Ausblick 2026 bis 2027: Von der Einigung zur Umsetzung, Prüfung und Durchsetzung

Nachdem 2025 bereits erste Teile des EU AI Act anwendbar wurden, insbesondere zu verbotenen KI-Praktiken und zur KI-Kompetenz mit überwiegend organisatorischem Fokus, greifen ab dem 2. August 2026 die zentralen Governance- und Durchsetzungsregelungen. Ab diesem Zeitpunkt gelten die operativen Pflichten für Hochrisiko-KI-Systeme verbindlich. 

Aus IT-Risiko-Sicht stehen ab 2026 insbesondere folgende Anforderungen im Mittelpunkt: 

1. Lebenszyklus bezogenes KI-Risikomanagement
Für Hochrisiko KI-Systeme ist ein kontinuierliches Risikomanagement erforderlich, das Modell, Daten, Betriebs- und Sicherheitsrisiken systematisch adressiert. 

2. Robustheit und Cybersicherheit 
Die Systeme müssen angemessene Genauigkeit, Robustheit und Cybersicherheit gewährleisten, einschließlich dem Schutz vor Manipulation und Daten-Poisoning sowie regelmäßiger Tests und strukturierter Patch- und Change-Prozesse. 

3. Protokollierung und Nachvollziehbarkeit 
Logging-Funktionen müssen das Systemverhalten nachvollziehbar machen und als Grundlage für Monitoring, Analysen und aufsichtsrechtliche Nachweise dienen. 

4. Betrieb, Überwachung und Incident Management 
Hochrisiko-KI-Systeme sind nach dem Inverkehrbringen fortlaufend zu überwachen. Schwere Vorfälle unterliegen klaren Meldepflichten, wodurch KI-Systeme faktisch kritischen IT-Systemen gleichgestellt werden. 

5. Governance und Prüfungsfähigkeit 
Dokumentation und Nachweise müssen vollständig, konsistent und aktuell sein. In komplexen IT- und Cloud-Umgebungen entsteht daraus ein erhebliches Governance-Risiko. 

Ab 2026 wird KI durch den AI Act vom Innovationsthema zum operativen IT-, Governance- und Betriebsrisiko. Entscheidend sind weniger mögliche Bußgelder als eine fehlende technische, organisatorische und kontrollbezogene Einbindung, mit Folge- und Reputationsrisiken. 

1. Prüfungsschwerpunkte der ESMA (ECEP 2025 / Prüfungssaison 2026) 

Die European Common Enforcement Priorities (ECEP) legen jährlich die europäischen Prüfungsschwerpunkte für die Durchsetzung der Unternehmensberichterstattung fest. Am 14. Oktober 2025 veröffentlichte die ESMA die ECEP für das Berichtsjahr 2025. Sie gelten für IFRS- Abschlüsse, Nachhaltigkeitsberichte nach ESRS sowie für das European Single Electronic Format (ESEF). 

Für IFRS-Abschlüsse stehen insbesondere im Fokus: 

•  geopolitische Risiken und Unsicherheiten, etwa durch Kriegsgeschehen, Handelskonflikte und Preisvolatilitäten, sowie deren Auswirkungen auf Werthaltigkeit von Vermögenswerten, Rückstellungen, latente Steuern, Liquidität und Going Concern-Annahmen, 
• die Segmentberichterstattung, einschließlich Segmentabgrenzung, Konsistenz zur internen Steuerung, Bedeutung für Impairment-Tests sowie wesentlicher Ertrags-, Aufwands- und geografischer Angaben. 

In der Nachhaltigkeitsberichterstattung nach ESRS liegen die Schwerpunkte auf: 

•  der nachvollziehbaren Anwendung der doppelten Wesentlichkeit,
• Umfang und Struktur des Nachhaltigkeitsberichts, einschließlich Konsolidierungskreis, Wertschöpfungskette und Verbindung zur Finanzberichterstattung. 

Die BaFin hat am 7. November 2025 mitgeteilt, ihre Bilanzkontrolle 2025 eng an diesen europäischen Prüfungsschwerpunkten auszurichten. Damit sind sie unmittelbar relevant für die nationale Enforcement-Praxis und  kapitalmarktorientierte Unternehmen sowie deren Abschlussprüfer 

2. Aufsichtliche Schwerpunkte der ESMA ab 2026 

Die ESMA richtet in ihrem Annual Work Programme 2026 ihre Tätigkeit stärker auf risikobasierte, datengetriebene und europaweit vergleichende Aufsicht aus. Im Mittelpunkt stehen dabei weniger neue Regeln als vielmehr die konsequente Durchsetzung bestehender Vorgaben. 

Zentrale aufsichtliche Schwerpunkte sind: 

• verstärkte Nutzung strukturierter und unstrukturierter Datenanalysen zur Risikoerkennung und Priorisierung der Aufsicht, unterstützt durch SupTech und KI gestützte Tools. 
• EU-weite Aufsichtskonvergenz durch Common Supervisory Actions, Peer Reviews und Union-wide Strategic Supervisory Priorities (USSP), 
• intensivere Durchsetzung zentraler Regelwerke wie MiCA, DORA, SFDR, EMIR 3, 
• erhöhte Anforderungen an Governance, interne Kontrollen und Datenqualität. 

Für betroffene Institute bedeutet das weniger neue Regeln, aber eine deutlich strengere, datengetriebene und EU-weit vergleichende Aufsicht mit Fokus auf Umsetzung, Datenqualität, Governance und die tatsächliche Wirksamkeit bestehender Vorgaben. 

3. Aufsichtliche Schwerpunkte der EBA ab 2026 

Im Fokus des EBA-Arbeitsprogramms 2026 stehen stärkere aufsichtliche Konvergenz, die Wirksamkeitsprüfung bestehender Regeln sowie eine datenbasiertere Risikoanalyse und Aufsicht im Mittelpunkt. Die EBA will die Umsetzung bestehender Vorgaben enger verfolgen; etwa zu IRRBB, Liquiditäts- und Fundingrisiken, Kreditrisikomodellen sowie Governance und internen Kontrollsystemen. 

Besonders prüfungsrelevant sind: 

• ein erhöhter Fokus auf ICT-, Cyber- und Drittparteirisiken (DORA) 
• Anpassungen bei Reporting, Datenqualität und Konsistenz der Meldungen 
• verstärkte Peer Reviews und Benchmarking-Übungen 
• der Ausbau von EU-weiten Stresstests inklusive Klima- und operationeller Risiken 

Für Banken bedeutet dies eine stärkere Verzahnung von Risikomanagement, Datenhaushalt und aufsichtlicher Prüfungspraxis sowie erhöhte Erwartungen an Nachvollziehbarkeit und Umsetzungsqualität. 

4. Aufsichtliche Schwerpunkte der EIOPA ab 2026 

Das Annual Work Programme 2026 legt fest, wie die EIOPA Aufsichtskonvergenz, Regelsetzung und Datenarbeit ausrichtet, mit Auswirkungen auf Governance, Produktprozesse, Risiko, IT-Sicherheit und Meldewesen. Der Schwerpunkt liegt auf grenzüberschreitenden Tätigkeiten, der Überwachung von Nachhaltigkeits- und Digitalisierungsrisiken sowie auf einer wirksameren, kosteneffizienteren Berichterstattung. Zudem werden zentrale EU-Vorhaben, etwa Solvency II- Umsetzung, Retail Investment Strategy und IRRD, in konkrete Arbeitsstränge übersetzt.  

Zentrale aufsichtliche Schwerpunkte: 

• Nachhaltigkeitsrisiken, Greenwashing-Aufsicht 
• Digitalisierung, KI, Datenethik, FIDA 
• DORA, kritische Drittanbieter, Cyber-Resilienz 
• Value for money, POG, Mystery Shopping 

Für Institute bedeutet das mehr Fokus auf belastbare Kontrollen, nachvollziehbare Offenlegung, saubere Produktfreigaben und erhöhte Erwartungen an Datenqualität und operative Widerstandsfähigkeit. 

2025 galt in der europäischen ESG-Regulierung ein Übergangsjahr. Mit dem SFDR-Reformvorschlag stellte die EU-Kommission die Nachhaltigkeitstransparenz neu auf. Gleichzeitig schärfte die European Securities and Markets Authority (ESMA) mit den Leitlinien zu Fondsnamen die Anforderungen an die Nutzung von ESG-Begriffen deutlich. Anpassungen bei CSRD und EU-Taxonomie-Reporting sollten Komplexität reduzieren, ließen die Datenbasis in der Praxis jedoch weiter fragil erscheinen. 

Auf dieser Grundlage verlagert sich der Schwerpunkt 2026 auf die Umsetzung und Anwendung. Ab Januar gilt die reformierte EU-Benchmarks-Verordnung, die den Anwendungsbereich stärker auf wirtschaftlich relevante und ESG-bezogene Referenzwerte konzentriert. Ab Juli folgt mit der ESG-Ratings-Verordnung ein zentraler Baustein: Erstmals gelten europaweit einheitliche Anforderungen an Transparenz, Methodik und Aufsicht von ESG-Ratings. 

Gleichzeitig rücken CSRD-Berichte, Taxonomieangaben und nachhaltige Finanzprodukte stärker in den operativen Alltag. Prozesse, Datenmodelle und Governance-Strukturen müssen belastbar funktionieren und regulatorische Erwartungen erfüllen. Damit wird 2026 zum Jahr, in dem sich entscheidet, ob ESG-Regulierung in der Praxis tragfähig ist. 

Nach der intensiven Analysephase im Jahr 2024 ist das Thema T+1 im Jahr 2025 regulatorisch deutlich konkretisiert worden. Während der ESMA Bericht damals vor allem Auswirkungen, Chancen und Voraussetzungen einer Verkürzung des Wertpapierabwicklungszyklus beschrieb, liegen nun erstmals verbindliche rechtliche Vorgaben und technische Ausgestaltungen vor. 

Mit der Verordnung (EU) 2025/2075 hat der europäische Gesetzgeber die erforderliche rechtliche Grundlage geschaffen, indem die CSDR gezielt geändert wurde. Der bislang geltende T+2-Standard wird damit auf T+1 verkürzt, mit Anwendung ab dem 11. Oktober 2027. An diese Level-1-Entscheidung schließt der Final Report der ESMA vom 13. Oktober 2025 an, der die Umsetzung über Änderungen der RTS zur Settlement Discipline konkretisiert. Vorgesehen sind insbesondere verbindliche Vorgaben für vorgelagerte Abwicklungsprozesse am Handelstag; etwa zu festen Trade-Date-Fristen sowie zur verpflichtenden elektronischen und standardisierten Übermittlung von Allokationen und Bestätigungen. 

Von zentraler Bedeutung ist der von der ESMA vorgeschlagene gestaffelte Anwendungsbeginn. Für eine funktionierende T+1-Abwicklung sollen bestimmte Anforderungen bereits vor dem eigentlichen Umstellungstermin gelten, insbesondere 

• feste Trade Date-Fristen für Allokationen und Bestätigungen durch professionelle Kunden 
• die verpflichtende Nutzung strukturierter, maschinenlesbarer Kommunikationsformate 
• verbindliche Mindeststandards für die rechtzeitige Vorbereitung des Settlements 

Diese unmittelbar für die Pre-Settlement-Prozesse relevanten Vorgaben sollen bereits ab Dezember 2026 Anwendung finden. Weitere Regelungen, etwa zu zusätzlichen Settlement- Effizienz-Funktionen oder zu erweiterten Reporting-Pflichten, sollen hingegen erst näher am Umstellungstermin auf T+1 in Kraft treten. 

Nach unserer Blog-Serie zur Retail Investment Strategy (RIS) im Jahr 2024 folgten im Rahmen des Trilogs intensive Verhandlungen zwischen Rat, Europäischem Parlament und Kommission. Diese fanden am 18. Dezember 2025 ihren Abschluss. Rat und Europäisches Parlament haben im Trilog ein umfassendes Legislativpaket zur Neugestaltung des EU-Rahmens für Retail- Investitionen vereinbart. Damit liegt ein konsistenter Kompromiss zur Überarbeitung der zentralen Vorschriften vor. 

Nach der politischen Einigung beginnt nun die eigentliche Detailarbeit. Die finalen Rechtstexte werden im Frühjahr 2026 erwartet, danach folgen Veröffentlichung im Amtsblatt, nationale Umsetzungen und gestaffelte Anwendungsfristen. Für Marktteilnehmer bleiben viele Fragen zur praktischen Umsetzung, zu Übergangsfristen sowie zu Auswirkungen auf Beratung, Produktgestaltung und Vertrieb offen. 

Vor diesem Hintergrund werden wir die Retail Investment Strategy im Jahr 2026 weiter intensiv begleiten. Unsere Blog-Serie wird dabei gemeinsam mit Herrn Alexander Bahr von der dwpbank fortgesetzt. In den kommenden Beiträgen werden wir die finalen Regelungen einordnen, erste Umsetzungsfragen beleuchten und die praktische Bedeutung der neuen Vorgaben für Marktteilnehmer analysieren. 

Mit ihren Zielen für 2026 bis 2029 definiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), den strategischen Rahmen für eine wirksame, risikoorientierte und zukunftsgerichtete Finanzaufsicht. 

Die BaFin setzt klare Schwerpunkte auf: 

• finanzielle Stabilität und Marktintegrität, 
• die Stärkung der operationellen Resilienz, etwa bei IT- und Cyber-Risiken, 
• die frühe Identifikation von Problem-Unternehmen, ergänzt um die Prävention von Geldwäsche und Terrorismusfinanzierung. 

Zugleich verankert die BaFin systematisch Nachhaltigkeitsaspekte in der Aufsicht und steht innovativen Technologien und Geschäftsmodellen offen gegenüber, sofern sie dem Kundennutzen dienen. Übergreifend verfolgt sie das Ziel, regulatorische Komplexität zu reduzieren, Proportionalität zu stärken und ihre eigene Organisation digital und zukunftsfähig weiterzuentwickeln. 

Ab 2026 verlagert sich der regulatorische Schwerpunkt in Bereichen wie KI, ESG, Kapitalmarktaufsicht und Marktinfrastruktur auf die konsequente Umsetzung bestehender Vorgaben. Aufsicht und Prüfung erfolgen intensiver, stärker vergleichend und zunehmend technologisch gestützt. Damit treten Fragen der Datenqualität, der Governance und der operativen Steuerung stärker in den Vordergrund. Für Marktteilnehmer bedeutet dies, dass Prozesse, IT-Strukturen und Kontrollmechanismen nachvollziehbar ineinandergreifen und dauerhaft tragfähig ausgestaltet sein müssen.