahren

    Cloud and AI Development Act mit vier Union Assurance Levels vorgeschlagen.

    EU-Kommission — CADA ↗
  2. MiCA: Ende der Übergangsfristen wirksam

    Volle Lizenzpflicht für Krypto-Dienstleister nach Ende des Grandfathering.

  3. AI Act: Transparenz & Governance anstehend

    Transparenz- und Registrierungspflichten sowie Governance-/Sanktionsregime greifen.

  4. Cyber Resilience Act: Meldepflichten anstehend

    Meldepflichten für aktiv ausgenutzte Schwachstellen — Bezug zur Software-Lieferkette der Banken.

  5. Digitaler Euro: Gesetzgebung im Verfahren

    Erwarteter Abschluss des Gesetzgebungsverfahrens — Voraussetzung für eine spätere Ausgabe.

    EZB — Digitaler Euro ↗
  6. eIDAS 2.0: EUDI-Wallet-Angebot anstehend

    Mitgliedstaaten müssen das EUDI-Wallet bereitstellen.

2027
  1. Basel III UK: Umsetzung anstehend

    Verschobene UK-Umsetzung — relevant fürs Level Playing Field.

  2. CRR III: FRTB-Eigenmittel anstehend

    FRTB-Marktrisikoanforderungen mit temporären Erleichterungen bis 2030.

  3. IPR: Empfangen (Nicht-Euro) anstehend

    Empfang von Instant Payments in Nicht-Euro-Ländern wird Pflicht.

  4. CRD VI: Drittstaaten-Zweigstellen anstehend

    Neues Regime für Zweigstellen von Nicht-EU-Banken unter CRD VI; die Drittstaaten-Zweigstellen-Regeln sind ab 11.01.2027 anzuwenden (Anwendungsdatum aus der Umsetzung — im Richtlinientext selbst nicht datiert).

    CRD VI & Drittlandsniederlassungen ab 2027 (Aspect Advisory) ↗
  5. Data Act: Wechselentgelte entfallen anstehend

    Vollständige Abschaffung der Cloud-Wechselentgelte — Cloud-Exit wird billiger.

  6. IPR: Senden + VoP (Nicht-Euro) anstehend

    Senden von Instant Payments samt VoP in Nicht-Euro-Ländern.

  7. AMLR anwendbar anstehend

    Einheitliches Geldwäsche-Regelwerk; AMLA-Direktaufsicht baut darauf auf.

  8. Digitaler Euro: Pilotphase anstehend

    Start der zwölfmonatigen EZB-Pilotphase mit Banken als Teilnehmern.

    EZB — Digitaler Euro ↗
  9. AI Act: Hochrisiko (Annex III) anstehend

    Hochrisiko-Pflichten (u. a. Kreditscoring) — per Digital Omnibus verschoben.

  10. Cyber Resilience Act: Hauptpflichten anstehend

    Vollständige Pflichten für Produkte mit digitalen Elementen.

  11. eIDAS 2.0: Akzeptanzpflicht anstehend

    Banken/Zahlungsdienstleister müssen das EUDI-Wallet akzeptieren (inkl. SCA).

  12. CADA: angestrebte Verabschiedung im Verfahren

    Vorschlag am 3. Juni 2026 als Teil des European Technological Sovereignty Package vorgelegt; angestrebte Verabschiedung Ende 2027 — die Ausgestaltung der Assurance Levels ist umkämpft.

    EU-Kommission — CADA ↗
2028
  1. PSD3/PSR anwendbar im Verfahren

    Vorläufige politische Einigung im Trilog (Mai 2026); die finalen Rechtstexte durchlaufen die letzten formalen Schritte in Parlament und Rat. Geltung voraussichtlich ~Anfang 2028.

    PSD3/PSR — Stand und Zeitplan (payment-law.eu) ↗
  2. AI Act: Hochrisiko (Annex I) anstehend

    Hochrisiko-KI in regulierten Produkten (eingebettete KI).

2029
  1. Digitaler Euro: mögliche Erstausgabe im Verfahren

    Mögliche Erstausgabe des Retail-CBDC — Entscheidung der EZB steht aus.

    EZB — Digitaler Euro ↗
2030
  1. FRTB: Ende der Erleichterungen anstehend

    Ende der temporären FRTB-Erleichterungen für das Marktrisiko.

Termine mit „im Verfahren" stehen unter Vorbehalt und werden regelmäßig gegen den tatsächlichen Stand des Verfahrens geprüft, da sich Regulierungsdaten häufig verschieben.