BaFin-Strategie 2026–2029: Was auf dich zukommt

Was bedeutet das für dich konkret?

• Mehr Prüfungen & schnelleres Handeln – gerade bei Cyber/IKT und Auslagerungen solltest du Prüfungsreife, Evidenz und Verträge (inkl. Mehrmandanten-Risiken) jetzt nachschärfen. BaFin

• AML/CTF schieben – Zahlungsverkehrs- und Kryptorisiken, Datenqualität und automatisierte Überwachungssysteme priorisieren; Digital-ID-Optionen und Kontenabruf-Prozesse im Blick behalten. BaFin

• Proportional & risikobasiert denken – Prozesse so verschlanken, dass sie deine tatsächlichen Risiken adressieren und proportional dokumentiert sind. Das ist ausdrücklich politisches Zielbild bis 2029. BaFin

Checkliste: To-dos je Ziel (2026–2029)

So nutzt du sie: Passe Owner/Rollen (z. B. Vorstand, CRO, CISO, MLRO, Compliance, Recht, IT, Risikocontrolling, HR) auf dein Institut an (Bank, WpI, KVG, Versicherer). „Sofort“ = 30 Tage, „90 Tage“ = nächstes Quartal, „12 Monate“ = innerhalb eines Jahres.

1) Finanzstabilität & Sicherheit

• Sofort: Geschäftsmodell-Review auf „Zukunftsfähigkeit“ (Tech, Reg, Gesellschaft) & geopolitische Abhängigkeiten; Gap-Liste je Einheit. BaFin

• 90 Tage: Frühwarn-KPIs (Kapital-/Liquiditätspuffer, Konzentrationen, Zins-/Spread-Sensitivität) + Eskalationspfade.

• 12 Monate: Plan für Kapital-/Liquiditätszuschläge bei Stress; Abwicklungs-Playbooks aktualisieren (falls SRB/BaFin-relevant).

• Owner: CRO/Finance/Risk. Nachweise/KPIs: ICAAP/ILAAP-Updates, Stresstest-Berichte, Limitverletzungen & Reaktionszeiten.

2) Operationelle Resilienz (IKT, Cyber, Auslagerung)

• Sofort: DORA-Readiness-Check (Governance, ICT-Risk, Incidents, TPRM, Testing); kritische Auslagerungen & Mehrmandanten-Provider kennzeichnen. BaFin

• 90 Tage: Modularer Prüfplan (risikoorientiert) inkl. Purple-Team/Red-Team-Roadmap; sektorübergreifende Konzentrationsrisiken dokumentieren.

• 12 Monate: Crisis-Playbook für systemische Cyber-Ereignisse (Kommunikation, Meldeketten, Notbetriebsverfahren) + jährlicher Volltest.

• Owner: CISO/IT/Outsourcing. Nachweise/KPIs: MTTD/MTTR, Test-Coverage, Befund-Abarbeitung, Drittanbieter-SLAs.

3) Früherkennung Problem-Unternehmen

• Sofort: Data-Fusion von internen/externalen Quellen (Meldewesen, Marktdaten, Medien/Hinweise); Risikoklassifizierung verfeinern. BaFin

• 90 Tage: Ampellogik + Maßnahmenkatalog (inkl. temporäre Geschäftsbeschränkungen) mit Vorstandsbeschluss.

• 12 Monate: Review-Zyklus „Close Monitoring“ mit Lessons Learned in die Linienaufsicht rückführen.

• Owner: CRO/Compliance. Nachweise/KPIs: Time-to-Action, Anzahl „Enhanced Monitoring“-Fälle, Rückfallquote.

4) AML/CTF stärken (inkl. Zahlungsverkehr & Krypto)

• Sofort: Risiko-Deep-Dive Zahlungen/Krypto + Modell-Backtesting (Szenarien, Precision/Recall); Ressourcen für mehr Eigen-Prüfungen planen. BaFin

• 90 Tage: Roadmap AMLA-Readiness (Zusammenarbeit, Datenzugänge) + Optionen für digitale Ident & EU-Kontenabruf-Vernetzung evaluieren. KPMG Klardenker

• 12 Monate: Datengestützte Aufsicht/Überwachung ausbauen (Typologien, Adverse Media, Netzwerk-Analysen).

• Owner: MLRO/Compliance/IT-Data. Nachweise/KPIs: STR-Qualität, False-Positive-Rate, Bearbeitungszeiten, Sanktions-Trefferqualität.

5) Transparenz, Kundennutzen & kollektiver Verbraucherschutz

• Sofort: Produkt-Screening (Netto-Kundennutzen nach Kosten) + Social-Media-/FinTech-Einfluss auf Vertrieb dokumentieren. BaFin

• 90 Tage: Frühwarnindikatoren (Beschwerde-Heatmap, Abbruchraten, Performance vs. Zielmarkt) + Eingriffsleitfaden.

• 12 Monate: Irreführungstests & Klartext-Kommunikation standardisieren (UX-Checks).

• Owner: Produkt/Legal/Compliance. Nachweise/KPIs: Kundennutzen-Score, Beschwerden TtR, Warnmeldungen/Aktionen.

6) Markttransparenz & -integrität (inkl. Bilanzkontrolle/Prospekte)

• Sofort: Insider/Marktmissbrauch-Kontrollen nachschärfen; Prospekt-Checklisten auf „Fast-Track-Fähigkeit“. BaFin

• 90 Tage: Datenscreening erweitern (Order-/Handelsdaten-Analytik); Kooperationskanäle mit HÜSt/StA/ESMA pflegen.

• 12 Monate: Nachhaltigkeitsberichtspflichten-Überwachung für Emittenten konsolidieren.

• Owner: Capital-Markets-Compliance/IR. Nachweise/KPIs: Detektionsquote, Zeit bis Prospekt-Freigabe, Findings pro Audit.

7) Nachhaltigkeit in der Aufsicht verankern

• Sofort: Physische Risiken (Klimarisiken) & Transitionsrisiken in RMS/ORSA/ICAAP integrieren; Offenlegungspflichten prüfen. BaFin

• 90 Tage: Anti-Greenwashing-Kontrollen (Produktclaims, Vertrieb, Reporting) aufsetzen.

• 12 Monate: Szenarioanalysen & Portfoliosteuerung nach ESG-Risiken verankern.

• Owner: Risk/Sustainability/Reporting. Nachweise/KPIs: Offenlegungs-Konformität, Greenwashing-Findings, Szenario-Coverage.

8) Innovation & neue Geschäftsmodelle (pro Kunde)

• Sofort: Technology-Radar (GenAI, Tokenisierung, Embedded Finance); Erlaubnisprozesse/Varianten vorbereiten. BaFin

• 90 Tage: „Supervised Sandbox“-Vorgehen intern definieren (Kontrollpunkte, Kundennutzen-Kriterien).

• 12 Monate: Time-to-License/-Variation verkürzen (dokumentierte Anforderungen, Templates).

• Owner: Strategy/Legal/Compliance/IT. Nachweise/KPIs: Durchlaufzeiten, Anzahl Innovationen mit Freigabe, Abbruchquote.

9) Komplexität runter, Proportionalität rauf

• Sofort: Liste „Low-Risk-Anforderungen“ zur Entlastung kleiner Einheiten; Ermessensspielräume dokumentieren. BaFin

• 90 Tage: Prozesse „kurze Fristen & klare Kommunikation“ (Standardtexte, Self-Service-Formulare).

• 12 Monate: Vorschläge zur Reg-Vereinfachung (Verbände/BaFin-Feedback) erarbeiten.

• Owner: Reg-Affairs/Compliance/COO. Nachweise/KPIs: Seiten/Prozessschritte reduziert, Antwortzeiten, Genehmigungsquote.

10) Zukunftsfähige BaFin-Gegenpart: People, Prozesse, IT (spiegelt Erwartungen an Institute)

• Sofort: Rollen-/Kompetenzmatrix, Skill-Gaps & Lernpfade (Data/Cloud/Cyber/Reg). BaFin

• 90 Tage: Prozess-Review auf Geschwindigkeit/Qualität; „Papier ade“: eForms, zentrale Erhebungsplattform-Schnittstellen planen.

• 12 Monate: Datenbasierte Aufsichtsfähigkeit intern spiegeln (Data Lake, Metadaten, Nachvollziehbarkeit).