Banking Supervision
Banking Supervision
Search
Suchoptionen
Startseite Medien Wissenswertes Forschung und Publikationen Statistiken Geldpolitik Der Euro Zahlungsverkehr und Märkte Karriere
Vorschläge
Sortieren nach

1 Einleitung

Die Aufsichtsprioritäten für die Jahre 2026-2028 spiegeln die mittelfristige Strategie der EZB-Bankenaufsicht für die nächsten drei Jahre wider. Das Aufsichtsgremium der EZB legt diese Prioritäten auf Grundlage einer umfassenden Bewertung der wichtigsten Risiken und Schwachstellen der beaufsichtigten Unternehmen fest. Die Prioritäten werden jährlich überprüft, um den Veränderungen in der Risikolandschaft sowie dem Ergebnis verschiedener aufsichtlicher Prüfungen Rechnung zu tragen. Zu Letzteren zählt insbesondere der aufsichtliche Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process – SREP).[1] Im Zuge der jährlichen Überprüfung der Prioritäten wird auch untersucht, welche Fortschritte die Banken bei den Prioritäten und aufsichtsrechtlichen Anforderungen der Vorjahre gemacht haben. Diese Form der jährlichen Überprüfung trägt zu einer risikobasierten und zukunftsgerichteten Strategie bei, die einen effizienten Einsatz von Aufsichtsressourcen fördert und die Aufsichtsmaßnahmen für die Banken transparenter und berechenbarer macht. Zugleich bietet sie ausreichend Flexibilität, um die Prioritäten gegebenenfalls anzupassen.

Das europäische Bankensystem zeichnet sich durch ein solides Risikoprofil und robuste Fundamentaldaten aus. Dadurch ist es gut gerüstet, dem aktuell höchst unsicheren geopolitischen und makrofinanziellen Umfeld standzuhalten und die europäische Wirtschaft wirksam zu unterstützen. Auch im vergangenen Jahr meldeten die Banken eine robuste Kapital- und Liquiditätsausstattung sowie niedrige Bestände an notleidenden Krediten. Trotz der sinkenden Zinsen blieb die Rentabilität der Banken bislang stabil. Dank dieser soliden Fundamentaldaten, die zum Teil auf die Verbesserung des aufsichtsrechtlichen und des aufsichtlichen Rahmens seit der globalen Finanzkrise zurückzuführen sind, konnte der Bankensektor wirtschaftlichen Herausforderungen infolge der zunehmenden Spannungen und Konflikte im Welthandel, sowie Phasen hoher Finanzmarktvolatilität standhalten. Zur Resilienz des Bankensektors in den letzten Jahren trugen außerdem staatliche Maßnahmen bei, die darauf abzielten, die Realwirtschaft zu stützen und die Folgen negativer Schocks abzufedern. Die allgemeine Resilienz des Bankensektors gegenüber einem adversen Szenario, das durch geopolitische Spannungen ausgelöst wird, zeigte sich auch im diesjährigen EU-weiten Stresstest.

Die Banken müssen aber auch für kommende Herausforderungen gerüstet sein. Globale Unsicherheiten haben ein außergewöhnliches Ausmaß erreicht. Dadurch entsteht ein sehr instabiles Umfeld, in dem Risiken, die früher als abwegig galten, immer wahrscheinlicher werden. Geopolitische Spannungen und handelspolitische Verschiebungen, klima- und naturbedingte Risiken, der demografische Wandel und disruptive Technologien verstärken strukturelle Anfälligkeiten. Die Wahrscheinlichkeit, dass extreme, aber seltene Ereignisse (Tail Risks) eintreten ist höher denn je. Die Unsicherheit ist groß. Durch das Zusammentreffen all dieser Faktoren steigt das Risiko plötzlicher und gravierender Störungen mit weitreichenden Folgen für Volkswirtschaften, Finanzmärkte und Banken. So gilt einmal mehr der Appell der letzten Jahre an die Banken, wachsam zu bleiben und nicht in Selbstzufriedenheit zu verfallen.

Angesichts dieser Herausforderungen ergeben sich für den Zeitraum 2026 bis 2028 zwei Aufsichtsprioritäten: Die Banken müssen gegenüber geopolitischen Risiken und makrofinanziellen Unsicherheiten resilient bleiben (Priorität 1) und zugleich für eine starke operationelle Resilienz sowie robuste IKT-Kapazitäten sorgen (Priorität 2).

Abbildung 1

Aufsichtsprioritäten für die Jahre 2026-28 zur Beseitigung identifizierter Schwachstellen von Banken

Quelle: EZB.
Anmerkung: Diese Abbildung zeigt die beiden Aufsichtsprioritäten für die Jahre 2026-2028 und die jeweiligen Schwachstellen, die die Banken in den kommenden drei Jahren beseitigen sollen. Die EZB-Bankenaufsicht wird gezielte Aktivitäten durchführen, um die festgestellten Schwachstellen zu bewerten, zu überwachen und weiterzuverfolgen. Rechts in der Abbildung sind die übergreifenden Risikokategorien angegeben, denen die einzelnen Schwachstellen jeweils zugeordnet sind.

Jede Aufsichtspriorität zielt auf eine Reihe von spezifischen Schwachstellen im Bankensektor ab, für die spezielle strategische Ziele festgelegt und maßgeschneiderte Arbeitsprogramme ausgearbeitet wurden. In Abbildung 1 sind fünf Ziele zur Beseitigung wesentlicher Schwachstellen von Banken aufgelistet. Außerdem ist eine mittel- bis langfristige Strategie dargelegt, deren Schwerpunkt auf den Digitalstrategien, der Governance und dem Risikomanagement der Banken, insbesondere im Bereich KI, liegt. An den beiden Schwerpunkten lässt sich erkennen, dass die EZB-Bankenaufsicht entschlossen ist, einen robusten, resilienten und nachhaltigen europäischen Bankensektor zu fördern, der einer zunehmend komplexen Risikolandschaft standhalten kann.

Die Aufsichtsprioritäten zielen auf die wichtigsten und übergreifenden Schwachstellen der Banken ab und sollen einen Beitrag zur umfassenderen Arbeit der EZB-Bankenaufsicht leisten. Im Rahmen ihrer regulären Aufsichtstätigkeit adressiert die EZB-Bankenaufsicht nach wie vor auch andere relevante Risikobereiche, um die Widerstandsfähigkeit des europäischen Bankensektors gegenüber institutsspezifischen Risiken weiter zu stärken. Auch die Folgemaßnahmen zu früheren Aufsichtsprioritäten stehen im Fokus und werden im Zuge der laufenden aufsichtlichen Zusammenarbeit mit den Banken fortgeführt.

Die Aufsichtsprioritäten erhöhen die Wirksamkeit und Konsistenz der Planungsarbeit der gemeinsamen Aufsichtsteams (Joint Supervisory Teams – JSTs) und unterstützen die effiziente Ressourcenzuweisung im Einklang mit zuvor festgelegten Risikotoleranzschwellen. [2] Auch können sich die nationalen Aufsichtsbehörden an ihnen orientieren, wenn sie ihre eigenen Prioritäten für die Aufsicht über weniger bedeutender Institute nach dem Grundsatz der Verhältnismäßigkeit festlegen. Eine klare Kommunikation dieser Prioritäten trägt entscheidend dazu bei, die Erwartungen gegenüber den Banken zu klären und die Wirkung zu verstärken, die diese Aufsicht auf die weitere Erhöhung der Resilienz des europäischen Bankensektors hat. Und sie trägt dazu bei, gleiche Wettbewerbsbedingungen für alle Institute zu schaffen.

Die folgenden Abschnitte geben einen Überblick über die Risikobeurteilung 2025 und beleuchten die Aufsichtsprioritäten und Arbeitsprogramme für den Zeitraum 2026-2028.

2 Risikobeurteilung und Aufsichtsprioritäten 2026-2028

2.1 Gesamtwirtschaftliches und operatives Umfeld der beaufsichtigten Unternehmen

Im vergangenen Jahr war das gesamtwirtschaftliche Umfeld durch eine Verschärfung der Spannungen im Welthandel und eine Ausweitung geopolitischer Risiken geprägt. Dies hat zu handelspolitischen Verschiebungen und einer insgesamt höheren Unsicherheit geführt. Als Anfang April 2025 die neuen US-Einfuhrzölle angekündigt wurden, kam es zu einer massiven Verkaufswelle an den Anleihemärkten und die Angst vor einer weltweiten Rezession nahm deutlich zu. Die politische Unsicherheit, insbesondere mit Blick auf den Welthandel, erreichte ein bislang unbekanntes Ausmaß, was zu erheblicher Volatilität an den Finanzmärkten führte.[3] Spätere Ankündigungen – zunächst eine vorübergehende Aussetzung von Zollerhöhungen, dann ein Handelsabkommen zur Abwendung eines Handelskriegs zwischen den Vereinigten Staaten und der EU – lösten eine Rally an den Aktienmärkten aus. Die anfänglichen Verluste wurden dadurch zwar wieder gutgemacht, wegen der hohen Bewertungen und Risikokonzentrationen bleiben die Aktienmärkte aber anfällig für weitere Korrekturen.[4]

Trotz konjunktureller Schwankungen sind die Voraussetzungen weiterhin günstig dafür, dass das Wachstum des realen BIP im Euroraum während des Projektionszeitraums an Fahrt gewinnt, und die Inflation stabilisiert sich den Projektionen zufolge in der Nähe des mittelfristigen Inflationsziels von 2 %.[5] Die unerwartet kräftige Wirtschaftstätigkeit im ersten Quartal 2025 war teilweise darauf zurückzuführen, dass Exporte in Erwartung höherer Zölle vorgezogen wurden. In der zweiten Jahreshälfte dürfte das Wachstum daher schwächer ausfallen. Auf mittlere Sicht dürfte sich das Wachstum des realen BIP jedoch erhöhen. Dazu tragen steigende real verfügbare Einkommen, eine geringere Unsicherheit, eine stärkere Auslandsnachfrage sowie finanzpolitische Impulse in den Bereichen Verteidigung und Infrastruktur bei. Umfrageindikatoren deuten ebenfalls darauf hin, dass sich die Wirtschaftstätigkeit im verarbeitenden Gewerbe und im Dienstleistungssektor moderat ausweiten wird und signalisieren damit eine positive konjunkturelle Grunddynamik. Die Gesamtinflation stabilisiert sich den Projektionen zufolge beim mittelfristigen Zielwert von 2 %, während die Kerninflation wegen des nachlassenden Arbeitskostendrucks und der Aufwertung des Euro zurückgehen dürfte.

Die Unsicherheit hat in der zweiten Jahreshälfte zwar etwas nachgelassen, im Vergleich zu historischen Normwerten ist sie aber immer noch erhöht, was Risiken für die Wirtschaftsaussichten birgt.[6] Die Risiken für das Wirtschaftswachstum sind nun ausgewogener, da sich die Unsicherheit aufgrund der Handelsabkommen verringert hat.[7] Dennoch könnte eine erneute Verschärfung der Spannungen im Welthandel das Exportwachstum belasten sowie Investitionen und Konsumausgaben bremsen. Die anhaltenden geopolitischen Spannungen sind nach wie vor ein großer Unsicherheitsfaktor für die gesamtwirtschaftlichen Aussichten. Eine potenzielle Eintrübung der Stimmung an den Finanzmärkten könnte zu restriktiveren Finanzierungsbedingungen, einer größeren Risikoaversion und schwächerem Wachstum führen. Zudem könnte ein Mix aus unerwartet schwachem Wachstum, der Notwendigkeit höherer Verteidigungsausgaben und strukturellen Herausforderungen – wie geringe Produktivität, alternde Bevölkerung, Klimawandel und Digitalisierung – die Tragfähigkeit der Staatsverschuldung insbesondere in hoch verschuldeten Ländern gefährden.[8]

Bislang haben sich die Finanzmärkte und der europäische Bankensektor als äußerst widerstandsfähig gegenüber externen Schocks erwiesen. Hilfreich waren mitunter staatliche Stützungsmaßnahmen, einschließlich finanz- und geldpolitischer Maßnahmen. Die reichliche Liquiditätsausstattung im Finanzsystem trug entscheidend dazu bei, dass sich die Anzahl der Positionen, die im April im Zuge der Verkaufswelle an den Anleihemärkten aufgelöst wurden, in Grenzen hielt. Die Turbulenzen im Zusammenhang mit den Zollankündigungen und die damit einhergehende Zunahme der gesamtwirtschaftlichen Volatilität waren zwar erheblich, erwiesen sich aber als von kurzer Dauer. Nach der Ankündigung, dass Zollerhöhungen vorübergehend ausgesetzt werden, haben sich die Aktienmärkte rasch erholt, wobei die Vermögenspreise der europäischen Banken durch ihre soliden Fundamentaldaten gestützt wurden. Nach den handelspolitischen Schocks besteht weiterhin eine hohe Wahrscheinlichkeit weiterer geopolitischer und makrofinanzieller Spannungen. Dadurch steigt das Risiko plötzlicher Marktkorrekturen, die sich negativ auf die Finanzstabilität im Euroraum und in der Weltwirtschaft auswirken könnten. Durch die zunehmende Verflechtung zwischen Banken und Finanzinstituten außerhalb des Bankensektors könnte dieses Risiko deutlich zunehmen.[9]

Darüber hinaus könnte die Notwendigkeit hoher Staatsausgaben in Verbindung mit einem begrenzten Haushaltsspielraum in einigen Ländern Bedenken hinsichtlich der Tragfähigkeit der Staatsverschuldung aufkommen lassen, was zu steigenden Finanzierungskosten führen und Banken und Unternehmen in Mitleidenschaft ziehen würde.[10] Mit Blick auf die Zukunft könnte dies auch den politischen Spielraum einschränken, der zur Abfederung von Schocks für die Realwirtschaft zur Verfügung steht.

2.2 Priorität 1: Resilienz der Banken gegenüber geopolitischen Risiken und makrofinanziellen Unsicherheiten stärken

Das aktuelle makrofinanzielle und geopolitische Umfeld zeigt, dass eine starke finanzielle Resilienz im europäischen Bankensektor notwendig ist und dass bestimmte Bereiche stärker in den Fokus der Bankenaufsicht rücken sollten. Insbesondere sollten Banken einen verantwortungsbewussten Umgang mit Risiken sicherstellen und durch solide Kreditrichtlinien verhindern, dass sich Bestände an neuen notleidenden Krediten aufbauen. Darüber hinaus wird die Aufsicht genau darauf achten, wie Banken die neuen, risikosensitiveren Standardansätze umsetzen, die im Rahmen des CRR III/CRD VI-Bankenpakets für die Berechnung der Kapitalanforderungen der Banken vorgesehen sind. Diese neuen Regelungen sorgen dafür, dass die Kapitalanforderungen besser auf die tatsächlichen Risiken der Banken abgestimmt sind, und ihre Auswirkungen auf die Berechnung der risikogewichteten Aktiva dürften mit der schrittweisen Einführung des neuen Output-Floors zunehmen. Da die Häufigkeit von klimabedingten Katastrophen zunimmt und auf dem Weg zum Netto-Null-Ziel des Pariser Klimaschutzabkommens nur langsam Fortschritte verzeichnet werden, müssen die Banken klima- und naturbedingte Risiken besser steuern.

Geopolitische Risiken tragen entscheidend zur gesamtwirtschaftlichen Unsicherheit bei. Sie stehen daher weiterhin im Zentrum der Aufsichtsprioritäten der EZB. So werden im Rahmen des thematischen Stresstests 2026 Szenarien mit institutsspezifischen geopolitischen Risiken unterstellt, und es wird untersucht werden, ob diese die Solvabilität der Banken stark beeinträchtigen könnten.[11] Der Stresstest wird auch Aufschluss darüber geben, wie sich die von den Banken betrachteten Szenarien auf die Refinanzierungs- und Liquiditätsbedingungen der Banken auswirken könnten. Weil geopolitische Risiken übergreifend relevant sind, werden sie im Rahmen der priorisierten und der regulären Aufsichtstätigkeit betrachtet. Im Rahmen ihrer regulären Tätigkeiten wird die Aufsicht beurteilen, inwieweit die Banken in der Lage sind, geopolitischen Schocks standzuhalten, und sie wird die Erklärungen der Banken zur Angemessenheit der Kapital- und Liquiditätsausstattung, ihre Prozesse für die Liquiditäts- und Refinanzierungsplanung, ihre Sanierungspläne sowie die Rahmenwerke für interne Stresstest auf den Prüfstand stellen.

2.2.1 Priorisierte Schwachstelle: Verantwortungsbewusster Umgang mit Risiken und solide Kreditrichtlinien

Strategisches Ziel: Zur Förderung eines verantwortungsbewussten Umgangs mit Risiken sollten beaufsichtigte Unternehmen über solide Kreditrichtlinien verfügen und eine risikobasierte Preisgestaltung vornehmen. Dabei sollten sie sich an die Veränderungen des makrofinanziellen Umfelds und der spezifischen Umstände des Instituts anpassen.

Die Aktivaqualität der beaufsichtigten Unternehmen blieb im vergangenen Jahr insgesamt stabil, auch weil private Haushalte und Unternehmen die höheren Zinsen gut verkrafteten. Obgleich die Bestände an notleidenden Krediten im vergangenen Jahr leicht gestiegen sind – vor allem bei Verbraucherkrediten und bei Krediten kleiner und mittlerer Unternehmen – sind die Quoten notleidender Kredite bei den meisten beaufsichtigten Unternehmen gesunken. Die Konjunkturaussichten im Euroraum sind weiterhin insgesamt günstig, wobei niedrigere Zinssätze und ein gesünderes Verschuldungsniveau Entlastung beim Kapitaldienst versprechen. Auch die Märkte für Wohnimmobilien dürften dank der günstigen Arbeitsmarktlage robust bleiben, und im Segment für Gewerbeimmobilien zeichnet sich eine Stabilisierung ab. Der Sektor für zweitklassige Bürogebäude leidet allerdings weiterhin unter einer anhaltend schwachen Nachfrage.[12] Gleichzeitig bestehen weiterhin erhebliche Abwärtsrisiken, insbesondere aufgrund der Handelsspannungen zwischen den USA und der EU sowie allgemeiner geopolitischer Risiken. Diese könnten vor allem Sektoren mit einem hohen US-Exportanteil wie die Automobil-, Chemie- oder Pharmabranche belasten und deren Aktivaqualität beeinträchtigen. Angesichts dieser globalen Unsicherheiten begannen einige Banken, ihre Risikovorsorge zu erhöhen, auf aggregierter Ebene blieben die Risiko- und Risikovorsorgekosten jedoch insgesamt stabil. Da sich die gesamtwirtschaftlichen Bedingungen infolge sich verschärfender geopolitischer Spannungen und globaler Handelskonflikte verschlechtern könnten, ist es von zentraler Bedeutung, dass Banken bei der Vergabe neuer Kredite solide Standards anwenden.[13]

Aufsichtliche Bewertungen zeigen, dass einige Banken nach wie vor Mängel in ihren Rahmenwerken für IFRS 9 und für das Management von Kreditrisiken in anfälligen Portfolios aufweisen, wenngleich Fortschritte erzielt wurden. Im Rahmen von Vor-Ort-Prüfungen und der laufenden Aufsicht wurden Verbesserungen bei der Erfassung von sich verändernden Risiken[14] wie Klima- und Umweltrisiken festgestellt. Andauernde Mängel wie willkürliche Overlays und unzureichende Risikoerfassung bestehen jedoch fort.[15]. Die Aufsicht hat im SREP 2025 Schwachstellen in den Rahmenwerken für die Risikovorsorge und für IFRS 9 festgestellt. Sie wird die noch verbliebenen Mängel im Rahmen ihrer regulären Aufsichtstätigkeit weiterverfolgen. Die Aufsichtsbehörden haben weiterhin genau überwacht, wie Banken mit vulnerableren Schuldnern umgehen. Eine gezielte Überprüfung des Portfolios kleiner und mittlerer Unternehmen ergab wesentliche Mängel in den Bereichen Governance (u. a. verwendeten Banken veraltete Daten für ihre Bewertungen), Frühwarnsysteme (häufig nur von Ratings abhängig) und Vorsorge für finanzielle Schieflagen von Kreditnehmern. Bei Vor-Ort-Prüfungen zum Kreditrisiko im Portfolio kleiner und mittlerer Unternehmen sowie in anderen anfälligen Portfolios wie Gewerbeimmobilien wurden weiterhin Mängel im Zusammenhang mit der Risikovorsorge, den Kreditrisikomanagementprozessen (einschließlich Sicherheitenbewertung), der Governance und der Datenqualität festgestellt.

Die Bankenaufsicht wird ihren Schwerpunkt künftig auf den verantwortungsbewussten Umgang mit Risiken und auf solide Standards für die Kreditvergabe legen, um neue notleidende Kredite zu verhindern. Es wird eine thematische Überprüfung durchgeführt werden, die auf der Prüfung von 2019[16] aufsetzt und Aufschluss darüber geben soll, wie die Banken potenzielle Verluste mithilfe ihrer Rahmenwerke für die Kreditvergabe eindämmen. Darauf werden gezielte Initiativen folgen, unter anderem Abhilfemaßnahmen und Vor-Ort-Prüfungen zum Kreditrisiko, einschließlich Kreditvergaberichtlinien. Ergibt die thematische Überprüfung Mängel bei der Preisgestaltung von Krediten oder beim Kostenmanagement, werden bei den betreffenden Banken zusätzliche Überprüfungen durchgeführt, um zu beurteilen, ob die Kreditvergabepraxis mit nachhaltigen Rentabilitätszielen im Einklang steht.

2.2.1.1 Wichtigste Tätigkeiten im Rahmen des Arbeitsprogramms für die aktuellen Aufsichtsprioritäten

  • Thematische Überprüfung von Kreditvergabestandards mit dem Schwerpunkt Neukreditvergabe, um zu beurteilen, wie Banken potenzielle künftige Kreditverluste mindern wollen
  • Gezielte Überprüfung der Kreditbepreisung als Folgemaßnahme zur thematischen Überprüfung, um Preissetzungsverfahren bei Krediten und Kreditrichtlinien der Banken zu beurteilen
  • Gezielte Vor-Ort-Prüfungen zum Kreditrisiko einschließlich der Rahmenwerke der Banken für die Kreditvergabe.

2.2.2 Priorisierte Schwachstelle: Angemessene Kapitalisierung und konsistente Umsetzung der CRR III

Strategisches Ziel: Zur Sicherstellung einer angemessenen Kapitalausstattung müssen beaufsichtigte Unternehmen den neuen Standardansatz für die Berechnung ihrer Mindestkapitalanforderungen nach CRR III konsistent und korrekt umsetzen.

Das finale Basel-III-Rahmenwerk, das als Reaktion auf die globale Finanzkrise entwickelte wurde, soll Banken besser gegen wirtschaftliche Schocks wappnen und zugleich sicherstellen, dass sie die Wirtschaft finanzieren und das Wachstum stützen können. In der EU wurde dieses Rahmenwerk durch das CRR III/CRD VI-Paket umgesetzt, das am 1. Januar 2025 in Kraft trat. Mit diesem Legislativpaket werden die europäische Bankenaufsicht und Governance-Anforderungen gestärkt. Außerdem werden wesentliche Änderungen bei der Berechnung der risikogewichteten Aktiva in allen aufsichtsrechtlichen Risikokategorien eingeführt.

Daher ist es von entscheidender Bedeutung, dass die Banken den neuen Standardansatz konsistent und korrekt umsetzen, um sicherzustellen, dass die Kapitalanforderungen besser auf ihre tatsächlichen Risiken abgestimmt sind. Die relevanten aufsichtlichen Überprüfungen waren in der Vergangenheit zwar recht begrenzt, gezielte JST-Analysen und Vor-Ort-Prüfungen zur Umsetzung des Standardansatzes deuteten aber allesamt auf wesentliche Mängel hin. Diese sind auf Fehler bei der Klassifizierung von Risikopositionen, der Zuweisung von Risikogewichten, der Sicherheitenbewertung oder auf unzulängliche Kontrollen seitens der Risikokontrollfunktionen zurückzuführen.

Künftig wird eine engmaschigere aufsichtliche Kontrolle nötig sein, damit der zunehmenden Bedeutung des Standardansatzes bei Bestimmung der Kapitalausstattung der Banken – auch durch die Berechnung des neuen Output-Floors – Rechnung getragen wird. In Bezug auf das Kreditrisiko wird die Aufsicht die Umsetzung des Standardansatzes unter Berücksichtigung der durch die CRR III eingeführten Änderungen prüfen. Die Aufsicht wird gezielte Vor-Ort-Prüfungen mit gezielten Überprüfungen kombinieren, um die Angemessenheit der Rahmenwerke der Banken für die Kapitalanforderungen zu beurteilen. Die Behebung der in diesem Zusammenhang festgestellten Mängel wird Gegenstand regelmäßiger JST-Folgemaßnahmen sein. Für das operationelle Risiko wird in der CRR III ein neuer, nicht modellbasierter Ansatz eingeführt, der für alle Banken gilt und den bisherigen Ansatz ersetzt. Ähnlich wie beim Kreditrisiko werden die Aufsichtsbehörden eine erste Überprüfung durchführen, um auf der Grundlage der gemeldeten risikogewichteten Aktiva und anderer qualitativer Bewertungen potenzielle Ausreißer zu ermitteln. Banken mit einem höheren Risiko für eine Fehlberechnung werden anschließend einer gezielten Überprüfung unterzogen. Was das Marktrisiko betrifft, so werden die entsprechenden gezielten Überprüfungen nur auf Antrag der JSTs durchgeführt, je nachdem, was sich diesbezüglich aus ihrem ständigen Dialog mit den Banken ergibt. Hintergrund ist die Verschiebung des Termins für die erstmalige Anwendung der grundlegenden Überarbeitung des Handelsbuchs (Fundamental Review of the Trading Book).

2.2.2.1 Wichtigste Tätigkeiten im Rahmen des Arbeitsprogramms für die aktuellen Aufsichtsprioritäten

  • Kreditrisiko: gezielte Überprüfungen und gezielte Vor-Ort-Prüfungen mit dem Schwerpunkt auf der Berechnung von risikogewichteten Aktiva nach dem Standardansatz
  • Operationelle Risiken: gezielte Überprüfungen zur Berechnung der Geschäftsindikatorkomponente als Hilfsmittel für die Ermittlung der entsprechenden Kapitalanforderungen

2.2.3 Priorisierte Schwachstelle: Umsichtige Steuerung von klima- und naturbedingten Risiken

Strategisches Ziel: Banken sollten kurz-, mittel- und langfristige Risiken, die sich aus Klima- und Naturkrisen ergeben, effektiv bewerten und steuern und anhaltende Mängel in ihren entsprechenden Risikomanagementrahmen beheben.

Bei einer Erderwärmung um mehr als 1,5 % gegenüber der vorindustriellen Durchschnittstemperatur und da Europa sich schneller erwärmt als alle anderen Kontinente,[17] werden klima- und naturbedingte Ereignisse immer häufiger auftreten und immer kostspieliger werden. Ereignisse wie die jüngsten Überschwemmungen und Waldbrände in ganz Europa zeigen, welch hohen Tribut Klima- und Naturkrisen von Menschen und Wirtschaft fordern. [18] Dabei sind nur rund 25 % der Schäden, die durch Naturkatastrophen verursacht werden, durch Versicherungen abgedeckt. Diese große und sich ausweitende Versicherungslücke birgt weitere Risiken für das BIP-Wachstum und möglicherweise auch für Risikopositionen in den Bankbilanzen.[19] Und durch die schleppenden Fortschritte der globalen Volkswirtschaften auf dem Weg zum Netto-Null-Ziel des Pariser Klimaschutzabkommens erhöht sich das Transitionsrisiko.[20] Ein ungeordnetes „Run-on-brown“-Übergangsszenario [21] in Verbindung mit einer Rezession könnte bei europäischen Banken zu erheblichen Verlusten aus Kredit- und Marktrisiken führen.[22]

Die bedeutenden Institute haben erhebliche Fortschritte erzielt und sind gut aufgestellt, um die aufsichtsrechtlichen Anforderungen an die Übergangsplanung zu erfüllen. Die europäischen Banken haben im Umgang mit Risiken aus Klima- und Naturkrisen große Fortschritte gemacht. Während sich 2019 nicht einmal ein Viertel der Banken im Euroraum mit diesen Risiken auseinandergesetzt hatte, setzen die Banken nun immer mehr fortgeschrittene Verfahren zur Identifizierung, Überwachung und – vor allem – Steuerung von Klima- und Naturrisken ein. 2022 gab es bei knapp 80 % der Banken entweder nur grundlegende oder gar keine Verfahren zur Steuerung dieser Risiken. Angesichts des damals eingeschränkten Vorbereitungsstandes appellierte die Bankenaufsicht nach der thematischen Überprüfung 2022 der Klima- und Umweltrisiken und dem Stresstest 2022 zu Klimarisiken an die Banken, ihre Fortschritte zu beschleunigen. In diesem Sinne legte sie klare Zwischenziele für 2023 und endgültige Ziele für Ende 2024 fest. Bis dahin sollten die Banken ihre Verfahren an die aufsichtlichen Erwartungen anzupassen und dabei ihren Besonderheiten Rechnung tragen. Es ist erfreulich, dass die Zahl der Banken, denen es an grundlegenden Steuerungselementen fehlt, in den letzten Jahren stark zurückgegangen ist.[23] Dank der Fortschritte, die die Banken bei der Steuerung von Klima- und Naturrisiken erzielt haben, können sie interne Kapazitäten ausbauen, um andere Risiken wie geopolitische Risiken wirksam zu steuern. Die Analyse von Lieferketten und des Konzentrationsrisiken – um beispielsweise Kenntnisse über den geografischen Fußabdruck, Abhängigkeiten und Schwachstellen von Kunden zu erlangen – sowie die Szenarioplanung und ein Stresstestrahmen – etwa das Ausarbeiten und Testen plausibler, aber unsicherer Szenarien – sind nur einige Bereiche, die in den vergangenen Jahren von der verbesserten Steuerung klima- und naturbedingter Risiken profitiert haben. Diese Ansätze können herangezogen werden, um die Auswirkungen anderer übergreifender Risikofaktoren, wie geopolitische Risiken, zu überwachen und zu bewerten.

Die Fortsetzung der Anstrengungen bleibt entscheidend. Ein Blick auf die sich verändernde Risikolandschaft zeigt, dass klima- und naturbedingte Risiken zunehmen[24] und dass Klimarisiken im Gegensatz zu zyklischen Risikotreibern einen dauerhaften Schock darstellen, der nur eine Richtung kennt und schwerwiegende langfristige Auswirkungen auf die Preise von Wohnimmobilien und anderen Vermögenswerten hat.[25] Dieser Trend spiegelt sich auch in aktuelleren Wesentlichkeitsbeurteilungen der Banken wider: 90 % der befragten Banken gehen davon aus, dass sie wesentlichen klima- und naturbedingten Risiken ausgesetzt sind. 2021 waren es noch rund 50 %. Zudem stehen die Modellierung und Quantifizierung von klima- und naturbedingten Risiken noch am Anfang, und es kommt zuweilen zu erheblichen Unterschätzungen, etwa in Modellen für physische Risiken.[26] Die EZB-Bankenaufsicht beobachtet auch die anhaltenden Herausforderungen, einschließlich physischer Risiken, sowie die Häufung institutsspezifischer Schwachstellen bei einzelnen Banken, insbesondere im Hinblick auf die Vollständigkeit ihrer Verfahren. Die Aufsicht wird diese Mängel daher im Rahmen ihrer regulären Aufsichtstätigkeit weiterverfolgen.

Die Aufsicht wird die Fortschritte der Banken und deren Mängelbehebung weiterhin überwachen. Ihre gezielten Überprüfungen werden sich auf die aufsichtsrechtlichen Anforderungen an die Übergangsplanung sowie anhaltende Probleme bei der Einhaltung aufsichtlicher Erwartungen und Anforderungen an die Steuerung von klima- und naturbedingten Risiken konzentrieren. Im Einklang mit der CRD VI werden die Banken aufgefordert, prudenzielle Übergangspläne zu entwickeln, die von den Aufsichtsbehörden gemäß den EBA-Leitlinien für das Management von ESG-Risiken geprüft werden. Die EZB-Bankenaufsicht wird einen schrittweisen und zielgerichteten Ansatz verfolgen und den Schwerpunkt auf die neuen Elemente dieser EBA-Leitlinien legen. Nach einem informellen Austausch mit den Banken wird sie eine thematische Überprüfung durchführen. Darüber hinaus wird die Aufsicht weiterhin die Einhaltung der Säule-3-Offenlegungspflichten in Bezug auf Umwelt, Soziales und Governance überwachen und die entsprechenden Angaben zu physischen Risiken gezielt überprüfen. Die EZB-Bankenaufsicht wird weiterhin die Kapazitäten der Banken für den Umgang mit anhaltenden Herausforderungen untersuchen, auch im Hinblick auf physische Risiken. Darüber hinaus werden gezielte Vor-Ort-Prüfungen den Fokus auf die Steuerung von klima- und naturbedingten Risiken richten, entweder in Form einer eigenständigen Prüfung mit Schwerpunkt auf klima- und naturbedingten Risiken oder im Rahmen risikospezifischer Vor-Ort-Prüfungen, wie etwa zum Kreditrisiko. Und schließlich beabsichtigt die EZB-Bankenaufsicht zu gegebener Zeit ihr Kompendium bewährter Verfahren für klima- und naturbedingte Risiken zu aktualisieren.

Wichtigste Tätigkeiten im Rahmen des Arbeitsprogramms für die aktuellen Aufsichtsprioritäten

  • Gezielte Nachverfolgung und Überwachung der Behebung noch verbliebener Mängel aus der thematischen Überprüfung 2022 und dem Stresstest zu Klimarisiken
  • Thematische Überprüfung der Übergangsplanung von Banken nach Maßgabe des CRD-VI-Pakets
  • Horizontale Analyse der Einhaltung der Säule-3-Offenlegungspflichten in Bezug auf Umwelt, Soziales und Governance
  • Eingehende Überprüfung der Kapazitäten der Banken für den Umgang mit anhaltenden Herausforderungen, einschließlich physischer Risiken
  • Gezielte Vor-Ort-Prüfungen zur Steuerung von klima- und naturbedingten Risiken, entweder als eigenständige Prüfungen oder im Rahmen geplanter Prüfungen zu anderen Risikobereichen

2.3 Priorität 2: Operationelle Resilienz der Banken stärken und robuste IKT-Kapazitäten fördern

Robuste und belastbare Rahmen für das Management operationeller Risiken sowie starke IKT-Kapazitäten tragen entscheidend dazu bei, neu auftretende Risiken einzudämmen und Störungen bei kritischen Geschäftsprozessen und Dienstleistungen zu verhindern. Anfang 2025 ist die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act – DORA) in Kraft getreten. Die Banken müssen nun sicherstellen, dass sie die entsprechenden Anforderungen konsequent und zügig umsetzen. Dies gilt insbesondere für das IKT-Drittparteienrisiko und das Reaktionsmanagement bei Sicherheitsvorfällen. Wichtig ist auch nach wie vor, dass die wesentlichen Mängel beseitigt werden, die im Rahmen früherer aufsichtlicher Überprüfungen der Cybersicherheit, des Managements des Drittparteienrisikos und der Aggregation von Risikodaten und Risikoberichterstattung (RDARR) festgestellt wurden. Im Rahmen einer mittel- bis längerfristigen Strategie und angesichts der zunehmenden Digitalisierung des Bankgeschäfts wird die EZB ihre Zusammenarbeit mit den Banken schrittweise verstärken, um zu erfahren, wie die Banken neue Technologien und insbesondere KI einsetzen, um die potenziellen Vorteile zu nutzen, und gleichzeitig die damit verbundenen Risiken im Auge behalten. Dies wird in die Entwicklung eines künftigen aufsichtlichen Ansatzes einfließen.

2.3.1 Priorisierte Schwachstelle: Robuste und belastbare Rahmen für die Steuerung operationeller Risiken

Strategisches Ziel: Die Banken sollten ihre Fähigkeiten ausbauen, Störungen bei kritischen Geschäftsprozessen und Dienstleistungen zu verhindern, diesen standzuhalten und sich von ihnen zu erholen. Sie sollten darum belastbare und widerstandsfähige Rahmen für die Steuerung operationeller Risiken ausarbeiten und weiterentwickeln. Außerdem sollten sie weiterhin daran arbeiten, die bereits früher in den Bereichen Cybersicherheit und Management des Drittparteienrisikos festgestellten Mängel rasch und wirksam zu beheben und die Bestimmungen der DORA-Verordnung vollumfänglich zu erfüllen.

Die Cyberbedrohungslage verändert sich schnell, was durch die geopolitischen Risiken noch verstärkt wird. Die Kapazitäten der Banken für die Cybersicherheit und das Management des Drittparteienrisikos werden kontinuierlich auf die Probe gestellt. Die Meldungen schwerwiegender Cybervorfälle haben sich in den letzten Jahren verdoppelt.[27] Ransomware-Angriffe werden immer komplexer, und staatlich gelenkte Aktivitäten, zu denen auch hybride Bedrohungen wie Informationsmanipulation gehören, stellen eine permanente Bedrohung dar und erfordern ständige Wachsamkeit.[28] Die Banken haben sich gegenüber solchen Angriffen – wie auch gegenüber anderen operativen Störfällen – als widerstandsfähig erwiesen. Größere Störungen konnten sie verhindern. Doch jüngste Ereignisse wie die Stromausfälle in Europa machen deutlich, wie wichtig es ist, dass die Banken Maßnahmen zur Minderung der Risiken, denen ihre kritischen Infrastrukturen ausgesetzt sind, entwickeln. Und sie sollten zu diesem Zweck wirksame Notfallpläne einführen und dabei alle kritischen Informationssysteme und eine Vielzahl von plausiblen Szenarien abdecken. [29] Fortschritte bei der Entwicklung von KI-Anwendungen können die Cybersicherheit der Banken ebenfalls erheblich auf die Probe stellen. Denn werden die damit verbundenen Sicherheitsrisiken unterschätzt, bevor diese Anwendungen installiert werden, können in den IKT-Systemen der Banken kritische Schwachstellen entstehen.[30] Aus den regelmäßigen Meldungen an die Aufsicht geht hervor, dass Banken in hohem Maße von ein paar wenigen Drittanbietern abhängig sind, von denen ein Großteil außerhalb der EU ansässig ist. [31] Dies erhöht die Komplexität der Auslagerungsvereinbarungen der Banken und macht sie insbesondere angesichts der geopolitischen Spannungen anfälliger.

Die aggregierten Ergebnisse des SREP 2025 und die Erkenntnisse aus den Aufsichtstätigkeiten bestätigen, dass die IKT-Risikomanagementverfahren der Banken gestärkt werden müssen. Die schlechtesten Scorewerte im SREP werden nach wie vor für das operationelle und das IKT-Risiko vergeben. Die aufsichtlichen Überprüfungen haben wiederkehrende Schwachstellen in den Cybersicherheitsstrategien, Mängel beim Management von Cybervorfällen und Lücken in den Rahmen für das Management des Drittparteienrisikos ergeben. [32] Mit dem kürzlich fertiggestellten Leitfaden zur Auslagerung von Cloud-Diensten an Cloud-Anbieter adressiert die EZB-Bankenaufsicht die zunehmende Nutzung von cloudbasierten Lösungen durch die Banken. In dem Leitfaden werden die aufsichtlichen Erwartungen beschrieben, die hinsichtlich der Umsetzung der DORA-Anforderungen bestehen. Er enthält Beispiele bewährter Verfahren für die Steuerung der Risken, die sich aus der Auslagerung an Cloud-Anbieter ergeben. Der Leitfaden soll aber auch einheitliche Wettbewerbsbedingungen für alle beaufsichtigten Unternehmen gewährleisten.

Die EZB-Bankenaufsicht wird künftig die ordnungsgemäße und einheitliche Umsetzung der DORA-Anforderungen vorantreiben. Die Einhaltung von DORA wird im Hinblick auf ein breites Spektrum an Tätigkeiten geprüft. Bislang waren die aufsichtlichen Überprüfungen auf die IT-Sicherheit/Cyberresilienz und die Steuerung von IT-Auslagerungsrisiken ausgerichtet. Von nun an werden gezielte Folgemaßnahmen bei denjenigen Banken stattfinden, die in diesen Bereichen wesentliche Mängel aufweisen. Ziel ist die wirksame und zeitnahe Behebung dieser Mängel. Zu diesem Zweck werden zwei Vor-Ort-Prüfungskampagnen mit Schwerpunkt Cybersicherheit und Management des Drittparteienrisikos durchgeführt werden. Im Fokus werden Banken stehen, die von den JSTs als anfällig eingestuft werden. Zu den neuen Aufgaben der Aufsicht gemäß DORA zählen auch bedrohungsorientierte Penetrationstests. Sie sollen dazu beitragen, die Cyberresilienzstrategien der Banken zu verbessern. Zudem wird die Bankenaufsicht auf Basis des veröffentlichten Leitfadens zur Auslagerung von Cloud-Diensten eine eingehende Überprüfung (Deep Dive) durchführen. Dabei wird bewertet, inwieweit die überprüften Banken auf potenzielle Betriebsstörungen vorbereitet sind, die durch einen großen Cloud-Anbieter verursacht werden. Häufig sind IKT-Systemänderungen die Ursache von ungeplanten Ausfallzeiten bei Banken. Die EZB-Bankenaufsicht wird daher eine gezielte Überprüfung zum IKT-Änderungsmanagement durchführen. Ziel ist es, Lücken in den grundlegenden Kontrollrahmen zu ermitteln und die Kapazitäten der Banken für das Änderungsmanagement zu verbessern.

Die Überwachung kritischer Drittdienstleister im Rahmen des DORA-Überwachungsrahmens beginnt im Januar 2026. Die EZB-Bankenaufsicht befürwortet diesen neuen Überwachungsrahmen nachdrücklich. Er wird dazu beitragen, die digitale operationelle Resilienz des gesamten EU-Finanzsektors zu stärken. Die Überwachung kritischer Drittdienstleister durch die Institute soll das solide Management des Drittparteienrisikos ergänzen, es aber nicht ersetzen.

2.3.1.1 Wichtigste Tätigkeiten im Rahmen des Arbeitsprogramms für die aktuellen Aufsichtsprioritäten

  • Gezieltes Follow-up zu den Strategien für die Mängelbehebung bei allen Banken, die bei der IKT-Sicherheit/Cyberresilienz und IKT-Auslagerung wesentliche Mängel aufweisen
  • Zwei Vor-Ort-Prüfungskampagnen zum Cybersicherheitsmanagement und zum Management des Drittparteienrisikos im Einklang mit den neuen DORA-Anforderungen
  • Bedrohungsorientierte Penetrationstests, um Schwachstellen der Banken zu ermitteln und ihre Widerstandsfähigkeit im Bereich der Cybersicherheit zu verbessern
  • Gezielte Überprüfung des IKT-Änderungsmanagements
  • Eingehende Überprüfung der Abhängigkeit der Banken von Cloud-Anbietern um zu beurteilen, inwieweit die Banken auf mögliche Störungen dieser Dienste vorbereitet sind

2.3.2 Priorisierte Schwachstelle: Mängel bei den Kapazitäten für die Risikoberichterstattung und zugehörigen Informationssystemen

Strategisches Ziel: Zur Förderung eines soliden Risikomanagements und einer wirksamen Entscheidungsfindung sollten die Banken ihre Anstrengungen verstärken und die in ihren RDARR-Rahmen festgestellten wesentlichen Schwachstellen wirksam und zeitnah beheben. Sie sollten zudem dafür sorgen, dass diese mit den aufsichtlichen Erwartungen in Einklang stehen, die im EZB-Leitfaden festgelegt sind.

Das unsichere geopolitische Umfeld und die rasante Digitalisierung von Bankgeschäften und -dienstleistungen machen deutlich, wie wichtig widerstandsfähige interne Informationssysteme und robuste RDARR-Kapazitäten sind. Aktuelle und genaue Risikoinformationen sind für eine effiziente Steuerung, eine zeitnahe strategische Entscheidungsfindung und ein wirksames Krisenmanagement von entscheidender Bedeutung. Ein starker RDARR-Rahmen ermöglicht Banken außerdem, Digitalisierungstools und -technologien wie KI und fortgeschrittene Analysetechniken zu nutzen.[33]

Die beaufsichtigten Unternehmen kommen mit der Behebung der strukturellen Mängel in ihren RDARR-Rahmen aber nach wie vor nur langsam voran. Die Aufsichtstätigkeiten im vergangenen Jahr haben ergeben, dass die Banken ihre Anstrengungen zur Mängelbehebung verstärken und die Lücken schließen müssen, die im Hinblick auf die aufsichtlichen Erwartungen bestehen. Die Ergebnisse des SREP 2025 deuten auf anhaltende Mängel in den RDARR-Rahmen der Banken hin. Der durchschnittliche Scorewert für dieses Element hat sich gegenüber dem Vorjahr nicht verbessert. Die Vor-Ort-Prüfungskampagnen 2022-2024 und die gezielten Überprüfungen der RDARR-Rahmen im Jahr 2024 haben Schwachstellen offengelegt. Diese betrafen 1) die Datengovernance-Rahmen der Banken, auch hinsichtlich der Vollständigkeit der Daten und der angemessenen Einbindung der Leitungsorgane, 2) die Dateninfrastruktur und IT-Architektur der Banken und 3) die Genauigkeit und Integrität der Daten. Die gezielten Überprüfungen 2024 deuteten außerdem darauf hin, dass Lücken in Bezug auf die BCBS-239-Grundsätze und die diesbezüglichen aufsichtlichen Erwartungen, die im EZB-Leitfaden zur effektiven Aggregation von Risikodaten und zur Risikoberichterstattung beschrieben sind, bestehen.

Die Aufsichtsmaßnahmen werden intensiviert, um sicherzustellen, dass die Banken ihre RDARR-Rahmen und -Kapazitäten verbessern und die diesbezüglichen aufsichtlichen Erwartungen erfüllen. Im Dezember 2024 genehmigte das Aufsichtsgremium der EZB eine systemweite Strategie für alle beaufsichtigten Unternehmen, um die Erfüllung der aufsichtlichen Erwartungen zu überwachen und gegebenenfalls die Abhilfestrategien beaufsichtigter Unternehmen nachzuverfolgen. Im Mittelpunkt stand zunächst die Verantwortlichkeit der Leitungsorgane für die Überwachung und die Umsetzung des RDARR-Rahmens. Später kamen nach und nach andere aufsichtliche Erwartungen wie das Datenqualitätsmanagement und die IT-/Datenarchitektur hinzu. Die Maßnahmen der Aufsicht werden sich an einem klar definierten Mängelbehebungs- und Eskalationsprozess orientieren, und bei Bedarf wird auf das bestehende aufsichtliche Instrumentarium zurückgegriffen. Gezielte Vor-Ort-Prüfungen werden durchgeführt werden, um zusätzliche Informationen darüber zu erhalten, wie die Banken damit vorankommen, die Lücken bei den schwerwiegenden und komplexeren Feststellungen zu schließen.

2.3.2.1 Wichtigste Tätigkeiten im Rahmen des Arbeitsprogramms für die aktuellen Aufsichtsprioritäten

  • Systemweite Strategie und entsprechende aufsichtliche Überprüfungen, um zu überwachen, inwieweit Banken die aufsichtlichen Erwartungen an die RDARR-Rahmen erfüllen, und effektive Behebung der wichtigsten Feststellungen
  • Gezielte Vor-Ort-Prüfungen zu den RDARR-Rahmen bei allen Banken, bei denen eine weitergehende Überprüfung erforderlich ist, sowie gezielte Vor-Ort-Prüfungen zu den schon früher getroffenen schwerwiegenden Feststellungen

2.3.3 Strategie für mittel- bis langfristige Prioritäten mit Fokus auf Digitalstrategien, Governance und Risikomanagement der Banken, insbesondere im Bereich KI

Strategisches Ziel: Wenn Banken neue Technologien und insbesondere KI einsetzen, um ihre Effizient zu steigern und Innovationen zu fördern, müssen sie über Strategien verfügen, die den aus den entsprechenden Anwendungen resultierenden Chancen und Risiken effektiv Rechnung tragen. Und sie müssen eine solide Governance und robuste Risikokontrollen aufbauen, um die zugrunde liegenden Risiken zu steuern.

Die beaufsichtigten Unternehmen sollten dem Thema Digitalisierung Priorität einräumen, um ihre Wettbewerbsfähigkeit zu stärken, und die sich aus neuen Technologien ergebenden Risiken wirksam steuern. Der rasche technologische Wandel insbesondere im KI-Bereich verändert den Bankensektor. Die Institute müssen strategisch handeln, um auf lange Sicht Wert zu schöpfen, und ihre Geschäftsmodelle anpassen. Sowohl angebotsseitige Faktoren einschließlich der erschwinglicheren und breiteren Verfügbarkeit technischer Ressourcen wie Modellentwicklung und Cloud-Speicherung, als auch nachfrageseitige Faktoren einschließlich der erwarteten Effizienzgewinne und des stärkeren Wettbewerbs führen zu einem breiteren Einsatz von KI in den Banken. Hierbei wird häufig auf den intern gebildeten Modellierungskapazitäten aufgebaut. KI hat zwar das Potenzial, das Risikomanagement und die Informationsverarbeitung zu verbessern und durch Automatisierung Effizienzgewinne zu erzielen. Die damit verbundenen Risiken könnten aber umso deutlicher zutage treten, je ausgiebiger die jeweiligen KI-Anwendungen genutzt werden. Generative KI-Tools stellen in diesem Zusammenhang einen bedeutenden technologischen Fortschritt dar, der erhebliche Auswirkungen auf die Banken haben könnte. Während sich die Technologie stetig weiterentwickelt, wird der aufsichtliche Fokus technologieneutral und auf die Anwendungsfälle und Risiken ausgerichtet bleiben. Der zunehmende Einsatz von KI-Tools in Instituten unter prudenzieller Aufsicht wie auch in solchen, die nicht unter prudenzieller Aufsicht stehen, erfordert daher einen strukturierten und ganzheitlichen Ansatz, der auch Strategien, Governance und Risikomanagement im Bereich KI einschließt. Die Aufsicht muss ihrerseits im Rahmen ihres Aufsichtsschwerpunkts ihre Bewertungsrahmen verfeinern, um die Strategien der Banken im Bereich KI besser zu beurteilen, die Einführung von in der Branche bewährten Verfahren voranzutreiben und sicherzustellen, dass angemessene Sicherheitsvorkehrungen getroffen werden. Diese Priorität soll der Aufsicht dabei helfen, sich strategisch zu positionieren sowohl was die Chancen als auch die Risiken, die mit KI-Anwendungen einhergehen, betrifft, und sie soll den Weg für mögliche Anpassungen des Aufsichtsinstrumentariums ebnen. So kann die EZB-Bankenaufsicht die Banken dabei unterstützen, die neu auftretenden Risiken proaktiv anzugehen, und den üblichen kurz- bis mittelfristigen Fokus der Aufsichtsprioritäten mit einer längerfristigen strategischen Perspektive überbrücken.

In den letzten Jahren hat die EZB-Bankenaufsicht Aspekte ermittelt, die wichtig sind, damit die digitale Transformation der Banken nachhaltig, geregelt und risikobewusst verläuft. Aus dem im vergangenen Jahr veröffentlichten Bericht der EZB-Bankenaufsicht zu den wichtigsten Bewertungskriterien und bewährten Verfahren im Bereich der Digitalisierung geht hervor, dass die KI-Einführungsrate bei Bankdienstleistungen deutlich gestiegen ist. Die gezielten Überprüfungen und Vor-Ort-Prüfungen, die von 2024 bis 2025 stattfanden, haben diese Entwicklung bestätigt. Die KI-Anwendungsfälle decken zwar ein breites Spektrum von Aktivitäten ab, im Rahmen vergangener aufsichtlicher Untersuchungen war jedoch zu erkennen, welche Bedeutung die Einführung von KI in den Bereichen Kreditscoring und Betrugserkennung hat und welches aufkeimende, aber stark disruptive Potenzial generative KI birgt. [34] Seit 2025 überwacht die EZB-Bankenaufsicht die Nutzung von KI und generativer KI in verstärkten Maße und erhebt hierzu Daten bei den Banken. Die Aufsicht hat den Austausch mit den Banken vertieft, um bestimmte Anwendungsfälle besser zu verstehen und deren Auswirkungen und Relevanz unter dem Aspekt der mikroprudenziellen Risiken zu bewerten.

Die EZB-Bankenaufsicht wird die allgemeine Nutzung von KI auch in Zukunft weiter überwachen, dabei aber einen gezielteren Ansatz verfolgen und sich auf die generativen KI-Anwendungen der Banken zu konzentrieren. Durch die Fokussierung auf generative KI sollen die laufenden Prüfungen auf die KI-Anwendungen ausgedehnt werden, die Konsequenzen für die prudenzielle Aufsicht haben. Dies dürfte dazu führen, dass künftig auf breiterer Basis bewertet wird, welche Bedeutung aktuelle und zukünftige Entwicklungen bei Banken auf diesem Gebiet für die prudenzielle Aufsicht haben, und dass sich die Aufsicht zur Wesentlichkeit dieser KI-Anwendungen und zu den damit verbundenen Risiken positioniert, und so die Voraussetzungen für künftige Überprüfungen geschaffen werden. Parallel dazu beteiligt sich die EZB-Bankenaufsicht an den Beratungen über die Umsetzung des EU-Gesetzes über künstliche Intelligenz. Sie beabsichtigt auch, mit den Marktüberwachungsbehörden auf nationaler Ebene sowie mit der Europäischen Bankenaufsichtsbehörde zusammenzuarbeiten.

Über das Thema KI hinaus wird die EZB-Bankenaufsicht ihre Tätigkeiten zur strategischen Früherkennung fortsetzen, um auch künftig stets einen Schritt voraus zu sein. Das Umfeld des Bankensektors ist in einem rapiden Wandel begriffen, der sowohl durch technologische Innovationen als auch durch das Aufkommen von Nichtbanken angetrieben wird. Die strategische Früherkennung ermöglicht, strukturelle Trends und Risikotreiber, die die Zukunft der Banken mittel- bis langfristig beeinflussen dürften, zu erkennen und zu verstehen. Außerdem unterstützt sie die schrittweise Berücksichtigung der zugrunde liegenden Erkenntnisse in den Aufsichtsrahmen und der Aufsichtsstrategie. So können das schnelle Wachstum von Stablecoins sowie die steigende Anzahl von Anwendungsfällen und die zugrunde liegende Komplexität, aber auch die Folgen für die Banken – darunter die Bereitstellung von Finanzdienstleistungen für Emittenten von Stablecoins – erhebliche Risiken bergen, wenn sie nicht richtig verstanden und gemanagt werden. Dementsprechend wird die Aufsicht auch in diesem Bereich die Entwicklungen beobachten und gezielt mit den Banken zusammenarbeiten, um auch hier ein robustes Risikomanagement zu gewährleisten.

2.3.3.1 Wichtigste Tätigkeiten im Rahmen des Arbeitsprogramms für die aktuellen Aufsichtsprioritäten

  • Gezielte horizontale Workshops mit ausgewählten Banken zu generativen KI-Anwendungen, damit die Aufsicht besser nachvollziehen kann, wie Banken diese Anwendungen einsetzen
  • Zusammenarbeit mit den für das EU-Gesetz über künstliche Intelligenz zuständigen Marktüberwachungsbehörden und mit der Europäischen Bankenaufsichtsbehörde

Kasten 1
Der Aufsichtszyklus – integrierte Planung der Aufsichtstätigkeiten

Die Entwicklung von Aufsichtsprioritäten und die strategische Planung sind für eine wirksame Aufsicht und den effizienten Planungsprozess der Banken von entscheidender Bedeutung. Einem integrierten Ansatz folgend fließen die Aufsichtsprioritäten in die Planung der Aufsichtstätigkeiten für den nächsten Zyklus ein. Zu den wichtigsten Komponenten gehören die Planung von horizontalen Aktivitäten, Vor-Ort-Prüfungen und JST-Initiativen.[35]

Die integrierte Planung umfasst alle Aufsichtstätigkeiten einschließlich der laufenden Aufsichtstätigkeit, der Vor-Ort-Prüfungen sowie der horizontalen und bankspezifischen Aufsichtstätigkeiten. Wenn die allgemeinen Aufsichtsprioritäten festgelegt und die horizontalen Tätigkeiten ausgewählt sind, legen die JSTs die wichtigsten Ziele und Aktivitäten für jedes beaufsichtigte Unternehmen fest. Diese werden im aufsichtlichen Prüfungsprogramm (Supervisory Examination Programme – SEP) zusammengefasst. Der Prozess umfasst die Ermittlung der Relevanz der einzelnen Risiken vor dem Hintergrund der eigenen Schwachstellen der Bank und die Festlegung aufsichtlicher Maßnahmen im Einklang mit den Aufsichtsprioritäten und Risikotoleranzschwellen. Auf der Grundlage dieser Bewertungen arbeitet die Aufsicht Arbeitsprogramme aus, die auf das Risikoprofil des beaufsichtigten Unternehmens zugeschnitten sind und alle Aufsichtstätigkeiten umfassen. Die SEPs werden den Banken jedes Jahr zu Beginn des Aufsichtszyklus übermittelt, um Transparenz und Berechenbarkeit zu gewährleisten.

Die unterschiedlichen Elemente der Arbeitsprogramme werden so ausgewählt, dass eine risikobasierte und verhältnismäßige Aufsicht durch die EZB gewährleistet ist und die Ressourcen aufseiten der Banken und der Aufsicht so effizient wie möglich eingesetzt werden. Das bedeutet, dass das Maß an Aufsichtstätigkeit bei den einzelnen Instituten unterschiedlich ist – je risikoreicher eine Bank, desto intensiver die Aufsicht. Es besteht ein direkter Zusammenhang zwischen dem Gesamtrisikoprofil eines Kreditinstituts und dem Maß an Aufsichtstätigkeit.

Im Rahmen ihrer laufenden Reformen zur Verbesserung der Effizienz und Wirksamkeit der Bankenaufsicht ist die EZB derzeit dabei, unter Beibehaltung eines klaren Risikoschwerpunkts ihre Aufsichtsplanung zu verfeinern. Die Verbesserungen zielen darauf ab, die Aufsichtstätigkeiten stärker aufeinander abzustimmen und zu integrieren, damit sie sich besser ergänzen und Doppelarbeit vermieden wird. Zu den spürbaren Verbesserungen, von denen Banken und Aufsicht profitieren, gehören 1) die Festlegung von Aufsichtsprioritäten, die auf bestimmte Schwachstellen von Banken abzielen, und die anschließende Entwicklung stärker gestraffter Aufsichtstätigkeiten zur Erreichung der entsprechenden strategischen Ziele, 2) Stärkung der Synergien zwischen horizontalen Aktivitäten, Vor-Ort-Prüfungen und Aktivitäten der JSTs, um die Anzahl der sich überschneidenden Anfragen an Banken zu ähnlichen Themen zu reduzieren und 3) die frühzeitigere Übermittlung der SEPs, was eine bessere Planung und Reihenfolge der Abhilfemaßnahmen der Banken ermöglicht.

Aufsichtstätigkeiten in den Arbeitsprogrammen

  • Thematische Überprüfungen: Thematische Überprüfungen sind zentral koordinierte Tätigkeiten. Sie finden bei den meisten beaufsichtigten Unternehmen statt. Der Fokus liegt auf dem Zusammentragen von Fakten und dem Benchmarking gegenüber den vom Aufsichtsgremium festgelegten Aufsichtsprioritäten. Auf der Grundlage der Ergebnisse der thematischen Überprüfungen kann die EZB aufsichtliche Leitfäden[36] erstellen, die systemweite Risikoidentifizierung verbessern und bewährte Verfahren fördern.
  • Gezielte Überprüfungen: Die gezielten Überprüfungen finden bei einem kleineren Kreis von beaufsichtigten Instituten statt. Sie haben eine ähnliche Zielsetzung wie die thematischen Überprüfungen, konzentrieren sich aber auf spezifischere Aspekte und werden auf der Grundlage eines risikobasierten Ansatz durchgeführt. Die Auswahl der Institute erfolgt auf Basis der vom jeweiligen JST für das betreffende beaufsichtigte Unternehmen festgelegten Risikotoleranz.
  • Eingehende Überprüfungen: Bei den eingehenden Überprüfungen werden in der Regel von einem JST ausgewählte idiosynkratische Themen eingehend analysiert, um spezifische Bedenken anzugehen.
  • Vor-Ort-Prüfungen: Vor-Ort-Prüfungen sollen eine gründliche Analyse verschiedener Risiken, der internen Kontrollsysteme, Geschäftsmodelle und der Governance ermöglichen. Sie werden von der EZB und den nationalen Aufsichtsbehörden in den Geschäftsräumen der zu prüfenden Unternehmen durchgeführt. Der Prüfungsumfang und der Zeitrahmen sind im Voraus festgelegt. Die Prüfungen sind Teil des allgemeinen Aufsichtsprozesses. Sie müssen risikobasiert, verhältnismäßig, zukunftsgerichtet und handlungsorientiert sein. Vor-Ort-Prüfungen werden eng mit den JSTs abgestimmt, die an der Prüfungsplanung (z. B. über das SEP), der Ausarbeitung von Empfehlungen für die Bank und der Nachverfolgung etwaiger Korrekturmaßnahmen oder Aufsichtsmaßnahmen mitwirken.

Die Ergebnisse aller oben genannten Überprüfungen dienen als Grundlage für den jährlichen SREP oder andere Aufsichtstätigkeiten. Die entsprechenden Feststellungen können institutsspezifische qualitative und/oder quantitative Maßnahmen zur Folge haben.

Die EZB arbeitet Arbeitsprogramme für die Aufsichtsprioritäten aus und legt die Aufsichtsinstrumente fest, mit denen sie ihre Ziele am besten erreichen kann. Maßgebend ist hierbei das Konzept der Risikoidentifizierung-Risikobeseitigung. Zunächst werden die Praktiken der beaufsichtigten Unternehmen überprüft und verglichen. Die sich daraus ergebenden Feststellungen werden dann nach Wesentlichkeit bewertet. Anschließend werden die beaufsichtigten Unternehmen aufgefordert, diese Feststellungen gemäß den mit den Aufsichtsbehörden erörterten Modalitäten und Fristen zu beheben. Wird von diesen abgewichen, kann die EZB mittels verbindlicher Maßnahmen sicherstellen, dass die wesentlichen Mängel zeitnah behoben werden. Sie kann zudem von ihren Durchsetzungs- und Sanktionsbefugnissen Gebrauch machen, um sicherzustellen, dass die Abhilfemaßnahmen wirksam und innerhalb des vorgegebenen Zeitrahmens abgeschlossen werden.[37]

Europäische Zentralbank 2025

Postanschrift 60640 Frankfurt am Main, Deutschland
Telefon +49 69 1344 0
Website www.bankingsupervision.europa.eu

Alle Rechte vorbehalten. Die Anfertigung von Kopien für Bildungszwecke und nichtkommerzielle Zwecke ist mit Quellenangabe gestattet.

Fachterminologie kann im SSM-Glossar (nur auf Englisch verfügbar) nachgeschlagen werden.

HTML ISBN 978-92-899-7461-5, ISSN 2599-8455, doi:10.2866/9892396, QB-01-25-230-DE-Q

  1. Siehe EZB, Aggregated results of the 2025 SREP, November 2025.

  2. Siehe Kasten 1: Der Aufsichtszyklus – integrierte Planung der Aufsichtstätigkeiten

  3. Siehe Europäische Kommission, Frühjahrsprognose 2025, Mai 2025

  4. Siehe EZB, Financial markets, Financial Stability Review, Mai 2025.

  5. Siehe EZB, Gesamtwirtschaftliche Euroraum-Projektionen von Fachleuten der EZB, September 2025.

  6. Siehe EZB, Gesamtwirtschaftliche Euroraum-Projektionen von Fachleuten der EZB, September 2025.

  7. Siehe EZB, Erklärung zur Geldpolitik, 11. September 2025.

  8. Siehe EZB, Financial Stability Review, Mai 2025.

  9. Ebd.

  10. Ebd.

  11. Siehe Introductory statement by Claudia Buch, Chair of the Supervisory Board of the ECB, at the Hearing of the Committee on Economic and Monetary Affairs of the European Parliament, 15. Juli 2025.

  12. Siehe EZB, Financial Stability Review, Mai 2025.

  13. Siehe EBA-Leitlinien für die Kreditvergabe und Überwachung (EBA/GL/2020/06).

  14. Sich verändernde Risiken sind aufgrund ihrer Dynamik und fehlender historischer Daten nur schwer mit traditionellen Modellen für erwartete Kreditverluste zu erfassen bzw. zu modellieren.

  15. Siehe EZB, IFRS 9 overlays and model improvements for novel risks, Juli 2024.

  16. Die Ergebnisse der Prüfung aus dem Jahr 2019 wurden der breiten Öffentlichkeit über eine an die Branche gerichtete Veröffentlichung mitgeteilt, siehe EZB, Trends and risks in credit underwriting standards of significant institutions in the Single Supervisory Mechanism, Juni 2020.

  17. Siehe Copernicus Climate Change Service (C3S) und World Meteorological Organization (WMO), European state of the climate: Report 2024 , 2025.

  18. Siehe Europäische Umweltagentur, Climate change impacts, risks and adaptation, Juni 2025.

  19. Siehe Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), Insurance protection gaps, Februar 2024.

  20. Was die Begrenzung der Erderwärmung auf 2°C oder weniger anbelangt, so ist ein Großteil der börsennotierten Unternehmen nicht auf Kurs. Siehe MSCI Transition Finance Tracker, März 2025.

  21. Im Zentrum des „Run-on-Brown“-Szenarios stehen kurzfristige klimabedingte Risiken, die dadurch eintreten, dass eine plötzliche Neubewertung des Transitionsrisikos Vermögenspreiskorrekturen auslöst.

  22. Siehe ESAs und EZB, Fit-for-55 climate scenario analysis, November 2024.

  23. Siehe EZB, EZB-Jahresbericht zur Aufsichtstätigkeit 2024, März 2025.

  24. Siehe Swiss Re Institute, Natural catastrophes: insured losses on trend to USD 145 billion in 2025, sigma-Bericht, Nr. 1, 29. April 2025.

  25. Siehe Clark, P., How the next financial crisis starts, Financial Times, 26. Juni 2025.

  26. Trust, S. et al., Planetary Solvency – finding our balance with nature, Institute and Faculty of Actuaries, University of Exeter, Januar 2025.

  27. Siehe Tuominen, A., Operational resilience in the digital age, Blog der Bankenaufsicht, EZB-Bankenaufsicht, 17. Januar 2025.

  28. Siehe Montagner, P., Information and communications technology resilience and reliability, Rede beim Frankfurt Banking Summit, Frankfurt am Main, 2. Juli 2025.

  29. Siehe What we can learn about building a resilient energy grid from the Iberian power outage, Weltwirtschaftsforum, 16. Mai 2025.

  30. Siehe Bericht Global Cybersecurity Outlook 2025, Weltwirtschaftsforum, 13. Januar 2025.

  31. Siehe EZB-Bankenaufsicht, Outsourcing trends in the banking sector, Newsletter der Bankenaufsicht, 19. Februar 2025.

  32. Nähere Informationen hierzu in EZB, Aggregated results of the 2025 SREP, November 2025.

  33. Siehe EZB-Bankenaufsicht, Sound risk data reporting: key to better decision-making and resilience, Newsletter der Bankenaufsicht, Februar 2025.

  34. Nähere Informationen hierzu in EZB, Aggregated results of the 2025 SREP, November 2025.

  35. Nähere Informationen zum Aufsichtszyklus finden sich in EZB, Aufsichtshandbuch, Januar 2024; nähere Informationen zu den Vor-Ort-Prüfungen in EZB, Leitfaden für Vor-Ort-Prüfungen und Prüfungen interner Modelle , September 2018.

  36. Siehe zum Beispiel ECB supervisory guides.

  37. Siehe hierzu auch Aufsichtsmaßnahmen auf der Website der EZB zur Bankenaufsicht.

Whistleblowing