Suchformular öffnen Menü öffnen
Expertensuche
Suche
Financial Services
  • 10 Sep 2025
  • 7 Minuten Lesezeit

Operationale Resilienz im Zahlungsverkehr: Bekannte Anforderungen, neue Dinglichkeit

Verfasst von

Dr. Michael Huertas

Julia Siebrecht

RegCORE Client Alert | Digitaler Binnenmarkt

Kurzüberblick

Die jüngsten Störfälle im Zahlungsverkehr haben hat deutlich gemacht, wie anfällig der Zahlungsverkehr trotz modernster Infrastruktur bleibt. Fallen Systeme wie z.B. zur Erkennung von betrügerischen Zahlungen aus, bleibt oft nichts anderes, als alle Zahlungen erst einmal anzuhalten, um potenzielle Schäden zu verhindern. Dies hat unmittelbare Folgen für alle Beteiligten: Händler:innen sehen sich mit Liquiditätsengpässen und zusätzlichem administrativem Aufwand konfrontiert, während Endkund:innen in Unsicherheit über mögliche unautorisierte Abbuchungen geraten.

Der Europäische Gesetzgeber hat diese Gefahr bereits erkannt und mit zahlreichen Vorschriften zur operationalen Resilienz der Systeme reagiert:

  • Die MaRisk / MaRisk ZAG bilden seit Jahren den nationalen Rahmen für Banken und Zahlungsinstitute in Deutschland und adressieren zunehmend IKT-Risiken.
  • DORA (Digital Operational Resilience Act) schafft ab Januar 2025 erstmals einen europaweit einheitlichen, direkt anwendbaren Rechtsrahmen für die digitale Resilienz im Finanzsektor. Die genannten Schwerpunkte (Risikomanagement, Meldepflichten, Resilienztests) sind richtig.
  • Die PSR (Payment Services Regulation) bringt insbesondere durch die Haftungsverschiebung bei „Impersonation Fraud“ eine erhebliche Verschärfung für Zahlungsdienstleister. Die Darstellung der neuen Haftungsregelungen ist korrekt und entspricht dem aktuellen Stand der Diskussion.

Zentrale Vorschriften zur Operationalen Resilienz im Zahlungsverkehr

IKT-Sicherheit und Resilienz sind längst kein Randthema mehr – sie entwickeln sich zunehmend zu strategischen Erfolgsfaktoren für die Zukunftsfähigkeit des gesamten Zahlungsverkehrs. Organisationen sollten die Gelegenheit nutzen, ihre bestehenden Strukturen kritisch zu hinterfragen, Schwachstellen aufzudecken und gezielt in Präventions- und Reaktionsmechanismen zu investieren.

Regulatorischer Rahmen: MaRisk (ZAG), DORA, PSR

Bevor DORA auf europäischer Ebene neue Maßstäbe setzte, galten in Deutschland bereits etablierte Regelwerke zur Stärkung der operativen Resilienz. Die MaRisk (Mindestanforderungen an das Risikomanagement, § 25a KWG) bilden seit Jahren den zentralen Rahmen für Banken. Sie regeln nicht nur das Risikomanagement in klassischen Bereichen, sondern adressieren zunehmend auch IKT-Risiken, Auslagerungen und Notfallmanagement. Spätestens mit der 6. Novelle im Jahr 2021 rückten IT-Sicherheit und Cyberrisiken in den Mittelpunkt der Aufsicht.
Ergänzend dazu richten sich die MaRisk ZAG an Zahlungs- und E-Geld-Institute. Sie orientieren sich an den Grundstrukturen der MaRisk, setzen jedoch spezifische Schwerpunkte: sichere IT-Systeme, ein wirksames Auslagerungsmanagement und tragfähige Notfallkonzepte sind hier zentrale Vorgaben, die die besondere Bedeutung des Zahlungsverkehrs für die Finanzstabilität widerspiegeln.

Während MaRisk und MaRisk ZAG bislang den nationalen Ordnungsrahmen prägten, schafft die Digital Operational Resilience Regulation (DORA) seit dem 17. Januar 2025 erstmals ein einheitliches, unmittelbar geltendes Regelwerk für den Finanzsektor auf europäischer Ebene. Damit werden die Anforderungen an operationale Resilienz verschärft und harmonisiert: Neben der Prävention stehen künftig auch die Fähigkeit zur schnellen Reaktion, ein geregelter Wiederanlauf sowie eine klare und transparente Kommunikation im Krisenfall im Zentrum der regulatorischen Erwartungen. Unternehmen, die hier nicht vorbereitet sind, riskieren nicht nur aufsichtsrechtliche Sanktionen, sondern auch langfristige Vertrauensverluste bei Kund:innen und Geschäftspartner:innen.

Diese Entwicklungen machen deutlich, dass regulatorische Vorgaben wie DORA und PSR künftig eine Schlüsselrolle bei der Stärkung der operativen Resilienz spielen werden.

Rechtsrahmen für die IKT-Resilient im Finanzsektor: DORA

Mit dem Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 ein europaweit einheitlicher Rechtsrahmen für IKT-Resilienz im Finanzsektor. Er verpflichtet Zahlungsdienstleister, Banken und Versicherungen zu einem umfassenden Risikomanagement, strikten Meldepflichten und regelmäßigen Resilienztests. Wir verweisen hierzu auf unsere Client Alerts zu DORA.PwC DORA Client AlertShow Footnote.

Resilienzanforderungen jenseits von DORA und PSR: NIS-2- und CER-Richtlinie

Ergänzend zu den branchenspezifischen Regelungen wie DORA und PSR beinhalten auch die NIS-2-Richtlinie sowie die CER-Richtlinie sektorenübergreifende EU-Vorgaben mit Fokus auf die Stärkung der digitalen und physischen Resilienz gegenüber systemischen Risiken und Bedrohungen.

Die CER-Richtlinie (Critical Entities Resilience Directive) verpflichtet die EU-Mitgliedstaaten dazu, Betreiber wesentlicher Einrichtungen zu identifizieren und Maßnahmen zu ergreifen, um diese gegen physische Gefahren wie Naturkatastrophen, Sabotage oder hybride Bedrohungen zu schützen. Parallel dazu legt die NIS-2-Richtlinie einheitliche Anforderungen an die Cybersicherheit fest. Sie fordert von betroffenen Einrichtungen unter anderem ein strukturiertes Risikomanagement, die Einführung technischer und organisatorischer Sicherheitsmaßnahmen sowie verpflichtende Meldungen bei Sicherheitsvorfällen. Zahlungsdienstleister, Banken und andere Finanzunternehmen gelten in der Regel als wichtige oder wesentliche Einrichtungen im Sinne der NIS-2-Richtlinie – abhängig von ihrer Größe, Vernetzung und Relevanz für das Finanzsystem. Daraus ergeben sich insbesondere Pflichten in den Bereichen Risikomanagement, Meldepflichten und Auslagerung.

Erhöhter Druck durch die neuen Haftungsregelungen der PSR

Angesichts zunehmender Social-Engineering-Angriffe – etwa Phishing, Vishing oder Bank-Impersonation (z. B. gefälschte Bankmitarbeiter-Anrufe vermeintlicher Bankmitarbeiter:innen) reagiert die PSR-E mit einer Haftungsverschiebung zugunsten der Verbraucher:innen:

Zahlungsdienstleister (PSPs) müssen im Falle von „Impersonation Fraud“ voll erstatten, sofern der Betrugsfall unverzüglich gemeldet wurde – auch wenn die Transaktion durch die Betroffenen selbst autorisiert schien.

Diese Regelung erhöht den Druck auf Zahlungsdienstleister erheblich: Eine hohe Eigenverantwortung tritt auf steigende Erwartungen an Prävention, Prozessqualität und operative Resilienz. Denn Social-Engineering-Betrug lässt sich nur durch ein integratives Fraud-Management bekämpfen, das technische, organisatorische und kommunikative Ebenen verbindet.

Für Marktteilnehmer bedeutet dies: Resilienz ist nicht nur regulatorisch geboten, sondern wird auch zum Wettbewerbsfaktor. Wer frühzeitig handelt – reduziert Risiken – und nutzt zugleich die Chancen neuer europäischer Entwicklungen.

Zentrale Überlegungen für Institute

Viele Institute sind sich der Notwendigkeit bewusst, ihre operative Resilienz zu stärken, und haben bereits erste Maßnahmen umgesetzt. Doch die Dynamik der regulatorischen Anforderungen – von DORA über PSR bis hin zu NIS-2 – macht deutlich: Resilienz ist kein einmaliges Projekt, sondern erfordert kontinuierliche Beobachtung, Anpassung und Investitionen. Hier kann externe Unterstützung den entscheidenden Unterschied machen – um Compliance-Risiken zu vermeiden und zugleich die eigene Marktposition nachhaltig zu stärken.

Vor diesem Hintergrund ergeben sich für Zahlungsdienstleister, Banken und andere Finanzakteure folgende Schlüsselfaktoren:

  • Regulatorische Konsequenzen: Seit Januar 2025 gilt mit DORA ein europaweit einheitlicher Rahmen für die digitale Resilienz im Finanzsektor. Ergänzend verschärfen PSR, NIS-2 und CER die Anforderungen. Unzureichende Umsetzung kann zu empfindlichen Bußgeldern, Sonderprüfungen oder Einschränkungen der Geschäftstätigkeit durch die Aufsicht führen.
  • Reputationsrisiken: Der Zahlungsverkehr ist besonders vertrauenssensibel. Schon ein einmaliger Ausfall kann das Vertrauen von Händler:innen und Kund:innen erheblich beeinträchtigen und zu Abwanderungen in Richtung Konkurrenz führen.
  • Operative Anforderungen: Resilienz erfordert belastbare technische Strukturen wie Multi-Region-Deployments, automatisierte Failover-Mechanismen und Echtzeit-Monitoring. Hinzu kommen regelmäßige Resilienztests (z. B. Red-Team-Übungen, Table-Top-Szenarien) sowie klar definierte Kommunikationspläne für Krisenfälle.
  • Governance & Kultur: Resilienz ist nicht nur technisch, sondern auch organisatorisch geprägt. Zentrale Faktoren sind ein wirksames Vendor-Management mit klaren Verantwortlichkeiten, eine gelebte Risikokultur sowie die kontinuierliche Sensibilisierung aller Mitarbeitenden.
  • Kontinuierliche Regulierungsbeobachtung: Angesichts der Vielzahl und Dynamik neuer Vorgaben ist es entscheidend, rechtliche und aufsichtsrechtliche Entwicklungen laufend zu überwachen und interne Prozesse zeitnah daran anzupassen.
  • Policy Management: Interne Richtlinien, Handbücher und Verfahren sollten regelmäßig überprüft und fortgeschrieben werden, um jederzeit den aktuellen regulatorischen Standards zu entsprechen und Compliance-Risiken zu vermeiden.

Operationale Resilienz ist längst mehr als eine Compliance-Pflicht – sie entwickelt sich zum strategischen Erfolgsfaktor im Zahlungsverkehr. Institute, die frühzeitig in Architektur, Prozesse und Kultur investieren, sichern sich regulatorische Konformität und Vertrauen im Markt. Externe Expertise kann helfen, Komplexität zu reduzieren, Prioritäten zu setzen und die Resilienz Strategie gezielt weiterzuentwickeln.

Bitte beachten Sie hierzu auch unsere aktuellen Client Alerts, in denen wir die regulatorischen Entwicklungen vertiefend beleuchten.

Ausblick

Mit DORA wurde ein europaweit einheitlicher Rechtsrahmen geschaffen, der Institute verpflichtet, digitale und operationale Resilienz systematisch zu integrieren.

Während kleinere Zahlungsdienstleister und Banken durch den Proportionalitätsgrundsatz nur punktuell Anpassungen vornehmen müssen, werden größere und systemrelevante Institute erheblich stärker in die Pflicht genommen – insbesondere bei Resilienz Tests, beim Umgang mit IKT-Dienstleistern und in der Krisenkommunikation.

Parallel verschärfen die PSR, NIS-2 und CER die regulatorischen Anforderungen und erweitern den Fokus über den Finanzsektor hinaus. Dies wird die Aufsichtspraxis in den kommenden Jahren maßgeblich prägen.

Finanzinstitute sollten deshalb kontinuierlich prüfen, ob ihre Resilienzstrategie den regulatorischen Standards entspricht, und sicherstellen, dass Governance, Prozesse und Dokumentation den Anforderungen standhalten. Eine klare Verantwortlichkeitszuordnung, regelmäßige Überprüfung der Angemessenheit von Strukturen und die laufende Anpassung interner Richtlinien bleiben zentrale Erfolgsfaktoren, um Compliance-Risiken zu vermeiden und das Vertrauen im Markt langfristig zu sichern.

Über uns

PwC Legal unterstützt eine Reihe von Finanzdienstleistungsunternehmen und Marktteilnehmern bei der vorausschauenden Planung von Veränderungen, die sich aus einschlägigen Entwicklungen ergeben. Zu diesem Zweck haben wir ein multidisziplinäres und multijurisdiktionales Team von Branchenexperten zusammengestellt, das unsere Mandanten dabei unterstützt, Herausforderungen zu bewältigen und Chancen zu nutzen sowie proaktiv mit ihren Marktteilnehmern und Aufsichtsbehörden in den Dialog zu treten.

Darüber hinaus haben wir eine Reihe von RegTech- und SupTech-Tools für beaufsichtigte Institute entwickelt, darunter das Rule Scanner Tool von PwC Legal, das durch ein zuverlässiges Set an Managed Solutions von PwC Legal Business Solutions unterstützt wird. Dieses ermöglicht ein Horizon Scanning und eine Risikokartierung sämtlicher gesetzlicher und regulatorischer Entwicklungen sowie von Sanktionen und Bußgeldern – erfasst von mehr als 2.500 gesetzgeberischen und aufsichtsrechtlichen Entscheidungsträgern sowie weiteren Branchenstimmen in über 170 Jurisdiktionen mit Relevanz für Finanzdienstleistungsunternehmen und deren Geschäftstätigkeit.

Ebenso bieten wir unter Nutzung unserer Rule Scanner-Technologie eine weitere Lösung an, mit der Finanzdienstleistungsunternehmen ihre internen Richtlinien und Verfahren digitalisieren können. Dadurch lässt sich ein umfassendes Dokumentationsinventar mit einer etablierten Dokumentationshierarchie und einem eingebetteten Glossar erstellen, das über eine Versionskontrolle entlang eines definierten zeitlichen Rahmens (rückblickend wie vorausschauend) verfügt. So wird sichergestellt, dass Änderungen in einer Richtlinie konsequent auch in andere Richtlinien- und Verfahrensdokumente übernommen werden, kritische Abhängigkeiten im Ablauf abgebildet sind und gesetzgeberische sowie aufsichtsrechtliche Entwicklungen gekennzeichnet werden, sofern sie Handlungsbedarf in den betreffenden Richtlinien und Verfahren erfordern.

Das PwC Legal-Team hinter dem Rule Scanner ist stolzer Preisträger des renommierten „2024 Disruptive Technology of the Year Award“ von ALM Law.com sowie des „2025 Regulatory, Governance and Compliance Technology Award“ im Jahr 2025.

Wenn Sie die oben genannten Entwicklungen oder deren mögliche Auswirkungen auf Ihr Unternehmen im Allgemeinen näher besprechen möchten, wenden Sie sich bitte an einen unserer Ansprechpartner oder an das RegCORE-Team von PwC Legal über de_regcore@pwc.com oder unserer Website.

Kontaktieren Sie uns

Dr. Michael Huertas

Partner Frankfurt am Main
Financial Services

Tel.  +49 160 97375760

Mail  E-Mail

Profil anzeigen

Julia Siebrecht

Manager Frankfurt am Main
Financial Services

Tel.  +49 160 8482630

Mail  E-Mail

Profil anzeigen

Weitere Fachbeiträge und Blogs

Financial Services
EIOPA veröffentlicht Ergebnisse einer europaweiten Mystery-Shopping-Übung
  • 08 Sep 2025
  • 0 Minuten Lesezeit
Financial Services
ESMA veröffentlicht konsolidierte Übersicht der Vorschriften zum grenzüberschreitenden Vertrieb von Investmentfonds
  • 27 Aug 2025
  • 2 Minuten Lesezeit
Financial Services
Eurosystem nimmt ECMS in Betrieb
  • 27 Aug 2025
  • 1 Minute Lesezeit
Alle Fachbeiträge und Blogs