In der EU sehen wir insbesondere Anstrengungen der Finanzinstitute bei den Vorbereitungen auf Basel IV, DORA und die Integration von ESG-Risiken in den ICAAP sowie die Umsetzung von CSRD-Nachhaltigkeitsberichterstattung.
Die Finanzdienstleistungsbranche ist nach wie vor mit einem herausfordernden und dynamischen regulatorischen Umfeld konfrontiert. Schlagworte wie Basel IV, DORA, ESG, CSRD und mehr sind jetzt das Hauptanliegen von europäischen Banken. Darüber hinaus nimmt die Regulierung von Crypto-Assets und deren Anbietern weiter zu (z.B. AFC, MICA).
Zusätzlich beschloss die EZB im Hinblick auf die Meldepflichten für Finanzmarktinstrumente, den Kreis der statistischen Meldungen für den Geldmarkt weiter auszudehnen – im Rahmen des REFIT-Programms der ESMA (Regulatory Fitness and Performance). Im Folgenden konzentrieren wir uns auf Basel IV, DORA und ESG-Risikomanagement und Berichterstattung, welche allesamt priorisierte Themen der EZB im Jahr 2024 darstellen.
Basel IV (CRR III): Implementierungsphase für EU-Banken in 2024:
Für Banken hat Basel IV (CRR III) das Potenzial, sich sowohl auf die Geschäftsstrategie als auch die Einhaltung von Regularien auszuwirken, wenn sie ab 1. Januar 2025 in Kraft tritt. Zu den wichtigsten Änderungen gehören die Erweiterung der Standardansätze; die Einschränkung der Verwendung von internen Modellansätzen; die Anwendung eines Output-Floors von 72,5 % für die Beschränkung des internen Modell-Outputs (mit einer schrittweisen Umsetzung bis Q1 2030); und die Einführung eines Puffers für die Verschuldungsquote von global systemrelevanten Banken (G-SIBs).
Die Auswirkungen der Basel-IV-Anforderungen auf die Banken werden von ihrer Größe und Komplexität abhängen – und werden wahrscheinlich für G-SIB-Banken noch signifikanter sein. In Deutschland ist der Bankensektor mit seinen der Säulen – Privatbanken, Sparkassen und Genossenschaftsbanken – nur geringfügig betroffen; dies gilt insbesondere für die letzteren zwei, da sie ein konservatives Geschäftsmodell verfolgen und den Standardansatz anwenden.
Dementsprechend wird, insbesondere für G-SIBs, die den IRBA anwenden, die erste Hälfte des Jahres 2024 entscheidend für die Umsetzung der Berichts- und Datenanforderungen, der Risikomodellierung und RWA-Optimierung sein. Diese G-SIBs und IRBA Banken werden sich auch mit höheren Kapitalanforderungen und Finanzierungskosten auseinandersetzen müssen, parallel zu einer neuen Bewertung ihrer Geschäftsstrategie und des Kreditportfolios auf der Grundlage der Bewertung des RWA-Einflusses und der Kapitalunterlegungen.
DORA: Der Weg zur digitalen Effizienz
DORA wurde am 16. Januar 2023 in Kraft gesetzt und gilt – nach einer Übergangsfrist von zwei Jahren – ab dem 17. Januar 2025. Richtlinien für regulatorische technische Standards (RTS) und technische Implementierungsstandards (ITS) werden anschließend veröffentlicht. Im Einklang mit der Agenda der SSM-Aufsichtsprioritäten der EZB für 2024–2026 besteht das Ziel darin, die Herausforderungen der Digitalisierung zu bewältigen, indem sichergestellt wird, dass Banken Schwachstellen und Risiken bewältigen können, die sich aus einer stärkeren operativen Abhängigkeit von IT-Systemen, Diensten Dritter und innovativen Technologien ergeben.
Finanzinstitute, die derzeit in den Zuständigkeitsbereich der Europäischen Kommission fallen, sollten etwaige Lücken zwischen ihrem Betriebsmodell und den erweiterten Vorschriften prüfen. Anschließend sollten sie mit der entsprechenden Planung beginnen, um sich an die bevorstehenden Veränderungen anzupassen.
Dazu gehört: Verbesserung der betrieblichen Belastbarkeit (unter Einbeziehung der Geschäftsleitung); Durchführung einer Reifegradbewertung anhand der DORA-Anforderungen mit zugehöriger Lückenanalyse und Maßnahmenplan, um die Einhaltung zu erreichen; Nutzung der laufenden Arbeiten zur Konsolidierung des Informationsregisters für alle IKT-Drittanbieter, wie derzeit in den EBA-Leitlinien zum Outsourcing vorgeschrieben; und Beginn der Definition des Spektrums an Bewertungen, Testszenarien, Methoden, Praktiken, Tools und externen Parteien, die zur Unterstützung des digitalen Betriebsresilienztestprogramms erforderlich sind.
Deutsche Banken sollten im Vergleich zu ihren europäischen Konkurrenten besser vorbereitet sein, basierend auf den bestehenden BaFin-Erwartungen zur IT- und Informationssicherheit (BAIT), die bereits die meisten DORA-Anforderungen abdecken, einschließlich der Punkte Drittparteienmanagement und IT-Risikomanagement.
Integration von ESG in das Risikomanagement und Reporting
Klima- und Umweltrisiken (C&E) gehören zu den wichtigsten Aufsichtsprioritäten der EZB für den Zeitraum 2024–2026 und sind eines der Hauptziele der Sustainable Finance Roadmap (2024–2026) der EBA . Bis Ende 2024 bleibt die vollständige Integration von C&E-Risiken in den Internal Capital Adequacy Assessment Process (ICAAP) ein zentraler Schwerpunkt. Es besteht daher die Notwendigkeit, wesentliche C&E-Risiken als Treiber der aufsichtsrechtlichen Risikokategorien und im Einklang mit ihrer Strategie und Governance in den Risikomanagementrahmen der Banken zu integrieren und zu operationalisieren .
Für das Stresstest-Rahmenwerk sind zukunftsgerichtete Faktoren über einen längeren Zeithorizont für C&E-Risiken von entscheidender Bedeutung, um die Kapitaladäquanz abzuleiten. Dies impliziert auch, dass die Einhaltung der BCBS 239-Anforderungen (effektive Risikodatenaggregation, Risikoberichterstattung, Datenqualitätsmanagement) durch Banken weiter verschärft wird, wenn C&E-Risiken effektiv gesteuert werden sollen. Im Einklang mit BCBS 239 und um die aufsichtlichen Erwartungen in diesem Bereich zu präzisieren und zu stärken, hat die EZB einen Leitfaden zur effektiven Risikodatenaggregation und Risikoberichterstattung konsultiert, um eine robuste Governance und wirksame Prozesse zur Identifizierung, Überwachung und Meldung von Risiken durch Finanzinstitute zu fördern.
In Deutschland verlangt die 7. MaRisk-Novelle seit dem 1. Januar 2024 die vollständige Integration wesentlicher ESG-Risiken in ICAAP und ILAAP. Neue Standards zur Nachhaltigkeitsberichterstattung (CSRD/ESRS) verpflichten Unternehmen zudem dazu, potenzielle finanzielle Auswirkungen wesentlicher ESG-Risiken offenzulegen. Die Berücksichtigung im ICAAP einer Bank neben den ESG-Risiken kann kurzfristig zu einem zusätzlichen Kapitalbedarf führen; Dieser anfängliche Betrag sollte je nach ESG-Ambitionsniveau und den entsprechenden Anpassungen im Portfolio sinken, was zusammen mit den Auswirkungen von Basel IV einer Gesamtbewertung bedarf.
Viele Herausforderungen für Finanzinstitute
Zweifelsohne – 2024 wird herausfordernd, gilt es doch die Anforderungen aus verschiedenen regulatorischen Bereichen fristgerecht und konform gemäß den aufsichtsrechtlichen Erwartungen zu erfüllen und sich auch auf die bevorstehenden Änderungen in 2025 vorzubereiten. Dabei sind aus Ressourcen- und Budgetsicht, die frühzeitige Ermittlung des notwendigen Handlungsbedarfs, der rechtzeitige Start der Umsetzung sowie die vorausschauende Identifizierung von Abhängigkeiten und Konzentrationen entscheidende Erfolgsfaktoren.
Die Regulatory Heatmap mit einem umfassenden Überblick über die relevanten Entwicklungen der kommenden Jahre in Sachen Bankenregulierung können Sie hier herunterladen.
Dr. Christoph Ruth ist Koautor des Beitrags. Der Physiker ist Executive Director bei Capco im Bereich digitaler Assets und der Implementierung regulatorisch anspruchsvoller Prozesse. Er war zuvor Managing Director bei Accenture und verfügt über fast 25 Jahre Erfahrung im Bereich Consulting im Finanzdienstleistungsbereich.